APT攻击归因研究范式的批判审视与融合框架

引用

林晓昕, 周盈海, 鲁辉, 等. APT攻击归因研究范式的批判性综述与重构[J/OL]. 网络空间安全科学学报, 2026. https://doi.org/10.20172/j.issn.2097-3136.260622.

Lin Xiaoxin, Zhou Yinghai, Lu Hui, et al. A Critical Review and Paradigm Reconstruction for APT Attack Attribution[J/OL]. Journal of Cybersecurity, 2026. https://doi.org/10.20172/j.issn.2097-3136.260622.

背 景

在大国战略竞争与数字主权博弈背景下，高级持续性威胁（APT）攻击归因已从单纯的技术溯源，演变为融合技术取证、情报评估、战略意图判断与国际法责任分配的复合型决策问题。现有研究主要形成两条路径：一是基于网络流量、恶意代码与TTPs的技术归因，二是基于国家利益、地缘冲突的政治归因。前者在假旗行动、工具复用环境中容易陷入“特征相似即同源”的归纳陷阱，后者则受困于证据透明度不足与政治立场偏倚。两者对比如表1所示。两者长期平行发展，导致技术证据与政治语境之间产生表征、时间与因果的三重断裂。本文批判性梳理当前主流研究范式，并提出一个“技术—政治融合”归因框架，旨在推动网络攻击归因从相关性匹配向可审计、可解释、可量化不确定性的因果推理跃迁。

表1 技术归因与政治归因对比

Table 1 Comparison of Technical Attribution and Political Attribution

01

APT归因面临的深层困境，如表2列举的跨域表征困难与因果机制不足等核心挑战所示，本质上可归纳为技术—政治维度的“三重断裂”。第一，表征断裂。恶意代码n-gram、C2通信模式等技术变量，与国家利益、产业政策、制裁事件等政治变量处于异构且不可对齐的语义空间，难以在同一形式化框架下联合表示与计算。第二，时间断裂。网络攻击观测粒度可低至毫秒级，而地缘政治事件通常以天、周、月为单位演化。宏观事件对微观攻击的影响存在时滞、阶段映射与非对称传导，简单时间窗口对齐极易产生虚假相关。第三，因果断裂。现有方法仅在技术域与政治域之间建立统计共现或嵌入相似性，无法构建可干预、可反事实检验的因果链，因此难以回答“为何是此主体在此时针对此目标”这一归因核心问题。这三重断裂构成了当前归因研究的根本障碍。

表2 当前网络攻击归因的核心挑战

Table 2 The core challenges of current cyber attack attribution

02

当前研究主要沿五种范式展开，如表3所示。技术归因范式（钻石模型、ATT&CK）工程可操作性强，但工具商品化与假旗行动严重削弱了特征的排他性，只能提供“行为—组织”的同源性映射，无法完成国家责任归属。政治归因范式能解释战略动机，但公开归因常缺少完整底层证据链，且易受发布机构立场影响，可复核性与可证伪性不足。知识图谱范式（UCO、CyGraph）善于融合异构技术实体，但现有图谱普遍缺乏“国家利益”“产业政策”等宏观政治本体，导致跨域表征困难。大语言模型与智能体范式具备强大的语义解析能力，但存在事实幻觉、长文本衰减、黑盒推理及对抗操纵等风险，难以独立承担高风险的归因判断。不确定性量化范式（D-S证据理论、贝叶斯网络）能表达证据冲突与置信度，但高冲突证据处理与跨域因果结构学习仍不成熟。上述范式均在不同维度上受限于三重断裂，亟需走向融合。

表3 主要研究范式的比较分析

Table 3 A comparative analysis of the main research paradigms

03

为弥合三重断裂，本文提出一个“技术—政治融合”归因框架（见图1）。（1）输入层融合开源情报、恶意样本及地缘政治事件等多源数据。（2）处理层利用大语言模型进行实体抽取与共指消解，结合网络搜索补全隐式属性，并通过沙箱分析关联恶意指标的静态与动态行为，形成覆盖技术、组织、政治、事件四类锚点的候选实体。在此基础上，构建跨域知识本体并定义核心关系。（3）推理层采用串行协同计算。首先基于D-S证据理论对多源冲突证据进行折扣处理与融合；然后将一致化证据输入动态贝叶斯网络，结合“动机—能力—机会”模型计算候选主体的后验概率；最后通过反事实检验评估结论的鲁棒性与边际贡献。（4）输出层提供候选主体排序与置信度区间、完整证据链可视化，以及基于反事实的战略研判。此外，框架引入基于反馈校验的自主进化机制，动态更新知识图谱与贝叶斯参数，利用归因结果迭代优化LLM抽取准确率，实现从技术归因到战略威慑的闭环。

图1 “技术—政治融合”归因的逻辑框架

Fig.1 The logical framework of Techno-Political Fusion attribution

总 结

网络攻击归因的核心挑战已从数据不足或模型精度不足，转向如何弥合技术证据与政治语境之间的表征、时间与因果三重断裂。本文系统分析了当前网络攻击归因的问题与挑战，批判性审视当前的研究范式，指出现有方法均难以独立应对APT对抗中的假旗、工具复用与战略操纵等问题。通过建立以跨域知识图谱为底座、以大语言模型为语义引擎、以D-S证据理论和贝叶斯网络为概率推理核心、以反事实检验为鲁棒性验证手段的“技术—政治融合”框架，有望推动归因从相关性匹配走向因果推理。未来需进一步构建完备的跨域本体、发展混合推理算法，并建立可审计的评估基准，最终形成一套可审计、可解释、可量化不确定性的决策支持体系，为国家在网络空间的战略博弈提供科学支撑。

声明：本文来自网络空间安全科学学报，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。