24、利用NLP对APT组织报告进行CKC模型映射建模

利用NLP对APT组织报告进行CKC模型映射建模

1 引言

许多商业机构仍依赖过时的安全措施来应对安全威胁。随着时间的推移，这些传统方法的有效性逐渐降低，当企业面对像高级持续性威胁（APT）行为者这样的高级网络犯罪分子时，这一点变得更加明显。APT攻击由极其专业（可能由国家支持）的网络犯罪团队实施，他们拥有无限的时间和资源。

APT以各种技术和手段反复危害个人、公司和政府以实现其目标。“在《纽约时报》曝光了一场长达一个月的攻击活动后，APT声名大噪。在这场攻击中，一个如今被称为‘APT 1’的中国军事单位通过一系列鱼叉式网络钓鱼邮件和大量定制的恶意软件样本，彻底渗透了该媒体组织的网络。” APT有两种表现形式：作为一种因素或个体。一方面，APT指的是极其精准的网络攻击；另一方面，APT也可以是那些通常“由国家支持或资金雄厚”的团队，他们能够发动有针对性的攻击。

根据近期的网络攻击事件，该领域的研究大幅增加。这些攻击对目标造成了广泛的破坏。网络杀伤链（CKC）模型旨在让事件响应团队和安全分析师更清晰地了解事件。

CKC模型包含七个阶段，分别是侦察（Reconnaissance）、武器化（Weaponization）、交付（Delivery）、利用（Exploitation）、安装（Installation）、指挥与控制（Command & Control，C2）以及目标行动（Actions on Objectives，AOO）。一次典型的网络攻击首先从收集目标信息（侦察）开始。敌人的漏洞细节可用于开发恶意软件（武器化），也可用于规划感染受害者机器最隐蔽的方式（交付）。此后，攻击者会发动攻击（利用）并实现持久控制（安装）。一旦这些阶段成功执行，攻击者就能远