9、利用欺骗识别隐秘攻击者的可扩展算法研究

利用欺骗识别隐秘攻击者的可扩展算法研究

1. 引言

在网络安全场景中，识别攻击者是一项极具挑战性的任务，尤其是当众多攻击者在攻击早期采用相似的技术、战术和程序（TTP）时。提前获取有助于缩小攻击者意图和可能使用的TTP范围的信息，对防御者来说具有巨大价值。本文将介绍通过欺骗技术识别不同类型攻击者的相关研究，包括模拟实验结果、算法可扩展性以及启发式方法的评估等内容。

2. 数学模型与约束条件

在攻击规划中，存在以下数学模型和约束条件：
- 目标函数：攻击者计算所有攻击者之间攻击计划重叠长度的最大总和。
- 约束条件：
- 约束3.2：将攻击者i和j在移动m之前的重叠长度总和分配给dij。
- 约束3.3：计算攻击者计划之间的重叠长度，其中eiem是攻击者i在第m步代表边e的二进制变量。
- 约束3.4：确保重叠从计划的开始而不是中间开始。
- 约束3.5：确保每个攻击者选择到达目标节点的最小成本计划。
- 约束3.6和3.7：攻击者的路径流约束。
- 公式如下：
[
\sum_{m} e_{iem} - \sum_{m} e_{ie’m} =
\begin{cases}
1 & \text{if } s \in e \
-1 & \text{if } g \in e \
0 & \text{otherwise}
\end{cases}
\quad \forall i, \forall t
]
[
\sum_{m} e_{ie(m - 1)} - \sum_{m} e_