引言 

俄乌冲突爆发以来，一场发生在网络空间的平行战争正愈演愈烈，据乌克兰当局披露的数据，来自多个国家超40万的黑客投入了这场网络战争。乌克兰IT军、美国网络司令部、俄罗斯GRU组织等境外APT组织及网络特战部队纷纷浮出水面，各类民间APT组织也日渐活跃。俄乌双方在网络空间展开的网络战争，造成了运营商、金融、能源等关键基础设施系统的大面积破坏。随着APT组织的活跃以及0day漏洞的大量披露，APT攻击方式愈发变化多端，难以防范。

传统的攻击检测技术

传统网络攻击检测技术普遍基于流量协议，同时匹配网络五元组和报文的详情字段，从而对网络攻击进行研判。这种检测手段存在以下3种弊端：

① 基于特征检测效率高，但检测手段相对单一，仅在主机失陷时或者失陷后才能检出攻击；

② 对于变种攻击和伪装成普通访问行为的分散攻击等情况漏报率较高；

③ 威胁检出率和漏报误报率往往受到规则库规模影响较大，“规则多误报多，规则少漏报多”。

基于机器学习的APT攻击检测技术

迪普科技APT高级威胁检测平台以AI智能分析技术为核心，构建了针对APT组织的威胁检测引擎，并基于多年的安全服务经验，深入分析APT组织攻击事件全过程，通过海量真实攻击流量训练模型，最终实现对APT组织攻击的精准预警。

在一些典型行业场景，由于业务网络和业务系统的相似性，往往采用类似的开源框架、技术栈和网络架构，一旦目标被攻破，相同的攻击手段很容易在其他类似的场景下复现，因此更容易成为APT攻击的对象。

迪普科技针对APT攻击过程中的信息进行记录和统计分析，根据不同APT组织攻击习惯以及大量实际应用中的使用数据进行数据抽象，进而形成结构化和半结构化的样本特征。进一步基于大量实际攻击事件建模，根据模型反复调参验证，最终形成基于机器学习的APT攻击检测引擎。

通过对已知威胁的攻击行为模型进行大量训练，基于机器学习的APT攻击检测引擎在未知威胁场景下，可以实现较高精准度的攻击预测以及APT试探预警。

迪普科技应用实践

目前，上述基于机器学习的APT攻击检测引擎已通过内部测试，并在客户实际使用场景下的试用和攻防实战中检测效果良好。通过AI引擎的智能化分析，在典型场景下，网络威胁的研判效率和精准度均有了大幅的提升，威胁误报率显著下降。

迪普科技APT高级威胁检测平台

迪普新一代APT高级威胁检测平台是迪普科技自主研发的基于AI检测技术的智能威胁检测产品。产品基于智能化的语义分析引擎、行为分析引擎，结合高效的沙箱动态分析技术、丰富的特征规则库、全面的检测策略库，深度检测APT攻击行为，发现其中暗藏的高级恶意代码，帮助用户将新型网络攻击行为遏制在攻击初期，在满足合规性要求的同时，为客户提供应对APT攻击的手段，极大地提高了客户网络空间的安全等级。

AI赋能安全展望

在网络安全攻防技术不断升级、网络安全建设要求不断加强的背景下，AI技术必将是未来网络安全防御不可或缺的一环。迪普科技未来也将持续加大在AI安全检测、安全分析等领域的技术投入，推动AI与网络安全技术两者不断融合、优化、提升，将AI安全由“单场景”向“全局化”演进，使得未来的网络安全技术手段更为简单、智能、安全。