Nip in the Bud: Forecasting and Interpreting Post-exploitation Attacks in Real-time through Cyber Threat Intelligence Reports

高级持续性威胁（APT）攻击已经在全球范围内造成了重大损害。各种终端检测和响应（EDR）系统被企业部署以对抗潜在的威胁。然而，EDR存在高误报率的问题。为了不影响正常运营，分析人员需要在采取反制措施之前调查和过滤检测结果，这需要大量的人工劳动和警报疲劳，导致分析人员错过最佳响应时间，从而导致信息泄露和破坏。因此，我们提出了一种名为终端预测和解释（EFI）的实时攻击预测和解释系统，该系统可以在后期攻击中自动预测下一步行动，并在技术层面上解释它，然后向EDR调度策略以提前加强防御。首先，我们使用网络威胁情报（CTI）报告提取攻击场景图（ASG），该图可以映射到低级系统日志以加强攻击样本。其次，我们构建了一个序列化图预测模型，该模型与EDR提供的攻击来源图（APG）相结合，生成攻击预测图（AFG）以预测下一步行动。最后，我们利用攻击模板图（ATG）和图形对齐加算法进行技术层面的解释，以自动调度EDR加强系统的防御。EFI可以避免现有EDR误报的影响，而且不会影响正常运营，可以减少系统的攻击面。我们收集了共3,484份CTI报告，生成了1,429个ASG，标记了8,000个句子，标记了10,451个实体，并构建了256个ATG。在DARPA Engagement和大规模CTI数据集上的实验结果表明，EFI预测的AFG与真实攻击图之间的对齐得分能够超过0.8，EFI的预测和解释精度可以达到91.8%。

文章提出了Endpoint Forecasting and Interpreting (EFI)系统，旨在解决EDR系统误报率高、分析师需要手动过滤检测结果等问题，通过实时攻击预测和解释，自动预测下一步攻击并解释其技术层面，然后向EDR系统派遣策略进行提前强化。

文章提出了一种基于攻击场景图、攻击溯源图和攻击模板图的序列化图预测模型，用于生成攻击预测图，然后使用图对齐算法进行技术层面的解释，最后自动向EDR系统派遣策略进行提前强化。

文章使用了Cyber Threat Intelligence (CTI)报告来提取攻击场景图，并构建了序列化图预测模型来生成攻击预测图。实验结果表明，EFI系统的预测和解释精度可以达到91.8%。文章还提供了实验数据集和开源代码。

与此相关的研究包括基于机器学习的威胁检测和响应系统、基于图的威胁建模和分析方法等。