文章总结： 本文介绍了CCS2024论文TREC，针对APT攻击样本稀缺问题，提出基于少样本溯源子图学习的识别框架。该方法通过检测异常节点提取子图，利用异构图注意力网络与孪生网络对攻击战术技术进行分类与溯源。实验表明其精度高、适应性强，为语义级攻击分析提供了新路径。 综合评分： 88 文章分类： 威胁情报,安全运营,AI安全

浙江大学 | TREC：通过少样本溯源子图学习进行APT战术/技术识别

原创

袁丽莎

安全学术圈

2026年1月9日 18:31 四川

原文标题：TREC: APT Tactic / Technique Recognition via Few-Shot Provenance Subgraph Learning 原文作者：Mingqi Lv, Hongzhe Gao, Xuebo Qiu, Tieming Chen, Tiantian Zhu, Jinyin Chen, and Shouling Ji. 发表会议：The 2024 ACM SIGSAC Conference on Computer and Communications Security (CCS ’24. 主题类型：攻击检测 笔记作者：袁丽莎@Web攻击检测与追踪 主编：黄诚@安全学术圈

一、 研究概述

以APT（高级持续性威胁）为代表的网络攻击因其隐蔽性、长期性和复杂性，严重威胁着网络空间安全。近年来，溯源图（Provenance Graph）因其能全面记录系统实体间的因果与上下文关系，成为检测APT攻击的重要工具。然而，APT攻击中技术种类繁多，事件稀疏，溯源图规模庞大，传统基于规则的识别方法面临样本稀缺、标签困难与泛化能力差等挑战。并且，仅检测攻击行为已无法满足实战需求，如何精准识别攻击中所采用的战术与技术（Tactic/Technique）、实现攻击行为的语义级理解与溯源分析，已成为安全领域亟待解决的问题。在此背景下，本文提出了一种基于少样本学习的APT战术/技术识别框架TREC，该框架通过在大规模溯源图中定位异常节点，最终实现对APT攻击中具体行为的精准分类与溯源。TREC不仅提升了识别精度，还突破了传统方法对大量标签数据与固定规则依赖的瓶颈，在多样化、复杂化的真实攻击环境中展现出强大的适应性与可扩展性。

图1展示了TREC框架的整体结构，主要包括以下四个模块：溯源图构建、NOI检测与子图采样、子图表示学习、APT技术识别。核心思想是将APT攻击行为从原始溯源图中“抽离”出来，通过子图嵌入与距离学习，完成战术/技术的精细分类。训练时，首先将采集到的内核级系统事件组织为有向无环图。然后在无监督条件下利用图神经网络学习系统实体的行为特征，以此识别异常节点（Node of Interest）后，再结合图搜索策略，提取与这些节点强相关的子图，作为APT技术实例的候选区域。之后，采用HAN构建多视角的图语义表示，生成高质量嵌入向量。最后，引入孪生网络对子图嵌入进行对比学习，实现对少样本APT技术的匹配与识别。在推理时，通过将待识别子图与已知技术样本对比，基于距离度量进行类别判断，TERC支持新技术类别的快速识别与扩展，具备实际部署价值。实验表明，在多个真实APT子技术场景下，TREC在准确率与识别速度上均显著优于现有方法，为APT攻击的语义识别与可解释溯源提供了新的解决路径。

图1 TREC架构

二、 贡献分析

• 贡献点1：论文针对APT攻击中样本稀缺与标注困难问题，提出了结合无监督学习与少样本对比学习的TREC方法，实现了对APT战术与技术的自动识别；
• 贡献点2：论文针对APT攻击行为隐藏于大规模溯源图中边界模糊的问题，提出了基于NOI检测与图搜索的APT技术子图采样算法，实现了攻击行为的精确分离；
• 贡献点3：论文针对APT技术识别中节点语义与拓扑异构的问题，提出了融合异构图注意力机制的子图表示学习方法，实现了更具判别性的嵌入表达与识别效果。

三、 代码分析

代码链接：https://github.com/redcanaryco/atomic-red-team

1. 该项目完全基于开源生态构建；
2. 代码实现工作量适中，但涉及多个操作系统命令调用与权限操作配置，对系统环境搭建及脚本执行有一定技术门槛；
3. 代码关键实现的功能有：

• 包含大量与MITRE ATT&CK技术对应的攻击用例脚本；
• 结合PowerShell自动执行APT模拟任务；
• 配合论文中使用的KELLECT工具实现系统溯源日志记录与数据采集。

四、 论文点评

1. 在溯源图构建方面： 本文通过KELLECT工具将内核级审计日志实时转化为溯源图，虽然可以保留完整的系统实体行为因果关系，但原始图结构中存在大量冗余信息（如大量普通读写操作、与攻击无关的系统调用），导致生成的图规模庞大，影响后续NOI检测与子图嵌入的效率。改进方向可从图结构预处理入手，例如过滤与白名单实体关联的事件、合并重复边、剔除低频操作节点，或者在构图阶段直接使用滑动窗口构建微图，以实现更精简、高效的图表示。
2. 在报警溯源方面： TREC通过识别NOI节点并向其上下游搜索关联节点构建攻击路径图，但该方法在边界控制上较为宽松，存在合并过多节点导致重建图依然庞大的问题，不利于分析师快速理解攻击行为。未来可引入路径筛选机制，如根据NOI的异常分数设定路径保留阈值，或引入图压缩技术（如最短攻击链路、行为模式匹配）进一步缩减溯源图大小，从而提升攻击路径的可读性与分析效率。
3. 在GNN嵌入方面： 本文使用HAN（异构图注意力网络）进行子图编码，有效利用了节点类型与多元路径信息，较好地捕捉了APT子图中的语义与上下文特征。但嵌入模型仍依赖预定义的meta-path集合，可能对新型攻击或图结构变异适应性不足。后续可引入自动meta-path生成机制或迁移学习技术，在保留异构结构建模能力的基础上，增强模型对跨环境和新型行为的泛化能力。同时，也可探索更高效的图表示模型（如HGATv2、Graphormer）进一步提升检测精度与计算效率。
4. 在少样本学习方面： 论文设计了基于孪生网络的Few-shot识别模块，将APT技术识别任务由分类转为对比匹配，有效缓解了样本稀缺的问题。但该方法在类间差异较小或存在类内变异时仍容易产生混淆。此外，每个技术类别仅使用单个代表样本做匹配，可能无法全面代表技术内部特征多样性。改进方向可考虑使用原型网络或带权多中心匹配策略，引入多个原型向量对同一技术类建模，增强对同类内部行为差异的适应能力，提升识别鲁棒性。

安全学术圈招募队友-ing 有兴趣加入学术圈的请联系 secdr#qq.com

专题最新征文

• 期刊征文 | 暗网抑制前沿进展 (中文核心)
• 期刊征文 | 网络攻击分析与研判 (CCF T2)
• 期刊征文 | 域名安全评估与风险预警 (CCF T2)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全学术圈 袁丽莎《浙江大学 | TREC：通过少样本溯源子图学习进行APT战术/技术识别》