陈杰

近年来，网络空间安全威胁发生了巨大的变化，具备组织背景的APT（Advanced Persistent Threat缩写，意思是高级持续性威胁）攻击也越来越多地被安全研究机构曝光。

APT是公认的危害性最大的黑客攻击行为。APT攻击有着复杂度高、对抗性强、隐蔽性强等特点，通常有着窃取政府单位的国家机密、重要企业的科技信息、破坏网络基础设施等目的。

日前，绿盟科技联合由方滨兴院士团队创建的广州大学网络空间先进技术研究院联合发布了2021年《APT组织情报研究年鉴》（以下简称年鉴），借助网络空间威胁建模知识图谱和大数据复合语义追踪技术，对全球372个APT组织进行了知识图谱归因建档，形成APT组织档案馆，并对APT组织活动进行大数据追踪，从而对新增和活跃的攻击组织的攻击活动态势进行分析。

绿盟科技平行实验室负责人肖岩军说，通过档案馆能力转化为威胁情报赋能安全产品和大数据平台，形成ISR情报监视侦察体系，有效追踪APT组织。

肖岩军表示，通过认知图谱等人工智能技术进行网络归因，对APT组织形成画像图鉴，进而优化APT追踪溯源，可知道APT的特性和攻击力等指标，从而有针对性地防守和反击。“基于AI人工智能辅助，打击APT也能像打游戏一样简单。”

当然，对抗APT攻击也不能完全依赖AI的辅助，产业界的大量研究和实践经验已经明确证明至少在网络安全领域，AI绝不是万能的，更明智的思路应该是以机器的速度战胜机器，用人的创造力对抗人。

肖岩军表示，AI当然能夠在海量数据和威胁模型未知的场景下进行有效的探索性尝试，但是AI并不能解决所有的网络安全问题，更明智的做法是让AI成为安全研究员的工具和方法之一，而不是完全一股脑地全盘依赖AI的判断和输出结果。“AI技术的加入，确实让安全机构积累了大量的APT攻击线索和特征，但如果单纯依靠这些技术，必然存在大量的误报和漏报，因此还是需要研究员去进行强干预。在整个AI处理流程的前端和后端进行威胁数据的预处理、威胁模型构建，以及传统的恶意代码分析，才能有效和准确地发现APT的真实攻击”。