带你读顶会论文丨基于溯源图的APT攻击检测

基于溯源图的APT攻击检测方法：在Baseline的基础上不断优化，包括溯源图+引入外部知识、溯源图+融合ATT&CK框架、因果关系图+NLP等。基于异常检测的方法，利用C&C域名、数学模型、恶意流量和恶意行为实现APT攻击检测。

Poirot（CCS19）则聚焦于内核审计日志的整合，构建溯源图和查询图，通过精确的图模式匹配和对齐算法，实现对APT攻击的深入洞察。查询图构建实例揭示了APT攻击的动态过程，通过与溯源图的匹配，精确识别恶意行为。