网络战场上，攻击者的行为具有复杂性和多变性。识别攻击事件发生后，追踪攻击者的攻击路径，对于安全技术人员是非常重要的。追溯就像大海捞针，困难很多，最大的挑战是追溯图太大，找不出攻击者关键的攻击路径。

首先在一个靶场环境中，通过文件漏洞将蚁剑Webshell1上传至网站服务器；随后，应用Webshell连接到靶场虚拟终端，获取信息和提权(提高自己在网站服务器上的权限，以便控制全局)；随后，实现对靶机的持久控制，并以该靶机为起点，在内部网横向移动，见图1。对于这一攻击方式，结合网络端和终端端数据建立有效的溯源图是实现溯源攻击的关键。追溯图表主要是挖掘过程、文件、IP、注册表、服务等实体之间的依赖性。这个依赖性也存在于正常的用户行为中。在整个溯源图中，与正常用户行为相比，攻击者的攻击路径只占很小的一部分。就拿上面的场景来说，追溯图包含超过1000个顶点和200多万条边线，而安全运营人员只关注图1中简单的攻击路径。所以，攻击溯源首先要解决的问题是从复杂的大规模溯源图中寻找攻击者的攻击路径，即通常所说的依赖型爆炸问题，从而对溯源提出了巨大的挑战。

怎样认识，怎样学习。我的团队曾多次通过无监督学习建立业务基准，分析攻击手法的相似性等方法，发现多起报警事件，并通过报警事件追踪到可疑攻击路径，但经专家判断，这些路径是否是真正的攻击路径，最终验证效果并不理想。

这是因为这些算法只有“智能”，没有体现“人工”，而且许多可疑报警或报警路径只存在相关性，并没有真正需要处理的报警。随后介绍了攻防专家，通过识别攻击意图，比如区分是探测还是利用，最后推荐TOP10。

报警(正好是保安组半天的处理时间)，效果不错，因为这些报警确实是保安组需要及时处理的。

目前，我们可以通过人工智能算法识别某些关键报警，但要达到自我认知的程度，就需要产生TTP2(Tactics,TeanndiquebleakProcedors，战术、技术和流程)的威胁情报元数据(IndicatorofComprise,IoC)，高层情报(例如攻击链和攻击团伙)需要依次关联报警、事件、攻击路径，最后才是攻击者，每一层关联都需要引入更多的知识，例如TACT&CK[3],CAPCA[4]，及其CVE[5]，这些都是为美国政府提供系统工程、研究发展和信息技术支持的非营利组织的潜在知识库。

不管是攻击意图识别，还是MITRE的知识库，当前阶段都不能直接帮助人工智能进行认知，其中还有很大的差距。目前，这些知识库的主要用途是解释已经发生的攻击行为，如恢复APT(高级可持续威胁攻击)事件的攻击链，但无法自动推导基于知识库的未知攻击链。