本文作者:Cherishao（信安之路威胁情报小组组员）/ ThreatPage（信安之路威胁情报小组组长）

在威胁情报分析中，将高级具有可持续性的攻击事件定性为 APT 事件，定位 APT 组织并将 APT 组织的攻击事件关联起来是一件非常复杂的工作。火眼的威胁研究报告从“文档（样本）类聚模型”的角度将攻击事件汇聚关联。在“文档（样本）类聚模型”分析中，采取了词频-反文档频率 TF-IDF 指标和余弦相似度分析方法，大意理解为 TF-IDF 指标找唯一性（特殊），余弦相似度找相似性（同源）。并将该模型与威胁情报结合进行量化，来帮助情报专家来发现新的威胁组织、根据分析师需要提供可靠的“类聚”来提升对威胁事件的分析效率。

1．序言

FireEye 一直致力于对攻击者的行为进行检测、跟踪和阻止。通过每年数百次调查和数千小时的分析使 FireEye 掌握了分析攻击者的大量有效信息，这些信息包括：常用恶意软件、基础架构、交付机制以及其他工具和技术的详细信息（TTP）。FireEye 不仅分析出了 50 个 APT 组织和 FIN 组织的不同的特征报告，还收集了数以千计的相关活动的无特征“集群”，FireEye 尚未对“集群”所涉及的特征及组织的归属进行声明。虽然未对“集群”进行关联，但随着时间的推移，这些集群在我们对相关活动进行分组和跟踪依旧有用。

随着 FireEye 收集的信息越来越多面越来越广，FireEye 意识到需要一种模型或者算法来协助分析这些海量信息，以发现新威胁的潜在交叉重叠和组织隶属。本文将概述 FireEye 用于构建模型的数据，分析模型涉及的算法以及该模型在未来所面临的一些挑战。

2．群集分类介绍

FireEye 在检测恶意活动时，会给恶意攻击行为打上标签，并根据标签相似性分组为“群集”。这些“群集”是攻击者的直接攻击行为或一系列攻击活动的一部分，可表示操作、基础结构、恶意软件。FireEye 将之称为 “ UNC ” 或“ 未分类 ”的群体。随着时间的推移，这些集群可以增长，与其他集群合并，并可能“融合”成新的威胁组织，例如 APT33 或 FIN7。只有充分了解其在攻击生命周期的每个阶段中的操作并将该活动与状态对齐的程序或犯罪操作相关联时，才会发生此分级。

对于每个组，FireEye 都可以生成一个摘要文档，其中所包含的层级为：基础结构、恶意软件文件、通信方法和其他方面的信息。图 1 显示了如何利用不同模块化的“群集”对一个“攻击者”的变化进行记录。在每个“群集”中 - 例如“恶意软件” – FireEye 有不同种“条款”，但它们有个共性：都有相关的计数。FireEye 用这些数字表示使用该“术语”来记录组的频率。

图 1：攻击者行为变化记录

3．方向目标

FireEye 的最终目标是证明一个威胁是否可以合并到现有组中，或者明确它代表一个新的独特的威胁组织。迄今为止，FireEye 关于 APT 组织的聚类和归因决策是分析师来人工执行，因为它需要严谨的分析和证明。但是，随着 FireEye 收集到越来越多有关攻击者活动的数据，这种人工分析成为瓶颈。“群集”风险未经分析，潜在的关联和归因线索可能会断裂。因此，FireEye 将基于机器学习的模型纳入情报分析工作，以帮助发现、分析和证明这些“群集”或者威胁组织（APT 组织）。FireEye 基于以下 3 个方向对模型进行了研发：

1、在不同组之间创建单个可解释的（相似度）相似性“特征”

2、评估过去的分析决策

3、发现新的潜在证据

图 2：突出显示观察到的两组之间的相似点

4．分析模型介绍

FireEye 将这种分析方法用在了每个威胁“群集”分类中，以此来大规模地评估组之间的唯一性和相似性。首先，FireEye 单独为每个主题建模。意味着每个主题都将在组之间产生自己的相似度范围，这些相似度最终将聚合为一个整体相似度。

下