初步研究：基于不确定性感知的攻击阶段分类

高级持续性威胁（APTs）因其长期性、多阶段性和攻击者的高度复杂性，对网络安全构成了重大挑战。传统检测系统通常以二元方式（良性或恶意）识别恶意活动，而未考虑攻击的进展过程。然而，有效的响应策略依赖于对攻击当前阶段的准确推断，因为应对措施必须根据对手是处于早期侦察阶段还是正在积极进行利用或数据窃取来定制。

本研究解决了在不确定性下进行攻击阶段推断的问题，重点关注对分布外（OOD）输入的鲁棒性。我们提出了一种基于证据深度学习（EDL）的分类方法，该方法通过输出可能阶段的狄利克雷分布参数来建模预测不确定性。这使得系统不仅能够预测攻击的最可能阶段，还能在不确定或输入超出训练分布时发出指示。

在模拟环境中进行的初步实验表明，所提出的模型能够以校准的置信度准确推断攻击阶段，同时有效检测OOD输入（这可能表明攻击者策略的变化）。这些结果支持了在动态和对抗环境中部署不确定性感知模型进行分阶段威胁检测的可行性。

注释：本文为SPAIML2025研讨会会议录，2025年10月26日于意大利博洛尼亚举行，与ECAI2025同期举办。

学科分类：密码学与安全（cs.CR）；机器学习（cs.LG）