arXiv:2505.03817v1 通报类型: 交叉 摘要：本文提出了一种利用逆强化学习(IRL)从系统级审计日志中全面建模攻击者偏好的方法。对手建模是网络安全中的一项重要能力，它使防御者能够描述潜在攻击者的 behavior，从而能够将已知的网络对手群体归因。现有方法依赖于记录不断演变的攻击者工具和技术，以追踪已知威胁行为者。尽管攻击方式不断演变，但攻击者的行为偏好是内生的且较少变化。我们的方法从对手工具和技巧的取证数据中学习其行为偏好。我们将对手建模为一个在计算机主机中位置未知的行为决策专家。我们利用审计日志的攻击溯源图来推导出攻击的状态-行动轨迹。我们在包含真实攻击数据的开放数据集中测试了我们的方法。我们的结果首次表明，低级别的取证数据可以自动揭示攻击者的主观偏好，这些偏好为对手建模和记录提供了额外的维度。尽管攻击者使用不同的工具，其偏好通常保持不变，这反映出攻击者内在的倾向。因此，这些推断出的偏好可以潜在地作为攻击者的独特行为特征，并有助于威胁归因。