本次组会将会介绍阅读的一篇论文《EXTRACTOR: Extracting Attack Behavior from Threat Reports》，主要从以下几个方面介绍：

研究背景：

随着如今互联网网络服务不断趋于智能化，网络攻击方式日益隐蔽复杂，面对越来越多的网络安全威胁，网络威胁情报已然成为近几年国内外安全领域的热点。通过对网络威胁情报的获取、分析和共享,企业、组织和安全人员能够快速获取新的入侵威胁指标及其他更详细的信息,以此来识别、阻断和追踪网络入侵者,并能够预防更多网络威胁。CTI报告通常含有大量的无关的文本，安全人员很难从大量的文本中提取出真正有效的信息，因此利用工具自动从CTI文本中提取攻击信息有一定的研究价值。

科研问题：

从威胁报告中提取攻击行为信息当前面临着三个主要的问题：

（1）在一整篇CTI报告中，描述在系统审计日志能观测到的攻击行为可能只占很小一部分。CTI攻击信息提取器需要将有用的，能在系统审计日志中观测到的信息从不必要的冗余信息中提取出来。

（2）在网络空间安全领域中使用的语言具有很强的专业性，这使得传统的自然语言处理工具十分难以理解。

（3）对CTI报告中全局的信息进行提取需要理解攻击行为之间的关系，目前类似的提取方法仅仅依赖于句子的句法结构，没有考虑句子中实体之间的语义关系。

方法：

本文提出了EXTRACTOR用于解决这些问题。EXTRACTOR的目标是以图的形式描述CTI报告中攻击行为的全局信息。EXTRACTOR包含四个部分：Normalization；Resolution；Summarization；Graph Generation。前两部分主要用于解决文本复杂度与专业性问题，第三部分用于解决文本冗长问题，最后一部分用于提取攻击实体及其之间的关系。

结论

本文设计了一个自动提取CTI报告中攻击信息的工具EXTRACTOR。EXTRACTOR可以有效地提取CTI报告中的攻击信息，提取出的攻击信息以起源图的形式展示，且生成的起源图与人工生成的起源图能够进行匹配。生成的起源图能够进一步地作为威胁检测系统的输入。