文章总结： 该文批判性审视APT攻击归因研究现状，指出技术归因与政治归因存在表征、时间、因果三重断裂困境。提出融合技术取证与政治语境的跨域框架，通过知识图谱、大语言模型、证据理论和贝叶斯网络实现从相关性匹配到因果推理的跃迁，旨在构建可审计、可解释的归因决策体系。 综合评分： 87 文章分类： 威胁情报,漏洞分析,安全建设,技术标准,AI安全

网络首发 | 广州大学田志宏教授团队：APT攻击归因研究范式的批判审视与融合框架

网络空间安全科学学报

2026年6月9日 18:50 北京

在小说阅读器读本章

去阅读

引用

林晓昕, 周盈海, 鲁辉, 等. APT攻击归因研究范式的批判性综述与重构[J/OL]. 网络空间安全科学学报, 2026. https://doi.org/10.20172/j.issn.2097-3136.260622.

Lin Xiaoxin, Zhou Yinghai, Lu Hui, et al. A Critical Review and Paradigm Reconstruction for APT Attack Attribution[J/OL]. Journal of Cybersecurity, 2026. https://doi.org/10.20172/j.issn.2097-3136.260622.

背  景

在大国战略竞争与数字主权博弈背景下，高级持续性威胁（APT）攻击归因已从单纯的技术溯源，演变为融合技术取证、情报评估、战略意图判断与国际法责任分配的复合型决策问题。现有研究主要形成两条路径：一是基于网络流量、恶意代码与TTPs的技术归因，二是基于国家利益、地缘冲突的政治归因。前者在假旗行动、工具复用环境中容易陷入“特征相似即同源”的归纳陷阱，后者则受困于证据透明度不足与政治立场偏倚。两者对比如表1所示。两者长期平行发展，导致技术证据与政治语境之间产生表征、时间与因果的三重断裂。本文批判性梳理当前主流研究范式，并提出一个“技术—政治融合”归因框架，旨在推动网络攻击归因从相关性匹配向可审计、可解释、可量化不确定性的因果推理跃迁。

表1  技术归因与政治归因对比

Table 1  Comparison of Technical Attribution and Political Attribution

01

APT归因面临的深层困境，如表2列举的跨域表征困难与因果机制不足等核心挑战所示，本质上可归纳为技术—政治维度的“三重断裂”。第一，表征断裂。恶意代码n-gram、C2通信模式等技术变量，与国家利益、产业政策、制裁事件等政治变量处于异构且不可对齐的语义空间，难以在同一形式化框架下联合表示与计算。第二，时间断裂。网络攻击观测粒度可低至毫秒级，而地缘政治事件通常以天、周、月为单位演化。宏观事件对微观攻击的影响存在时滞、阶段映射与非对称传导，简单时间窗口对齐极易产生虚假相关。第三，因果断裂。现有方法仅在技术域与政治域之间建立统计共现或嵌入相似性，无法构建可干预、可反事实检验的因果链，因此难以回答“为何是此主体在此时针对此目标”这一归因核心问题。这三重断裂构成了当前归因研究的根本障碍。

表2 当前网络攻击归因的核心挑战

Table 2  The core challenges of current cyber attack attribution

02

当前研究主要沿五种范式展开，如表3所示。技术归因范式（钻石模型、ATT&CK）工程可操作性强，但工具商品化与假旗行动严重削弱了特征的排他性，只能提供“行为—组织”的同源性映射，无法完成国家责任归属。政治归因范式能解释战略动机，但公开归因常缺少完整底层证据链，且易受发布机构立场影响，可复核性与可证伪性不足。知识图谱范式（UCO、CyGraph）善于融合异构技术实体，但现有图谱普遍缺乏“国家利益”“产业政策”等宏观政治本体，导致跨域表征困难。大语言模型与智能体范式具备强大的语义解析能力，但存在事实幻觉、长文本衰减、黑盒推理及对抗操纵等风险，难以独立承担高风险的归因判断。不确定性量化范式（D-S证据理论、贝叶斯网络）能表达证据冲突与置信度，但高冲突证据处理与跨域因果结构学习仍不成熟。上述范式均在不同维度上受限于三重断裂，亟需走向融合。

表3 主要研究范式的比较分析

Table 3  A comparative analysis of the main research paradigms

03

为弥合三重断裂，本文提出一个“技术—政治融合”归因框架（见图1）。（1）输入层融合开源情报、恶意样本及地缘政治事件等多源数据。（2）处理层利用大语言模型进行实体抽取与共指消解，结合网络搜索补全隐式属性，并通过沙箱分析关联恶意指标的静态与动态行为，形成覆盖技术、组织、政治、事件四类锚点的候选实体。在此基础上，构建跨域知识本体并定义核心关系。（3）推理层采用串行协同计算。首先基于D-S证据理论对多源冲突证据进行折扣处理与融合；然后将一致化证据输入动态贝叶斯网络，结合“动机—能力—机会”模型计算候选主体的后验概率；最后通过反事实检验评估结论的鲁棒性与边际贡献。（4）输出层提供候选主体排序与置信度区间、完整证据链可视化，以及基于反事实的战略研判。此外，框架引入基于反馈校验的自主进化机制，动态更新知识图谱与贝叶斯参数，利用归因结果迭代优化LLM抽取准确率，实现从技术归因到战略威慑的闭环。

图1 “技术—政治融合”归因的逻辑框架

Fig.1  The logical framework of Techno-Political Fusion attribution

总  结

网络攻击归因的核心挑战已从数据不足或模型精度不足，转向如何弥合技术证据与政治语境之间的表征、时间与因果三重断裂。本文系统分析了当前网络攻击归因的问题与挑战，批判性审视当前的研究范式，指出现有方法均难以独立应对APT对抗中的假旗、工具复用与战略操纵等问题。通过建立以跨域知识图谱为底座、以大语言模型为语义引擎、以D-S证据理论和贝叶斯网络为概率推理核心、以反事实检验为鲁棒性验证手段的“技术—政治融合”框架，有望推动归因从相关性匹配走向因果推理。未来需进一步构建完备的跨域本体、发展混合推理算法，并建立可审计的评估基准，最终形成一套可审计、可解释、可量化不确定性的决策支持体系，为国家在网络空间的战略博弈提供科学支撑。

论文全文下载方式

1 识别下方二维码；2 点击文末“阅读原文”。

来源：《网络空间安全科学学报》

《网络空间安全科学学报》由中国航天科技集团有限公司主管、 中国航天系统科学与工程研究院主办，双月刊，国内外公开发行（CN 10-1901/TP，ISSN 2097-3136），入选中国科学引文数据库（CSCD）核心库、《信息通信领域高质量科技期刊分级目录》T2级。办刊宗旨为“搭建网络空间安全领域学术研究交流平台，传播学术思想与理论，展示科学研究、创新技术与应用成果，助力网络空间安全学科建设，为网络强国建设提供坚实支撑与服务”。

网站：http://www.journalofcybersec.cn

电话：010-89061756

邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络空间安全科学学报 《网络首发 | 广州大学田志宏教授团队：APT攻击归因研究范式的批判审视与融合框架》