2023年10月25日至28日，全球安全分析师峰会（SAS）在泰国举办，会议深入探讨高级可持续威胁的复杂性，对传统保护性标志进行数字化的挑战和解决方案，以及在打击网络钓鱼中对大型语言模型的探索。

10月26日，绿盟科技伏影实验室主任研究员吴铁军携 A Multi-View Graph Learning Approach for Host-based Malicious Behavior Detection 议题与伏影实验室主管研究员赵光远、兰星亮相全球安全分析师峰会（SAS），深入阐述基于图神经网络的主机侧威胁检测机制，并首次公开披露“双异鼠”组织的技术复杂性。

伏影实验室主任研究员吴铁军表示，近年来大型企业网络的攻击层出不穷，给企业造成了难以想象的损失。因此，主机安全保护至关重要，面对加密攻击流量网络设备应对艰难，攻击者进入内网后的通信传输通常使用加密流量技术逃逸网络检测；杀软无法解决终端安全，杀毒软件在明，APT在暗信息不对等，杀软以定向逃逸的方式逃脱终端软件检测等问题。伏影实验室提出了一种新的主机侧威胁检测技术，基于图神经网络的主机侧威胁检测技术，能够有效构建主机溯源图并提取多视图信息以发现主机威胁。

伏影实验室基于以上的研究发现，一起利用安全设备作为切入点的APT攻击。经过长达一年的跟踪、追踪和缓解过程，确定此次事件背后的攻击实体为“双异鼠”。与其他APT组织不同，该组织专注于渗透网络外围安全设备，利用未公开的漏洞来实现其目标。通过瞄准被忽视的安全设备，直接访问企业内部网络，采用双管齐下的方法：不仅会作为跳板攻击其他设备，还会作为传播恶意电子邮件的失陷节点。

伏影实验室主任研究员吴铁军

关于伏影实验室

伏影实验室专注于安全威胁与监测技术研究。 研究目标包括僵尸网络威胁，DDoS对抗，WEB对抗，流行服务系统脆弱利用威胁、身份认证威胁，数字资产威胁，黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险，缓解威胁伤害，为威胁对抗提供决策支撑。

关于安全分析师峰会

安全分析师峰会是由卡巴斯基从 2009 年开始举办的一项年度盛会，汇集了知名的 IT 安全研究人员、全球执法机构、学者和政府官员。该峰会的主要目标是加强打击网络犯罪方面的合作，使其成为参与讨论、交流宝贵信息以及展示研究和技术最新进展的理想平台。