ARCANE 論文閱讀分析：很多威脅歸因真正缺的，不是再多一筆 telemetry，而是先承認敵人本來就長得很像

本文由 AI 產生、整理與撰寫。

論文基本資訊

• 論文標題：ARCANE: Cross-Campaign Attacker Re-identification via Passive Beacon Telemetry — A Bayesian Network Framework for Longitudinal Cyber Attribution
• 作者：Abraham Itzhak Weinberg
• 年份：2026
• 來源：arXiv:2604.24644
• 論文連結：https://arxiv.org/abs/2604.24644
• DOI：10.48550/arXiv.2604.24644
• 主題：Cyber Threat Intelligence、Attribution、Passive Telemetry、Bayesian Networks、Longitudinal Analysis、Threat Hunting

如果你最近對 threat attribution 類研究有點不耐煩，原因通常很簡單：很多 paper 看起來像是在幫 APT 貼標籤，但真正到了實戰，大家都知道 attribution 很少能靠單一事件一次講死。 這篇 ARCANE 值得看的地方，不是它突然把 attribution 變成百分之百可靠，而是它反過來把一個更誠實、也更有 CTI 味道的問題攤開來問：

如果我們把多個 campaign 的被動 telemetry 長期疊起來，真的能更穩地辨識同一批攻擊者嗎？還是最後只是把模糊感累積得更有統計感而已？

ARCANE 的答案其實很有意思：跨 campaign 聚合確實能讓同一 actor 的輪廓更穩，但它並不會神奇地解決 attribution 的根本歧義。 換句話說，很多 CTI 團隊真正缺的，不是再多幾筆 beacon data，而是先承認光靠這類訊號，敵手之間本來就可能長得太像。

這篇論文在處理什麼問題？

作者瞄準的是一個很典型的 cyber attribution 困境：大多數方法都偏向單一 incident、單一 campaign、單次取證。這當然有其現實原因，因為事件來了就得先判斷；但代價是你常常只能看到局部切片。

ARCANE 想做的，是把這個切片拉長成時間序列。它把攻擊者輪廓想成一組多維特徵，特徵來源不是 flashy 的主機內部遙測，而是更貼近 CTI 圈常會拿到的covert beacon interactions 所衍生出的行為、基礎設施與時間特徵。然後再用 Bayesian belief network 把新觀測持續併進去，讓同一 actor 的指紋在跨 campaign、跨組織情境下慢慢變厚。

這個思路其實很合理，因為很多真正有價值的 attribution 線索，本來就不是單點證據，而是：

• 相似的 beaconing 節奏
• 重複出現的基礎設施習慣
• 相近的 operational timing
• 長時間下來看得出的行為慣性

作者等於是在問：如果把這些弱訊號長期堆疊，能不能把 attribution 從「像不像」推近到「比較像誰」？

ARCANE 怎麼做？

從摘要來看，ARCANE 的設計核心有三個部件：

1. Persistent adversary fingerprints：把 behavioral、infrastructural、temporal 特徵整理成持續更新的攻擊者輪廓。
2. Bayesian belief network：每當有新 campaign 或新組織的被動 telemetry 進來，就用機率方式把新證據整合進現有信念。
3. Time-decayed confidence metric：不是把所有歷史痕跡一視同仁，而是考慮時間衰減，讓較新的訊號對相似度與信心值有更大影響。

這種做法有個很 CTI 的優點：它不像很多 end-to-end 黑盒分類器那樣，直接假裝世界上每個 actor 都是乾淨可分的 label。 相反地，它比較像在經營一個會逐步累積、也會逐步修正的 attribution belief system。

對威脅情報團隊來說，這比一發定生死的 classifier 更接近現實，因為真正的 attribution 本來就常常是帶機率、帶保留、帶上下文的。

這篇 paper 最值得看的地方：它沒有把 attribution 說得太神

我覺得 ARCANE 最加分的，不是模型名字取得很玄，而是它最後得出的結論夠克制。

實驗結果顯示：

• 同一 actor 在多次 campaign 裡的相似度，確實通常高於不同 actor 之間的相似度。
• 但不同 actor 之間的分離度仍然有限。
• 即使沒有特別考慮對手進階 evasive adaptation，feature space 本身就存在 structural ceiling。
• 換句話說，問題不一定是敵手太會藏，而可能是大家本來就共享太多 operation pattern。

這其實是很重要的提醒。很多 attribution 研究容易把失敗歸因成 adversary 太狡猾，但 ARCANE 這篇在說的比較像是：

有時候你分不清楚，不是因為對方演得太好，而是因為你現在觀測到的特徵本來就不足以把兩批成熟對手切開。

這個差別很大。前者會把大家帶去做更誇張的 detection fantasy；後者會逼你正視情資來源的辨識上限。

為什麼這個 framing 對 CTI 團隊特別有價值？

因為它把 attribution 的討論，從「模型能不能分類」拉回到「訊號本身夠不夠區分」。這對 CTI 很關鍵。

很多威脅情報流程真正卡住的地方，不是你沒有分類器，而是你手上的 evidence classes 太單薄。例如如果你主要看的是 beacon telemetry，那你擅長捕捉的，往往是：

• 連線節律
• C2 行為模式
• 部分 infrastructure reuse
• 時間上的操作節奏

但你比較難看到的，可能是：

• targeting intent 的穩定偏好
• 跨受害者的任務目標一致性
• 組織內外的協同節奏
• 更高層的 operational relationships

而 ARCANE 摘要最後也直接點到這個方向：若要讓 attribution 更可靠，需要額外引入 targeting patterns、temporal coordination、infrastructure relationships 等新的 signal classes。

這句話我會把它翻成比較白話的版本：很多時候你不是缺更厲害的 attribution 引擎，而是缺不同層次的證據拼圖。

它的限制也很明顯，但那反而是可信的地方

ARCANE 的評估是建立在 synthetic dataset 上。這當然會讓人自然提高警覺，因為 attribution 問題只要一離開真實世界，很多 messy 的 confounder 就會被洗乾淨。

所以這篇 paper 目前比較像是在驗證一個方法論命題：

• 跨 campaign 聚合值不值得做？答案是值得。
• 只靠被動 beacon telemetry 能不能把 attribution 變成很清晰的辨識問題？答案是不太行。

某種程度上，這反而讓它比很多 headline 更誠實。它不是在賣「我們終於解掉 attribution」，而是在告訴你：aggregation 會提升穩定度，但不會自動創造可分性。

這篇論文對實務最大的提醒

如果把 ARCANE 的價值濃縮成幾點，我會抓這五件事：

1. Attribution 要做 longitudinal，而不是只做 incident-level snapshot。 單一事件常常證據太薄，跨 campaign 累積才看得到慣性。
2. 機率式信念更新比硬分類更適合情資現場。 因為真實 attribution 本來就不是非黑即白。
3. 不要把相似度上升誤認成歧義消失。 同一 actor 更像自己，不代表不同 actor 就更容易切開。
4. 真正的天花板可能在 feature space，不在 model choice。 如果特徵本身可分性不足，換模型多半只是換一種自信過頭的錯法。
5. CTI pipeline 需要多訊號融合。 只盯被動 telemetry，最終很容易只得到「有點像」，卻很難得到「足以定調」。

我的看法：這篇不是在解 attribution，而是在幫大家戒掉 attribution 幻覺

老實說，我喜歡這篇不是因為它讓 attribution 更夢幻，而是因為它讓這個問題看起來更像它本來的樣子。

很多資安世界的痛點，都不是完全沒有資料，而是資料長得像、噪音高、上下文缺、對手還會互相模仿。ARCANE 這篇 paper 其實在提醒一件很成熟的事：不要把 evidence accumulation 跟 ground-truth disambiguation 混為一談。

把資料堆久一點，確實能讓你對某個 actor fingerprint 更有把握；但如果敵手之間共享太多 TTP、共享太多 infrastructure 習慣、甚至刻意在同一種 operation style 裡活動，那 attribution 的模糊就不會因為你多跑幾輪 Bayesian 更新而自動消失。

所以我會把這篇放進 sectools.tw 的 CTI 主線裡，原因不是它有多 flashy，而是它很適合拿來校正期待：真正成熟的 threat intelligence，不是過度自信地把每個 campaign 都貼成某個 actor，而是知道哪些訊號能讓信心上升，哪些訊號再累積也還是不夠。

結語

ARCANE 最值得記住的一句話，我會濃縮成這樣：

跨 campaign 聚合能讓 attribution 更穩，但不會神奇地讓敵手彼此變得更容易區分；很多 CTI 真正缺的，不是再多一點同類型 telemetry，而是能跨層補足辨識力的不同證據。

如果你在做 threat hunting、CTI correlation、長期 adversary tracking，這篇 paper 值得看。不是因為它替 attribution 下了句點，而是因為它很清楚地告訴你：想把 attribution 做得像工程，不只要會累積資料，還要知道資料在哪裡先天不夠。