数据集概览
定义:ATT&CK 检测差距与TTP推理数据集是由长沙朗慧信息科技有限公司安全实验室构建的高价值安全分析数据集。聚焦当前企业安全检测体系中的覆盖盲区,为每条ATT&CK技术提供详细的检测差距分析、多步骤TTP推理链以及日志数据源映射,助力检测工程自动化与安全大模型推理能力训练。
| 数据集名称 | ATT&CK 检测差距与TTP推理数据集 |
| 数据总量 | 500~1,500条 |
| 数据类型 | 结构化 JSON |
| 数据来源 | 朗慧安全实验室 |
| 授权方式 | 商业授权 附带完整授权文件 |
| 交付周期 | 3-4周 |
| 覆盖技术 | 100+ ATT&CK技术/子技术 |
| 输出格式 | JSONL / CSV |
| 语言 | 中英双语 |
核心数据字段
每条数据包含技术标识、检测差距分析、TTP推理链、日志数据源映射及建议检测规则,覆盖从差距识别到规则生成的完整链路。
| 字段类别 | 字段数 | 典型字段 |
|---|---|---|
| 技术标识 | 4 | technique_id(ATT&CK技术ID)、technique_name(技术名称)、tactic(所属战术)、platform(适用平台) |
| 检测差距描述 | 3 | detection_gap(检测差距详细描述)、gap_category(差距类别:盲区/误报/延迟)、impact_assessment(影响评估) |
| TTP推理链 | 4 | step_no(攻击步骤序号)、action(攻击动作描述)、tool_used(使用工具/技术)、expected_log(预期日志特征) |
| 日志数据源映射 | 3 | data_source(数据源类型)、log_type(日志类型,如Windows Event/NetFlow/EDR)、log_field(关键日志字段) |
| 建议检测规则 | 3 | rule_type(规则类型:Sigma/YARA/Snort)、rule_content(规则内容片段)、false_positive_rate(预期误报率) |
数据样例展示
以下为结构化 JSON 样例,展示检测差距分析、TTP推理链及建议规则的典型数据格式。
{
"entry_id": "GAP-2024-0000347",
"technique_id": "T1562.001",
"technique_name": "禁用或修改系统防火墙",
"tactic": "Defense Evasion",
"platform": "Windows",
"detection_gap": {
"description": "攻击者使用netsh或PowerShell禁用Windows防火墙,当前多数SIEM方案仅监控服务停止事件(Event ID 7036),但netsh advfirewall set allprofiles state off不会产生服务停止事件,仅记录在Microsoft-Windows-Windows Firewall With Advanced Security/Firewall操作日志中。",
"gap_category": "检测盲区",
"impact_assessment": "高 — 导致后续C2通信不受防火墙限制,常见于勒索软件攻击的初始阶段"
},
"ttp_chain": [
{"step_no": 1, "action": "通过钓鱼邮件获取初始访问", "tool_used": "Spear-phishing Attachment", "expected_log": "Email Gateway: 恶意附件投递记录"},
{"step_no": 2, "action": "执行PowerShell下载C2工具", "tool_used": "PowerShell Invoke-WebRequest", "expected_log": "Sysmon Event ID 1: powershell.exe → TCP 443 outbound"},
{"step_no": 3, "action": "禁用Windows Defender实时保护", "tool_used": "Set-MpPreference -DisableRealtimeMonitoring $true", "expected_log": "Windows Defender Operational: Event ID 5001"},
{"step_no": 4, "action": "禁用Windows防火墙", "tool_used": "netsh advfirewall set allprofiles state off", "expected_log": "Windows Firewall Operational: Event ID 2003 (Rule modified)"},
{"step_no": 5, "action": "建立C2隧道并进行横向移动", "tool_used": "Cobalt Strike SMB Beacon", "expected_log": "Sysmon Event ID 3: SMB (TCP 445) lateral movement pattern"}
],
"log_source_mapping": {
"data_source": "Windows Firewall Operational Log",
"log_type": "Microsoft-Windows-Windows Firewall With Advanced Security/Firewall",
"log_field": "Event ID 2003 (Setting changed), 2004 (Rule added), 2005 (Rule deleted)"
},
"suggested_rule": {
"rule_type": "Sigma",
"rule_content": "title: Windows Firewall Disabled via Netsh\nlogsource: {product: windows, service: firewall}\ndetection:\n selection:\n EventID: 2003\n SettingType: 'DomainProfile/Firewall/EnableFirewall'\n SettingValue: 'false'\n condition: selection\nfalsepositives: Administrator maintenance window",
"false_positive_rate": "低(<5%)— 管理员维护窗口期除外"
},
"answer": {
"is_attack": true,
"attack_type": "防御规避",
"attck_phase": "Defense Evasion",
"detection_feasibility": "高 — 启用Firewall Operational日志后可检测"
}
}AI 应用场景
检测工程自动化
基于1,500条检测差距分析数据,训练AI自动识别当前SOC检测覆盖的盲区,自动生成Sigma/YARA/Snort检测规则,大幅提升检测工程的效率和覆盖率。
SIEM规则智能生成
利用TTP推理链和日志数据源映射数据,训练AI将攻击行为描述自动转换为SIEM查询规则和关联分析策略,实现从ATT&CK到可执行检测的端到端自动化。
推理链能力训练
多步骤TTP推理链数据训练安全大模型的因果推理能力,使其能从单一告警回溯到完整攻击链,理解攻击者行为逻辑并预测下一步攻击动作。
红蓝对抗仿真
基于真实检测差距和TTP链数据构建AI红队代理,自动生成能绕过现有检测的攻击路径,用于持续评估和提升企业安全防御能力。
安全基座模型评测
检测差距数据集可作为安全大模型的标准化评测基准,量化评估模型对各类攻击技术的检测覆盖度和推理准确性,形成可对比的能力画像。
ATT&CK覆盖度评估
自动分析企业现有日志源对ATT&CK各技术的可检测性,输出覆盖度热力图和差距清单,为安全建设投入提供数据驱动的优先级排序。
常见问题
需要定制化的检测工程数据方案?
长沙朗慧信息科技有限公司 DataAssetsAPI 平台,致力于为 AI 企业、科研机构提供高质量、合规的安全数据资产。支持按技术类别、按数据源、按检测规则类型灵活组合。
数据样本预览 · 定制化检测规则方案 · 专业技术支持