ATT&CK 检测差距与TTP推理数据集

500~1,500条高价值检测差距分析+TTP推理链 | 日志数据源映射 | 五元组关联 | 检测工程自动化训练

1,500条
高价值分析数据
检测差距
覆盖度分析
TTP推理链
攻击推理
日志映射
数据源关联
3-4周
交付周期

数据集概览

定义:ATT&CK 检测差距与TTP推理数据集是由长沙朗慧信息科技有限公司安全实验室构建的高价值安全分析数据集。聚焦当前企业安全检测体系中的覆盖盲区,为每条ATT&CK技术提供详细的检测差距分析、多步骤TTP推理链以及日志数据源映射,助力检测工程自动化与安全大模型推理能力训练。

数据集名称ATT&CK 检测差距与TTP推理数据集
数据总量500~1,500条
数据类型结构化 JSON
数据来源朗慧安全实验室
授权方式商业授权 附带完整授权文件
交付周期3-4周
覆盖技术100+ ATT&CK技术/子技术
输出格式JSONL / CSV
语言中英双语

核心数据字段

每条数据包含技术标识、检测差距分析、TTP推理链、日志数据源映射及建议检测规则,覆盖从差距识别到规则生成的完整链路。

字段类别字段数典型字段
技术标识4technique_id(ATT&CK技术ID)、technique_name(技术名称)、tactic(所属战术)、platform(适用平台)
检测差距描述3detection_gap(检测差距详细描述)、gap_category(差距类别:盲区/误报/延迟)、impact_assessment(影响评估)
TTP推理链4step_no(攻击步骤序号)、action(攻击动作描述)、tool_used(使用工具/技术)、expected_log(预期日志特征)
日志数据源映射3data_source(数据源类型)、log_type(日志类型,如Windows Event/NetFlow/EDR)、log_field(关键日志字段)
建议检测规则3rule_type(规则类型:Sigma/YARA/Snort)、rule_content(规则内容片段)、false_positive_rate(预期误报率)

数据样例展示

以下为结构化 JSON 样例,展示检测差距分析、TTP推理链及建议规则的典型数据格式。

{
  "entry_id": "GAP-2024-0000347",
  "technique_id": "T1562.001",
  "technique_name": "禁用或修改系统防火墙",
  "tactic": "Defense Evasion",
  "platform": "Windows",
  "detection_gap": {
    "description": "攻击者使用netsh或PowerShell禁用Windows防火墙,当前多数SIEM方案仅监控服务停止事件(Event ID 7036),但netsh advfirewall set allprofiles state off不会产生服务停止事件,仅记录在Microsoft-Windows-Windows Firewall With Advanced Security/Firewall操作日志中。",
    "gap_category": "检测盲区",
    "impact_assessment": "高 — 导致后续C2通信不受防火墙限制,常见于勒索软件攻击的初始阶段"
  },
  "ttp_chain": [
    {"step_no": 1, "action": "通过钓鱼邮件获取初始访问", "tool_used": "Spear-phishing Attachment", "expected_log": "Email Gateway: 恶意附件投递记录"},
    {"step_no": 2, "action": "执行PowerShell下载C2工具", "tool_used": "PowerShell Invoke-WebRequest", "expected_log": "Sysmon Event ID 1: powershell.exe → TCP 443 outbound"},
    {"step_no": 3, "action": "禁用Windows Defender实时保护", "tool_used": "Set-MpPreference -DisableRealtimeMonitoring $true", "expected_log": "Windows Defender Operational: Event ID 5001"},
    {"step_no": 4, "action": "禁用Windows防火墙", "tool_used": "netsh advfirewall set allprofiles state off", "expected_log": "Windows Firewall Operational: Event ID 2003 (Rule modified)"},
    {"step_no": 5, "action": "建立C2隧道并进行横向移动", "tool_used": "Cobalt Strike SMB Beacon", "expected_log": "Sysmon Event ID 3: SMB (TCP 445) lateral movement pattern"}
  ],
  "log_source_mapping": {
    "data_source": "Windows Firewall Operational Log",
    "log_type": "Microsoft-Windows-Windows Firewall With Advanced Security/Firewall",
    "log_field": "Event ID 2003 (Setting changed), 2004 (Rule added), 2005 (Rule deleted)"
  },
  "suggested_rule": {
    "rule_type": "Sigma",
    "rule_content": "title: Windows Firewall Disabled via Netsh\nlogsource: {product: windows, service: firewall}\ndetection:\n  selection:\n    EventID: 2003\n    SettingType: 'DomainProfile/Firewall/EnableFirewall'\n    SettingValue: 'false'\n  condition: selection\nfalsepositives: Administrator maintenance window",
    "false_positive_rate": "低(<5%)— 管理员维护窗口期除外"
  },
  "answer": {
    "is_attack": true,
    "attack_type": "防御规避",
    "attck_phase": "Defense Evasion",
    "detection_feasibility": "高 — 启用Firewall Operational日志后可检测"
  }
}

AI 应用场景

检测工程自动化

基于1,500条检测差距分析数据,训练AI自动识别当前SOC检测覆盖的盲区,自动生成Sigma/YARA/Snort检测规则,大幅提升检测工程的效率和覆盖率。

SIEM规则智能生成

利用TTP推理链和日志数据源映射数据,训练AI将攻击行为描述自动转换为SIEM查询规则和关联分析策略,实现从ATT&CK到可执行检测的端到端自动化。

推理链能力训练

多步骤TTP推理链数据训练安全大模型的因果推理能力,使其能从单一告警回溯到完整攻击链,理解攻击者行为逻辑并预测下一步攻击动作。

红蓝对抗仿真

基于真实检测差距和TTP链数据构建AI红队代理,自动生成能绕过现有检测的攻击路径,用于持续评估和提升企业安全防御能力。

安全基座模型评测

检测差距数据集可作为安全大模型的标准化评测基准,量化评估模型对各类攻击技术的检测覆盖度和推理准确性,形成可对比的能力画像。

ATT&CK覆盖度评估

自动分析企业现有日志源对ATT&CK各技术的可检测性,输出覆盖度热力图和差距清单,为安全建设投入提供数据驱动的优先级排序。

常见问题

数据集的授权方式是怎样的?可以用于商业AI训练吗?
本数据集由长沙朗慧信息科技有限公司提供商业授权,明确覆盖商业AI模型训练与评测场景。可在授权范围内合法使用数据集进行模型训练、微调和商业评估。详细条款请联系商务获取。
检测差距分析的覆盖范围如何?
覆盖100+ATT&CK技术/子技术,每项技术均有详细的检测盲区分析、TTP推理链(3-6步不等)以及对应的日志数据源映射。目前重点覆盖Defense Evasion、Execution、Credential Access等高价值战术类别。
TTP推理链的数据来源是什么?
推理链基于公开APT报告、威胁情报平台数据和安全事件响应案例的交叉验证构建,经朗慧安全实验室的安全分析师人工审核标注,确保推理逻辑的合理性和实战价值。
建议的检测规则可以开箱即用吗?
提供的规则为Sigma/YARA/Snort格式的模板片段,标注了日志源、关键字段和预期误报率。实际部署需根据您的日志基础设施进行参数调优(如阈值调整、白名单配置)。我们也可提供定制化的完整规则开发服务。
如何获取数据或商务咨询?
本数据集由长沙朗慧信息科技有限公司旗下 DataAssetsAPI 平台运营。支持标准数据集和按需定制两种模式。请联系我们获取详细数据目录、样本预览和报价方案。

需要定制化的检测工程数据方案?

长沙朗慧信息科技有限公司 DataAssetsAPI 平台,致力于为 AI 企业、科研机构提供高质量、合规的安全数据资产。支持按技术类别、按数据源、按检测规则类型灵活组合。

数据样本预览 · 定制化检测规则方案 · 专业技术支持