九游老哥

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
AI清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划 AI清静 AI清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务九游老哥网站清静监测服务Websafe 九游老哥黑洞云洗濯服务 CCSS 九游老哥网站云防护服务 WCP 九游老哥威胁情报中心NTI 九游老哥科技威胁情报云端解决计划九游老哥科技威胁情报外地解决计划九游老哥威胁检测与响应服务MDR 九游老哥外部攻击面治理服务EASM 九游老哥轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营九游老哥云九游老哥云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2025年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京九游老哥公益基金会鲲鹏基金产品清静软件升级

返回列表

ATT&CK驱动下的清静运营数据剖析，怎样“落地”？

2020-11-25

?ATT&CK（AdversarialTactics, Techniques, and Common Knowledge）是一个攻击行为知识库和威胁建模模子，主要应用于评估攻防能力笼罩、APT攻击防护、威胁狩猎、威胁情报关联及攻击模拟等领域。自宣布以来，知识社区相当活跃，引发工业界和研究界的热捧，已逐渐生长为网络威胁剖析语境下的通用元语。ATT&CK以相对适当的知识笼统条理，充分笼罩威胁领域的技战术场景，给清静防御能力的匹配与比照提供了标杆和抓手，是其乐成的要害。

在ATT&CK的驱动下，越来越多的数据源屎厕能力成为企业威胁防护的标配。不过，关于清静运营团队来说，大规模、规范化的收罗数据的接入只是起点，怎样使用数据对抗愈发隐匿的高级威胁行为，一连降低企业和组织的危害才是要害所在。本文将从实践出发，探讨总结ATT&CK驱动下清静运营数据剖析的适用性挑战。

一、数据挖掘的新机缘

ATT&CK之前，LockheedMartin的攻击链模子（Cyber Kill Chain），微软的STRIDE模子等是威胁建模、告警分类分级、知识库建设的主要基础。各个清静厂商普遍量身定做了细粒度威胁模子。MITRE通过开源众筹的ATT&CK知识库，以适中的笼统要领，较乐成地实现了系统化的攻击者技战术行为建模，有用地降低了威胁情报、威胁建模等领域的相同本钱。若是说古板威胁剖析能力的建设是各人在各自的语境方言里自说自话，那么ATT&CK就给出了一个辞书基线，识不识字、能力强弱的问题各人对齐语义就可以拿出来比一比了。

图1 APT29的预防手段与检测（数据源）[1]

ATT&CK为网络战场的防守方提供了一个攻预防战全景手册，上图展示了笼罩APT29的预防和检测需要实现的缓解步伐列表和检测数据源列表。包括终端、网络、文件等多源、多维度的二十余类数据的收罗，给威胁剖析带来全新的剖析机缘，包括多维度细粒度的线索与关联、深度的事务取证、更准确的威胁态势危害评估等�？梢运�，ATT&CK知识库在一定水平上增进了XDR（Extended Detection and Response）解决计划的看法炒作。多源多维数据源的集成自己不是新鲜事，但以真实APT情报驱动，并条理化映射到威胁行为的战术和手艺实现层面，ATT&CK矩阵实例化展示了高级威胁防护的落地思绪。总结来看，ATT&CK驱动下的数据融合为威胁防御方带来以下新的机缘：

1、增进数据归一化、本体化及关联性提升。无论是内部检测能力命名，照旧与外部威胁情报对接，ATT&CK矩阵为企业或组织内数据湖的数据融合提供了技战术笼统条理的对齐计划�；镜�，类似告警或事务有了明确的归类条理。进阶的，数据中隐含的数据实体及其关联关系，能够在统一的框架下实现本体化建模，为知识图谱等基于网络和图的数据结构构建提供基础。

2、增进剖析能力与营业的解耦。诸多机械学习算法已经应用于威胁检测、溯源等环节。然而，许多手艺底层集成类似的剖析算法却形成看似差别的应用计划。其中的手艺冗余为数据剖析能力的可拓展性带来瓶颈。ATT&CK矩阵从攻防视角为“清静能力中台”的构建提供了新思绪。通用算法能力能够从古板的数据剖析孤岛中笼统出来，并与上一层的清静营业需求解耦。例如，经典的序列剖析模子可用于事务展望、异常检测等差别条理的场景。在统一的数据湖之上，剖析算法能够充分�？榛�，形成可编排的挪用接口以供无邪的挪用与集成。

3、增进剖析算法的语义化。欠语义化一直以来都是数据驱动威胁检测的痛点�；谕臣频哪Ｊ绞侗鹩胍蚬饰�，往往需要在适领先验知识的约束下，才华顺应清静数据的剖析目的。ATT&CK通过矩阵的战术阶段划分，在目的层、剖析层以及数据层上自然的提供了有明确语义的关联关系。这一语义增强，给数据驱动威胁剖析效果提供了讲故事的范本，为运营职员提供了可诠释、可明确的线索入口。

图2 融合ATT&CK与KillChain的攻击建模[2]

二、数据挖掘的适用性挑战

ATT&CK是攻防天下里的一次知识标准化的浪潮，已经切实的渗透到清静能力生长的各个角落。我们看到愈发多的框架设计、解决计划、产品实现已经融合ATT&CK的头脑与知识标签。当最先直面ATT&CK驱动下新的数据形势，在看到威胁狩猎新机缘的同时，我们也发明更大规模、更周全的数据笼罩，给清静运营带来全新的挑战。虽然，这些挑战绝大部分不是ATT&CK引入的新话题。ATT&CK引发的攻防思潮的统一，很洪流平上对清静运营数据梦魇的泛起起到了推波助澜的作用。

实质上，大规模清静运营数据剖析的难题来自于攻守的不平衡性。常态化清静运营的目的是在合理的投入产出比下，一连的监控并降低企业和组织的系统化清静危害。能够在态势大屏上展现出来的威胁趋势，很难适用于高隐匿性、低频的高级威胁的狩猎使命。在攻守失衡的条件约束下，ATT&CK似乎给出一剂良药的配方，那么凭证配方网络好每一味药材，熬一熬就能预防病害吗？网络清静威胁的破损性，要求防御方不可求诸玄学。以下，将从数据接入、线索发明、事务重修三个角度，总结在探索ATT&CK科学化应用中的要害性挑战。

01数据接入：系统瓶颈与数据危害

图3 溯源数据剖析系统的一样平常手艺框架[3]

如前所述，一方面高级威胁低频且具有隐匿性，另一方面企业和组织需要一连举行危害管控。因此，从ATT&CK矩阵笼罩率的角度思量，所需收罗的数据种类多、数据规模异常重大。上图展示了一个典范终端威胁检测处置惩罚系统的架构，涉及从数据收罗、治理、检测等多个环节。若是没有有用的预处置惩罚环节，单台用户主机的一样平常流量、终端行为日志量至少天天可达数百兆字节，更不必说提供服务资源等功效性节点。不止是数据吞吐量大，为了知足合规需求，支持事务溯源、关联等威胁剖析使命，所收罗的数据往往需要长达数百天的长期化留存。这些数据的收罗、传输、存储等给算力、网络、数据库等各个系统环节带来重大的压力。其衍生效果就是，许多收罗能力被禁用，大宗数据在预设的价值判断战略下被提前扬弃，这可能导致威胁线索和证据链的时效。数据爆炸所爆发的这些现实问题成为XDR等手艺计划落地的要害阻碍。

别的，只管有战略设置的限制，终端、网络数据的细粒度收罗，难免会将涉及用户隐私，或者企业焦点服务相关敏感行为等数据上传到云端等中心化数据中心中。这种清静数据收罗引入的伴生数据危害，将对其清静能力的落地引入新的担心。

02线索发明：召回模子与高误报率

ATT&CK矩阵中的大部分攻击手艺笼统都是召回战略驱动的。如下图所示，是MITRE所跟踪视察的93个APT组织使用次数最多的十种手艺（该手艺划分命名基于改版之前的MITRE矩阵，尚未包括子手艺的看法）。其中能够直接对应到攻击行为的手艺形貌，只有Spearphishing Attachment，Credential Dumping和Obfuscated Files这三类，其他七类手艺划分单独来看，都是正常网络行为与操作。ATT&CK的要害目的在于笼罩和召回，而从清静运营的视角来看，在事务规模膨胀的现状下，误报率是一个很是要害的有用性权衡指标。一项针对赛门铁克终端告警的剖析批注，由34台机械触发的58096条告警中，与检测目的APT29行为相关真实告警只有1104条，告警的精度只有1.9%。大规模误报告警带来的误报疲劳，会一连降低整个清静运营团队的运转效率。虽然，除了攻击手艺分类之外，ATT&CK针对每一种手艺，都提供了有指导意义的预防和检测战略。不过，这些防御战略的落实仍需在现实的数据剖析中试错。

图4 MITRE APT关联的常见手艺统计[4]

03事务重修：一词多义与依赖爆炸

ATT&CK通过阶段划分，给详细手艺的归类付与了一定的语义关联，给清静团队讲故事提供了线索串联的范本。然而，从数据挖掘和关联的角度，有两个主要的问题需要思量。第一个问题是一词多义，是指一个手艺可能横跨多个战术实现，并以差别的粒度泛起在一定的威胁上下文中。例如T1053准时使命（ScheduledTask/Job），包括在执行（Execution）、长期化（Persistence）和提权（PrivilegeEscalation）三个战术目的中。ATT&CK将T1053手艺划定为一种统一的手艺，并未针对详细战术举行细粒度的形貌。这实质上是由ATT&CK的手艺笼统条理决议的，然而这给数据剖析使命带来新的挑战——需要解决充清楚确手艺触发的上下文，并付与该手艺明确的战术语义。

图5 APT 29攻击事务溯源数据图[4]

第二个问题是依赖爆炸。这包括两个条理，第一个条理是ATT&CK的战术模子不是因果模子，也不具有统计意义。我们可以从MITRE提供的APT实例中看到详细的技战术执行数据流。然而，在现实检测、溯源剖析中，技战术的跳转是矩阵中的多战术之间、单战术之内的多种手艺计划的排列组合问题，在任何特定场景和现真相形中的高级威胁行为序列是奇异的，纪律性难以捕获。第二个条理是在细粒度的溯源数据层面（Provenance），现阶段的数据收罗在一定的资源限制下，难以细腻描绘信息转达流。像文件操作、网络输入、历程建设等，保存一对多、多对多的路径依赖问题。由于该条理数据的细粒度特征，依赖爆炸直接加剧了数据存储、检测、溯源等各个环节的手艺难度。

三、总结

从清静运营的实战来看，MITRE ATT&CK从数据规范性、能力笼统、语义增强等多个方面给威胁建模与剖析领域带来新机缘。然而，ATT&CK也逃不过清静运营大规模数据剖析挖掘的适用性命题。本文总结了多个条理中，与ATT&CK相关的数据挖掘挑战，以期与列位读者分享数据与智能驱动清静运营的未来生长偏向。

参考资料

[1] MITREATT&CK Roadmap

[2]https://sgros-students.blogspot.com/2019/01/mitre-att-and-unified-kill-chain.html、

[3]Threat Detection and Investigationwith System-level Provenance Graphs: A Survey

[4]Tactical ProvenanceAnalysis for Endpoint Detection and Response Systems》

<<上一篇

天下互联网大会｜网络清静点亮乌镇“互联网之光”

>>下一篇

落子盛京 | 沈阳高新手艺工业开发区与九游老哥科技签署战略相助协议

?

您的联系方法

购置热线

提交项目需求

接待加入九游老哥科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

九游老哥科技社区

九游老哥科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于九游老哥: 公司先容; 公司声誉; 九游老哥书橱; 九游老哥新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系九游老哥: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: 九游老哥云; 九游老哥威胁情报中心NTI; TechWorld手艺嘉年华; 北京九游老哥公益基金会; 手艺博客; 乐成案例

微博

微信

B站

抖音

视频号

视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

? 2026 NSFOCUS 九游老哥科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号