APT Dataset
收藏github2025-03-17 更新2025-03-23 收录
下载链接:
https://github.com/AbSamad99/APTsDataset
下载链接
链接失效反馈官方服务:
资源简介:
该数据集包含了MITRE Caldera的对手配置和能力、低级遥测日志以及MITRE技术。我们实现了24种不同的APT活动,涵盖了12种APT,适用于Windows和Linux环境。通过这个数据集,我们旨在帮助研究人员开发先进的防御方法和推进威胁归因研究。
This dataset includes adversary configurations and capabilities of MITRE Caldera, low-level telemetry logs, as well as MITRE adversary techniques. We have implemented 24 distinct APT campaigns covering 12 APT families, applicable to both Windows and Linux environments. Through this dataset, we aim to help researchers develop advanced defensive methods and advance threat attribution research.
创建时间:
2025-03-13
原始信息汇总
APTsDataset 数据集概述
数据集简介
- 数据集来源:MITRE Caldera模拟的APT攻击活动日志
- 主要内容:
- MITRE Caldera对手配置文件和能力脚本
- 低级遥测日志
- MITRE ATT&CK技术实现
- 规模:包含24个多样化APT活动(12个APT组织),覆盖Windows和Linux环境
测试环境架构
-
攻击组件:
- MITRE Caldera服务器(攻击指挥中心)
- HTTP文件共享服务器(用于载荷投递)
-
目标设备:
- 多操作系统虚拟机(Windows/Linux)
- 可配置企业服务(AD/DNS/DHCP等)
-
监控组件:
- ELK日志分析套件(Elasticsearch+Logstash+Kibana)
- Beats轻量级日志采集器
核心组件说明
MITRE Caldera
- 代理程序:目标机上的轻量级控制程序
- 能力脚本:映射MITRE ATT&CK技术的执行脚本
- 对手配置文件:模拟真实APT组织的TTP序列
- 攻击操作:基于配置文件的自动化攻击流程
ELK日志处理
- 日志增强规则:通过Logstash实现
- 关键词匹配识别攻击指标(IoC)
- 自动标注MITRE战术/技术信息
- 示例规则:进程发现(Process Discovery)技术检测规则
包含的APT组织
| 组织名称 | MITRE编号 | 操作系统 | 技术数量 | 数据内容 |
|---|---|---|---|---|
| APT41 | G0096 | Linux×2, Windows×1 | 12/11/20 | 日志+技术+脚本 |
| APT39 | G0087 | Linux×1, Windows×1 | 13/18 | 日志+技术+脚本 |
| APT32 | G0050 | Linux×1, Windows×1 | 11/18 | 日志+技术+脚本 |
| ...(其他9个APT组织)... |
引用信息
- 论文标题:Comprehensive Advanced Persistent Threats Dataset
- 作者:A. Syed等5人
- 期刊:IEEE Networking Letters (2025)
- DOI:10.1109/LNET.2025.3551989
- 许可证:CC-BY-4.0
搜集汇总
数据集介绍
构建方式
APT Dataset的构建基于MITRE Caldera平台,通过模拟24个多样化的APT(高级持续性威胁)攻击活动,涵盖了12个不同的APT组织在Windows和Linux环境下的攻击行为。数据集的构建过程包括创建攻击配置文件、生成低级别遥测日志以及映射MITRE ATT&CK框架中的技术。测试环境由攻击箱、目标设备和监控箱三部分组成,攻击箱负责运行Caldera以模拟攻击,目标设备运行不同操作系统,监控箱则通过ELK堆栈实时收集和分析日志数据。这种结构确保了数据集的扩展性和可重复性。
特点
APT Dataset的特点在于其全面性和多样性。数据集不仅包含了多种APT组织的攻击行为模拟,还提供了详细的低级别遥测日志,这些日志能够反映攻击过程中的具体操作。此外,数据集中的攻击行为均与MITRE ATT&CK框架中的技术和战术相对应,便于研究人员进行威胁归因和防御策略的开发。数据集还支持跨平台攻击模拟,涵盖了Windows和Linux环境,进一步增强了其适用性和研究价值。
使用方法
APT Dataset的使用方法主要围绕数据分析和攻击模拟展开。研究人员可以通过数据集中的低级别遥测日志,结合ELK堆栈进行实时监控和数据分析,识别攻击行为中的关键指标。此外,数据集提供了详细的攻击配置文件和能力脚本,用户可以通过MITRE Caldera平台复现攻击过程,测试和验证防御策略的有效性。数据集还支持自定义攻击模拟,用户可以根据研究需求调整攻击配置,进一步探索不同APT组织的攻击模式和防御方法。
背景与挑战
背景概述
APT Dataset 是由 Concordia 大学的研究团队于2025年发布的一个专注于高级持续性威胁(APT)模拟的数据集。该数据集旨在通过模拟24种不同的APT攻击活动,涵盖12个APT组织在Windows和Linux环境中的行为,为网络安全研究人员提供丰富的低级别遥测日志、MITRE Caldera对手配置和能力数据。通过结合MITRE ATT&CK框架,该数据集为威胁归因和防御策略的研究提供了坚实的基础。其核心研究问题在于如何通过模拟真实世界的APT攻击行为,帮助开发更先进的检测和防御机制。该数据集的发布对网络安全领域的研究和实践产生了深远影响,尤其是在威胁情报和攻击行为分析方面。
当前挑战
APT Dataset 的构建面临多重挑战。首先,模拟真实的APT攻击行为需要高度复杂的攻击路径设计和多样化的技术实现,以确保数据集的广泛适用性。其次,数据收集过程中,如何准确捕获低级别遥测日志并将其与MITRE ATT&CK框架中的战术和技术进行映射,是一个技术难点。此外,数据集的扩展性和可重复性也是关键挑战,特别是在不同操作系统和网络拓扑环境中保持数据的一致性和完整性。最后,如何确保数据集的隐私和安全性,避免模拟数据被误用或泄露,也是构建过程中需要重点考虑的问题。
常用场景
经典使用场景
APT Dataset 主要用于模拟高级持续性威胁(APT)攻击,通过 MITRE Caldera 工具生成多样化的攻击场景,涵盖 Windows 和 Linux 环境。该数据集提供了详细的低级别遥测日志、MITRE 技术和攻击路径,为研究人员提供了一个可重复的实验平台,用于开发和测试先进的防御机制。
实际应用
在实际应用中,APT Dataset 被广泛用于企业安全团队的威胁模拟和红队演练。通过使用该数据集,安全团队可以模拟真实的 APT 攻击场景,评估其防御系统的有效性,并识别潜在的安全漏洞。此外,该数据集还可用于培训网络安全人员,提升其应对复杂威胁的能力。
衍生相关工作
APT Dataset 的发布推动了多项相关研究工作的开展。例如,基于该数据集的威胁检测算法研究、APT 攻击行为分析以及自动化防御系统的开发。这些研究不仅扩展了数据集的应用范围,还为网络安全领域提供了新的理论和方法支持,进一步推动了 APT 防御技术的发展。
以上内容由遇见数据集搜集并总结生成
