2026-04-13 07:06:42 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 该综述系统梳理了基于ATT&CK框架的技术关联分析方法，指出其从静态统计向高阶动态语义演进的三层次范式。文章总结了关联分析在攻击链路补全、意图预测和防御优化三大场景的应用价值，并提出未来需加强动态上下文建模、跨模态情报融合及神经符号协同发展。 综合评分： 82 文章分类： 威胁情报,漏洞分析,安全运营,技术标准,解决方案

cover_image

学术前沿 | 基于ATT&CK框架的技术关联分析方法综述

网络空间安全科学学报

2026年4月9日 17:29 北京

引用

钟睿, 冯文英, 李若南, 等. 基于ATT&CK框架的技术关联分析方法综述[J]. 网络空间安全科学学报, 2025, 3(5): 2-13 https://doi.org/10.20172/j.issn.2097-3136.250501

Zhong Rui, Feng Wenying, Li Ruonan, et al. Survey of technique association analysis methods based on the ATT&CK framework[J]. Journal of Cybersecurity, 2025, 3(5): 2-13 https://doi.org/10.20172/j.issn.2097-3136.250501

背景

近年来，网络攻防对抗日趋激烈，高级持续性威胁等复杂多步攻击已成为关键信息基础设施面临的主要风险。现代网络攻击往往横跨初始访问、横向移动与数据渗出等多个阶段，防守方长期受困于“告警疲劳”与“溯源断链”的困境。传统的防御手段高度依赖易被篡改的失陷指标，防御效果逐渐下降。在此背景下，防御视角正转向金字塔顶层的战术、技术和过程。在实际应急响应中，安全系统往往只能捕获到零散、孤立的技术标签。如何将单点观测转化为连续的攻击行为描述与攻击意图推理，成为从被动响应走向主动防御的关键。综述系统梳理了ATT&CK框架（如图1所示）下技术关联分析的发展脉络，全面评估了现有研究方法的演进层次与适用边界，并探讨了其在各类安全运营场景中的实战价值。

图1 ATT&CK框架：战术按列排布，技术按行排布

Fig 1 ATT&CK matrix : tactics are organized by columns while techniques by rows

要解决从离散行为观测到连续意图推理的转换问题，需要一套系统性的方法来挖掘并建模攻击技术之间以及技术与多维上下文要素之间的逻辑与映射关系。技术关联分析正是这一目标下的研究范式。它独立于具体物理资产，聚焦于攻击者的战术意图与技术组合，旨在回答“攻击者习惯采用何种战术组合来达成目标”。通过整合静态规则挖掘、动态时序预测以及大语言模型的高阶推理，技术关联分析为自动化威胁捕获与主动防御提供了一个标准化的框架体系。为了清晰揭示这一范式的演进规律，研究者需要建立多维度的评价标准。

技术关联建模的范式正经历从“浅层静态统计”向“高阶动态语义”的演进。以“对攻击上下文及时间序列依赖的建模深度”为划分标准，现有分析方法可归纳为三个递进层次。第一层是基于统计共现与关联规则的静态模式挖掘，这类方法计算开销小，侧重于从宏观历史频次中提取浅层条件关联，但缺乏时序感知能力。第二层是基于概率图与时序模型的动态演进分析，一定程度上弥补了静态方法的不足，能有效捕捉多步攻击的状态转移与时间依赖，但往往停留在离散标签层面的流转。第三层是基于图计算与大语言模型的高阶语义挖掘，这类方法致力于突破异构拓扑与非结构化情报的融合瓶颈，利用自注意力机制深度解析细粒度上下文，实现深层语义与跨模态的因果映射。表1总结了各类方法及其适用边界。

表1 各类技术关联分析方法的横向对比与适用边界

Table 1 Comparative Analysis of the Different Methods

技术关联分析的目的不仅在于归纳历史攻击规律，还期望将挖掘出的技术演进逻辑服务于防御实战。其主要下游任务可归纳为三大场景：针对观测视角残缺导致的“断链”问题，利用关联模型进行攻击链路空缺补全；基于当前观测到的初始入侵行为，进行攻击意图预测，推演后续最可能的技术动向；以及通过结构化分析关联模型，实现防御资源的精准调度与检测策略的针对性优化。这些应用场景覆盖了从事后溯源到事前预警的完整链条，为安全运营提供了可行的技术路径。

总结

技术关联分析为深入理解攻击者行为模式、实现主动防御提供了有力的理论支撑。尽管当前研究在算法精度与工程落地上均取得了显著进展，但面对日益隐蔽、复杂的网络攻击与海量多源异构数据仍显局限。未来，面向高对抗环境的动态上下文细粒度建模、跨模态威胁情报与异构拓扑的深度融合，以及构建“大语言模型+知识图谱”的神经符号协同范式，将是提升自动化威胁捕获精度与可解释性的关键演进方向。

论文全文下载方式

1 识别下方二维码；2 点击文末“阅读原文”。

来源：《网络空间安全科学学报》2025年第五期

《网络空间安全科学学报》由中国航天科技集团有限公司主管、中国航天系统科学与工程研究院主办，双月刊，国内外公开发行（CN 10-1901/TP，ISSN 2097-3136），入选中国科学引文数据库（CSCD）核心库、《信息通信领域高质量科技期刊分级目录》T2级。办刊宗旨为“搭建网络空间安全领域学术研究交流平台，传播学术思想与理论，展示科学研究、创新技术与应用成果，助力网络空间安全学科建设，为网络强国建设提供坚实支撑与服务”。

网站：http://www.journalofcybersec.cn

电话：010-89061756

邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络空间安全科学学报《学术前沿 | 基于ATT&CK框架的技术关联分析方法综述》