APT攻击检测可用的数据集大全_streamspot数据集

高级长期威胁（英语：Advanced Persistent Threat，缩写：APT），又称高级持续性威胁、先进持续性威胁等，是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定的目标。其通常是出于商业或政治动机，针对特定组织或国家，并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素：高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标，并从其获取数据。威胁则指人为参与策划的攻击。

一、StreamSpot数据集

StreamSpot数据集中一共包含 6 个场景，其中 5 个正常行为，包括看 YouTube视频、检测邮件等，以及一个攻击行为。攻击场景是从一个恶意 URL下载程序并利用一个闪存漏洞获取系统管理员权限。该数据集收集过程中，每个场景运行了 100 次，并使用 SystemTap 记录信息。

【链接1】StreamSpot数据集 GitHub
【链接2】StreamSpot数据集 HARVARD官网

二、DARPA TC 数据集

DARPA TC 数据集来自美国国防高级研究计划局（Defense Advanced Research Projects Agency,DARPA）的透明计算（transparent computing, TC）项目。该项目组织红队蓝队进行攻防演练，在此过程中， 收集系统细粒度行为数据，进行攻击检测和取证溯源，并形成报告。

【链接1】DARPA TC 数据集 GitHub
【链接2】DARPA TC 数据集 谷歌云盘

使用论文：以溯源图为输入的图神经网络 APT 检测研究_欧阳规格

三、Unicorn SC - 2 数据集

SC数据集由 UNICORN作者收集。在 SC 数据集中共模拟了两个 APT 攻击场景 wget和shell-shock。对于每个场景，实验持续了 3 天，在此过程中，使用 CamFlow（v0.5.0）作为工具收集溯源图。该数据集包含125个良性行为的溯源数据和25个包含恶意行为的溯源数据。

【链接】Unicorn SC - 2 数据集 GitHub
【使用论文】基于溯源图节点级别的APT检测_罗汉新

四、CCCS-CIC-AndMal-2020

【链接】CCCS-CIC-AndMal-2020 官网
【使用论文】隐私保护的基于图卷积神经网络的攻击溯源方法_李腾

五、DARPA 2000

• LLDOS 1.0 - Scenario One
  这是为DARPA创建的第一个攻击场景数据集，也是这项工作的一部分。它包括一个由新手攻击者发起的分布式拒绝服务攻击。未来此数据集和其他示例场景的版本将包含更加隐蔽的攻击版本。
  此攻击场景是在多个网络和审计会话中执行的。这些会话被分为五个攻击阶段，在此过程中，攻击者探测网络、通过利用Solaris sadmind漏洞侵入主机、安装trojan mstream DDoS软件，并从被攻陷的主机向外部服务器发起DDoS攻击。
  •对手：新手
  •对手目标：安装组件并进行DDOS攻击
  •防御者：天真
  •数据和标签信息可供下载

• LLDOS 2.0.2 - Scenario Two
  这是为DARPA创建的第二个攻击场景数据集，也是这项工作的一部分。它包括一个比第一个数据集中的攻击者更加隐蔽的攻击者发起的分布式拒绝服务攻击。该攻击者仍然被认为是新手，因为尽管攻击更加隐蔽，但攻击方式仍然可以通过下载和运行脚本进行。
  此攻击场景是在多个网络和审计会话中执行的。这些会话被分为五个攻击阶段，在此过程中，攻击者探测网络、通过利用Solaris sadmind漏洞侵入主机、安装trojan mstream DDoS软件，并从被攻陷的主机向外部服务器发起DDoS攻击。
  •对手：新手
  •对手目标：安装组件并进行DDOS攻击
  •防御者：天真
  •数据和标签信息可供下载

【链接】DARPA 2000 官网