文章总结： 本文从实战角度阐述如何将定向攻击生命周期、网络杀伤链、MITREATT&CK和钻石模型结合应用于日常安全运营。作者指出杀伤链适合事件复盘和检测规则优化，ATT&CK提供标准化攻击行为描述语言，钻石模型则通过对手、基础设施、能力、受害者四个维度实现入侵聚类和活动线分析。核心建议是将这些框架串联使用，通过结构化分析将单次事件转化为持续改进的检测能力，实现从被动响应到主动防御的升级。 综合评分： 85 文章分类： 威胁情报,安全运营,实战经验,安全建设,漏洞分析

实战视角：如何将攻击生命周期、杀伤链、ATT&CK和钻石模型用于日常运营

幻泉之洲

2026年3月22日 09:27 北京

在小说阅读器读本章

去阅读

在安全运营中，杀伤链、ATT&CK和钻石模型不是摆设，而是帮我们从每个入侵中学习的工具。这篇文章将展示如何把它们结合起来，把单一事件变成持续改进的源泉。

刚入行那会儿，MITRE ATT&CK 刚发布不久，知道的人不多。我当时觉得钻石模型和杀伤链这些东西太“学术”了，没法用到实际运营里去。

这个想法后来变了。

在导师指导下工作，接触到成熟威胁情报团队的项目，我自己也考了GCTI认证，读了几本书。现在，这几个框架我每天都在用。

真正让我开窍的，是亲眼看到它们之间的关系。我就是个视觉学习者，一旦有人把它们的关联性画出来，运营价值一下子就清晰了。所以我想写个指南，告诉你实际该怎么用。

我假设你对每个框架的基本概念都有所了解。我会先快速过一遍，然后重点讲怎么把钻石模型、ATT&CK和杀伤链叠在一起，变成一个你能实际操作的体系。

定向攻击生命周期

Mandiant的定向攻击生命周期[1]脱胎于洛克希德·马丁的杀伤链，但它更贴近真实入侵的演进过程。关键区别在于那个“循环”。攻击者站稳脚跟后，权限提升、内网侦察、横向移动、维持驻留这几个阶段会循环往复，直到他们达成目的或者被抓。

现实调查里就是这样，攻击不是线性的。

每当告警响起，我第一个问题就是：“我现在处在攻击生命周期的哪个阶段？”答案未必一目了然，但这能帮我缩小下一步的排查范围。我就顺着这个循环，基于证据一步步推进，直到确认或排除真正的攻击。

这是我应对突发调查时的首选框架。

但如果要事后复盘一个完整的入侵过程，我更喜欢传统的杀伤链，这个下面会讲到。

杀伤链与MITRE ATT&CK

杀伤链和ATT&CK覆盖的内容有很多重叠。ATT&CK的战术大致对应杀伤链的阶段，两者都是描述从初始入侵到攻击者达成目标的整个过程。它们的区别在于细节粒度以及使用方式。

我们还是先分别深入看看。

杀伤链

如果说攻击生命周期是我处理活跃事件的工具，那么网络杀伤链[2]就是我事后复盘、审视全局时的利器。洛克希德·马丁经典的七个阶段（如果你是政府背景，可能算八个：目标定位、侦查、武器化、投递、利用、安装、命令与控制、行动）提供了一个清晰的线性结构，让你能梳理事件过程，更重要的是，找出本可以在哪个环节截停它。

话虽如此，这个模型也有些模糊地带。“安装”阶段一直让我觉得别扭。传统恶意软件入侵还能理解：有东西被写入磁盘。但如果是商务邮件入侵呢？到底有什么被“安装”了？我自己的理解是把这个阶段拆成两个概念：执行和驻留。

以商务邮件入侵为例。攻击者从密码泄露事件中找到了凭证。他们通过自动化的密码喷洒将其武器化。他们利用了缺少多因素认证的弱点，从而执行了未经授权的访问这一“动作”。然后，他们通过添加一个由自己控制的手机号作为第二验证因素，或者创建收件箱转发规则，来实现“驻留”。

C2阶段，我更宽泛地理解为“交互阶段”，这是在驻留建立后，攻击者持续通过人工或自动化方式进行交互，直到最终完成目标行动。

这个映射不完美，但在实践中遇到的例外情况更少。

尽管杀伤链现在不那么时髦，但作为一个撰写检测规则的安全研究员，它是我使用最多的框架。我依然认为每个安全运营中心都应该吃透它，哪怕是非正式的。你自家的安全事件是你最好的威胁情报来源之一，特别是为了构建针对你组织的检测规则。任何成功闯过“投递”阶段的东西，即使你在几秒钟内就把它控制住了，它也算是一次入侵，都应该被拿出来分析，看看还有没有别的检测机会。

举个例子，假设攻击者绕过了你的防御，直到C2信标发出时才被你发现，然后你的IPS把它给拦截了。作为检测工程师，我会沿着杀伤链一步步往上回溯，也往下推演，看看事件在哪个环节本可以被检测到。如果确实无法检测，我就记下这个可见性缺口。

有个普遍存在的误解，甚至一些资深研究员也会这么讲，说你在“投递”阶段之前什么都检测不到。

这话不对。

在某些情况下，侦查活动也能被检测到，不过大多数时候它是不可见的，或者要把它运营起来的投入产出比不划算。比如，用GreyNoise这类服务来对防火墙边界上的扫描活动进行去冲突分析，可以识别出攻击者在发动攻击前针对你组织的漏洞扫描行为。你的基础设施里还有其他设备联系过这个可疑IP或属于同一自治系统号的类似主机吗？如果有，那些活动是合法的吗？

在“武器化”阶段，攻击者使用的域名是不是你品牌名的变体？字母替换了？l变成了I？品牌信誉服务可以监控仿冒域名，如果这次漏过了，也许能从中提取出一些特征，以便下次抓住类似的。

到了“投递”阶段，是否能给邮件安全网关或网络威胁检测平台加一条YARA规则，在载荷传输过程中就抓住它？

在“利用/安装”阶段：为什么终端没检测到？是规则调优过度了？还是EDR代理状态有问题？或者这确实是没见过的全新手法？

C2阶段虽然你抓住了信标，但有没有遗漏的重叠指标？也许IPS标记了一个不常见的顶级域名，但同时还有一个独特的URI模式可以用来制定一条新的网络威胁检测规则。

为什么驻留行为没被抓住？有机会抓住吗？在最终的“行动”阶段，比如勒索软件用的文件扩展名，有没有可能检测到？

这种沿着杀伤链的事后推演，能把单个安全事件变成多个检测机会。

MITRE ATT&CK

人们常说想“对齐”MITRE ATT&CK框架[3]，但这到底是什么意思？难道只是机械地给你的检测规则贴上技术ID的标签，却不明白为什么？

ATT&CK本质上是杀伤链的更细粒度版本。它给整个行业带来的，是在入侵每个阶段描述攻击者行为的共同语言。这个共享词汇表实实在在地提升了整个行业在不同团队、厂商和组织之间沟通威胁和检测覆盖度的能力。

大多数人从检测的角度看待ATT&CK。把规则映射到技术，识别覆盖缺口，绘制热图。这个检测覆盖热图很重要，但还有第二个同样重要的热图被忽视了：真正在攻击你组织的战术、技术和程序。

你的检测覆盖，和你实际在安全事件中观测到的行为对齐吗？如果没有，你可能正在优先防御那些并不针对你的威胁，而在真正被攻击的领域留下了漏洞。

ATT&CK并不完美，也有覆盖不到的地方。它是个框架，不是圣经。只要你理解怎么应用它，就可以调整用法以适应你的组织，或者在必要时扩展它。

知道的人比较少的是，ATT&CK如何融入钻石模型，尤其是在“能力”这个面上。下一节我们接着聊。

钻石模型

入侵分析的钻石模型[4]主要用于归属判断。归因很重要，谁说这不重要，那是在害你的检测能力。话虽如此，即便是拥有自己威胁情报团队的大公司，也大多不会公开做归属判定，通常都是和一两家安全厂商合作来确定。你的组织可能没必要归因到“攻击我的威胁组织是不是伏特台风”这个程度。但识别并聚类你自己的入侵数据，这件事本身就很有价值。

模型的四个角构成了钻石的四个顶点：对手、基础设施、能力、受害者。每个入侵事件都能映射到这四点，边代表它们之间的关系。一个对手利用能力，通过基础设施，针对受害者发起攻击。

ATT&CK就在这里直接发挥作用。“能力”这个面不只是“他们用了恶意软件”这么简单，而应该是具体的T1566.001（鱼叉式钓鱼附件）、T1059.001（PowerShell）、T1071.001（用于C2的Web协议）。ATT&CK为你提供了一种结构化的方式来用具体的技术ID填充“能力”面，而不是模糊的描述。

如果你已经在给检测规则打ATT&CK标签，把事件映射到ATT&CK技术，那么你已经在不知不觉中构建“能力”面了。别忘了ATT&CK框架不是万能的，别把自己局限在里面。

但描述单个事件还不算钻石模型的价值所在。真正的价值在于你把多个事件放在一起比较。每个面都变成了一个可以串联分析的“枢纽”。两起不同事件用了相同的C2基础设施？那可能是同一个攻击者。相同的能力组合针对同一行业内不同的受害者？这值得查查是不是关联的行动。同一个对手，新的基础设施，不同的技术？他们在更换工具库，而且你是在结构化数据中观察到这一点，而不是凭感觉。

无论你叫一个集群“入侵集群1”，还是查到了它在业内的名字（如果有的话），结果是一样的。你可以根据哪些威胁组织最可能攻击你的行业，来优先排序检测内容。如果你发现大多数入侵都来自同一个对手，你可以主动设置障碍，迫使他们改变战术。也许他们总是使用你家合法业务不会访问的特定自治系统号，那直接封锁这些网络就能迫使他们更换基础设施。也许他们依赖低质量的顶级域名，你可以更细致地审查或直接阻断。每一次被迫做出的改变，都让你的组织比下一个目标更难对付。记住，你不需要比熊跑得快，你只需要比其他人都快一点就行。

现在想想，如果把钻石模型和杀伤链结合起来会怎样。杀伤链的每个阶段都可以被建模成它自己的钻石事件，填满四个面。将一个入侵中的所有这些事件串联起来，你就得到了一条“活动线”。把这条线和来自其他入侵的活动线进行比较，重叠的面就会浮现出来。这样一来，你就能从响应单次事件，升级为跨越不同攻击活动识别出同一个对手，即便他们已经丢弃了旧基础设施，换上了新工具。

如何把它们组合起来用

就拿上面的钻石图来说。那一颗钻石代表一次入侵中的一个事件。一个对手（比如APT29）使用了特定能力（T1566.001鱼叉式钓鱼、T1059.001 PowerShell、T1071.001 Web协议），通过基础设施（一个位于198.51.100[.]47的被黑WordPress服务器），针对受害者（一家国防承包商，使用Windows 11终端）。一个事件，四个面，能力顶点上有三个ATT&CK技术ID。

现在想象一下，为杀伤链的每个阶段都画一个钻石。“侦查”有它自己的事件，“投递”有一个，“利用”、“驻留”、“C2”、“行动”都有。每个事件都依据你手头证据填满四个面。把它们串起来，你就得到了卡塔吉隆、彭德格斯特和贝茨所说的“活动线”：一组映射单次入侵全过程的钻石事件序列。

有趣的部分是比较不同的活动线。对你的下一次入侵同样进行这个分析过程。如果C2基础设施重叠，如果能力集合共享了ATT&CK技术或同族恶意软件，这些共享的面就是串联的枢纽。当不同入侵之间有足够多的面重叠时，你很可能面对的是一个“活动组”：一系列关联事件的集群，追溯至同一个对手或攻击行动，即便他们在不同入侵之间更换了个别指标。

记住这一点很重要：除非有证据表明某个告警与整体活动有关联，否则你应该将所有告警都当作独立的入侵来处理。常有公司发现他们其实被更隐蔽的威胁组织入侵了，只是因为后续的另一次入侵触发了深入调查，才把前面那个给挖出来。

本文只是个概览。原创论文[4]在如何形式化分析枢纽、如何在只掌握两三个面的情况下处理部分归因、以及活动组如何随新数据演变等方面，有更深入的阐述。如果你想在实践中应用，非常值得一读。

最后

开头我说过，我曾经觉得这些都是思考攻击的“学术”方法。其实不是。把它们结合起来用，你就有了一套结构化方法，可以从组织面对的每次入侵中学习，并用学到的东西来预防下一次。这就是被动安全项目和主动安全项目的区别。不是靠更多的工具，也不是靠更多的人手，而是更好地利用你已经收集到的数据。

参考资料

[1] https://cloud.google.com/security/resources/insights/targeted-attack-lifecycle?ref=magonia.io

[2] https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html?ref=magonia.io

[3] https://attack.mitre.org/matrices/enterprise/?ref=magonia.io

[4] https://www.activeresponse.org/wp-content/uploads/2013/07/diamond.pdf?ref=magonia.io

[5] https://www.magonia.io/research/operationalizing-mandiants-attack-lifecycle-the-kill-chain-mitres-att-ck-and-the-diamond-model-with-practical-examples/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 《实战视角：如何将攻击生命周期、杀伤链、ATT&CK和钻石模型用于日常运营》