Bpig-C/CAPTIER

# CAPTIER 数据集 ## 1. 数据集描述 这是一个面向高级持续性威胁 (APT) 领域的威胁情报实体关系抽取数据集。 数据收集自与 ATT&CK 中组织相关的 APT 攻击描述。本仓库包含 1,500 个实例的标注，涉及 **7,053 个实体**、**5,907 个关系**以及 **388 种唯一三元组类型**。 ## 引用 如果您在研究中使用了 CAPTIER 数据集，请引用我们的论文： **[面向 APT 攻击威胁情报分析复杂场景的联合实体关系抽取方法](https://doi.org/10.1016/j.cose.2026.104960)** Rui Qi, Ga Xiang, Lu Sun, Zicheng Tan, Jun Cao, Qunsheng Yang, Mingyue Cheng *Computers & Security*, Volume 168, 2026, 104960 ``` @article{QI2026104960, title = {Joint entities and relations extraction method for complex scenarios of APT attack threat intelligence analysis}, journal = {Computers & Security}, volume = {168}, pages = {104960}, year = {2026}, issn = {0167-4048}, doi = {https://doi.org/10.1016/j.cose.2026.104960}, url = {https://www.sciencedirect.com/science/article/pii/S0167404826001367}, author = {Rui Qi and Ga Xiang and Lu Sun and Zicheng Tan and Jun Cao and Qunsheng Yang and Mingyue Cheng}, keywords = {Joint extraction, Overlapping triples, Threat intelligence analysis, APT}, } ``` ## 2. 数据结构 原始标注使用 doccano 标注工具的原生关系数据结构，以 JSONL 格式存储。一个展开的单行示例结构如下： ``` { "text": "Google was founded on September 4, 1998, by Larry Page and Sergey Brin.", "entities": [ { "id": 0, "start_offset": 0, "end_offset": 6, "label": "ORG" }, { "id": 1, "start_offset": 22, "end_offset": 39, "label": "DATE" }, { "id": 2, "start_offset": 44, "end_offset": 54, "label": "PERSON" }, { "id": 3, "start_offset": 59, "end_offset": 70, "label": "PERSON" } ], "relations": [ { "from_id": 0, "to_id": 1, "type": "foundedAt" }, { "from_id": 0, "to_id": 2, "type": "foundedBy" }, { "from_id": 0, "to_id": 3, "type": "foundedBy" } ] } ``` 本仓库提供了一个转换脚本，可直接将 CAPTIER 数据转换为 CoNLL-04 格式。 ### 快速开始 ``` # 1. 安装 dependencies pip install spacy python -m spacy download en_core_web_lg # 2. 将转换器代码保存为 doccano_to_conll04.py # 3. 运行示例 python -c " from doccano_to_conll04 import convert_to_conll04 convert_to_conll04('input_dataset.jsonl', 'output_conll04.jsonl') " ``` ## 3. 数据集统计与分类 ### 3.1 句子与词语统计 | 指标 | 值 | |--------|-------| | 每句平均词数 | 14.99 | | 词数中位数 | 14.0 | | 最大句子长度 | 55 词 | | 最小句子长度 | 4 词 | | 空标注比例 | 0.0% | | 每句最大实体数 | 21 个实体 | ### 3.2 实体类型分布 | 实体类型 | 数量 | |-------------|-------| | 威胁主体 (Threat-Actor) | 1,490 | | 攻击模式 (Attack-Pattern) | 1,472 | | 基础设施 (Infrastructure) | 726 | | 工具 (Tool) | 635 | | 恶意软件 (Malware) | 562 | | 配置 (Configuration) | 416 | | 身份 (Identity) | 396 | | 文件 (File) | 393 | | 观测数据 (Observed-Data) | 382 | | 凭据 (Credential) | 206 | | 位置 (Location) | 141 | | 行业 (Industry) | 117 | | 漏洞 (Vulnerability) | 117 | ### 3.3 实体信息统计 | 指标 | 值 | |--------|-------| | 实体总数 | 7,053 | | 实体平均词数 | 1.90 | | 词数中位数 | 2 | | 每句平均实体数 | 4.70 | | 中位数 | 4.0 | | 标准差 | 1.84 | ### 3.4 关系类型分布 | 关系类型 | 数量 | |---------------|-------| | 使用 (uses) | 1,250 | | 需要 (requires) | 1,095 | | 交互 (interacts-with) | 827 | | 针对 (targets) | 497 | | 归因于 (attributed-to) | 446 | | 相关 (related-to) | 367 | | 利用 (exploits) | 336 | | 拥有 (has) | 321 | | 影响 (affects) | 301 | | 位于 (located-at) | 295 | | 指示 (indicates) | 98 | | 变体 (variant-of) | 74 | ### 3.5 关系信息统计 | 指标 | 值 | |--------|-------| | 关系总数 | 5,907 | | 每句平均关系数 | 3.94 | | 中位数 | 4.0 | | 标准差 | 2.19 | ## 4. 唯一三元组类型与数量

点击展开完整的三元组类型统计

| 头实体类型 | 关系类型 | 尾实体类型 | 数量 | |------------------|---------------|------------------|-------| | 威胁主体 | 使用 | 攻击模式 | 530 | | 工具 | 使用 | 攻击模式 | 352 | | 攻击模式 | 针对 | 基础设施 | 138 | | 攻击模式 | 需要 | 基础设施 | 139 | | 攻击模式 | 需要 | 配置 | 152 | | 威胁主体 | 使用 | 恶意软件 | 165 | | 攻击模式 | 需要 | 工具 | 331 | | 攻击模式 | 需要 | 攻击模式 | 127 | | 威胁主体 | 利用 | 配置 | 112 | | 攻击模式 | 归因于 | 威胁主体 | 103 | | 攻击模式 | 针对 | 身份 | 104 | | 攻击模式 | 交互 | 恶意软件 | 97 | | 攻击模式 | 影响 | 观测数据 | 96 | | 攻击模式 | 需要 | 文件 | 65 | | 攻击模式 | 需要 | 凭据 | 64 | | 身份 | 位于 | 位置 | 67 | | 行业 | 位于 | 位置 | 70 | | 威胁主体 | 针对 | 身份 | 70 | | 恶意软件 | 使用 | 攻击模式 | 68 | | 攻击模式 | 需要 | 漏洞 | 26 | | 攻击模式 | 影响 | 文件 | 58 | | 威胁主体 | 利用 | 基础设施 | 56 | | 威胁主体 | 针对 | 行业 | 57 | | 威胁主体 | 交互 | 工具 | 54 | | 威胁主体 | 利用 | 凭据 | 52 | | 威胁主体 | 利用 | 漏洞 | 51 | | 恶意软件 | 变体 | 恶意软件 | 50 | | 攻击模式 | 交互 | 文件 | 49 | | 威胁主体 | 交互 | 基础设施 | 48 | | 威胁主体 | 交互 | 恶意软件 | 47 | | 威胁主体 | 交互 | 文件 | 43 | | 基础设施 | 归因于 | 身份 | 42 | | 攻击模式 | 影响 | 配置 | 42 | | 攻击模式 | 相关 | 攻击模式 | 40 | | 文件 | 拥有 | 文件 | 38 | | 工具 | 交互 | 基础设施 | 37 | | 基础设施 | 拥有 | 基础设施 | 35 | | 攻击模式 | 影响 | 凭据 | 35 | | 攻击模式 | 需要 | 观测数据 | 33 | | 威胁主体 | 位于 | 位置 | 31 | | 工具 | 交互 | 文件 | 31 | | 文件 | 位于 | 基础设施 | 31 | | 观测数据 | 归因于 | 基础设施 | 30 | | 威胁主体 | 交互 | 配置 | 28 | | 威胁主体 | 相关 | 威胁主体 | 27 | | 攻击模式 | 交互 | 工具 | 26 | | 攻击模式 | 交互 | 观测数据 | 26 | | 基础设施 | 相关 | 基础设施 | 25 | | 攻击模式 | 交互 | 基础设施 | 25 | | 威胁主体 | 使用 | 文件 | 24 | | 攻击模式 | 交互 | 配置 | 24 | | 恶意软件 | 归因于 | 威胁主体 | 23 | | 威胁主体 | 交互 | 凭据 | 23 | | 身份 | 相关 | 身份 | 23 | | 观测数据 | 相关 | 观测数据 | 23 | | 观测数据 | 指示 | 基础设施 | 23 | | 威胁主体 | 针对 | 位置 | 22 | | 漏洞 | 相关 | 漏洞 | 22 | | 基础设施 | 归因于 | 基础设施 | 22 | | 配置 | 相关 | 观测数据 | 22 | | 基础设施 | 拥有 | 观测数据 | 22 | | 威胁主体 | 交互 | 观测数据 | 22 | | 攻击模式 | 利用 | 配置 | 21 | | 威胁主体 | 归因于 | 身份 | 21 | | 文件 | 归因于 | 基础设施 | 20 | | 攻击模式 | 使用 | 攻击模式 | 20 | | 文件 | 拥有 | 恶意软件 | 20 | | 恶意软件 | 交互 | 基础设施 | 20 | | 漏洞 | 拥有 | 漏洞 | 20 | | 工具 | 变体 | 工具 | 19 | | 攻击模式 | 影响 | 身份 | 18 | | 配置 | 相关 | 配置 | 18 | | 攻击模式 | 交互 | 凭据 | 18 | | 威胁主体 | 使用 | 观测数据 | 15 | | 恶意软件 | 拥有 | 配置 | 15 | | 威胁主体 | 针对 | 基础设施 | 15 | | 凭据 | 归因于 | 身份 | 15 | | 凭据 | 归因于 | 基础设施 | 15 | | 文件 | 交互 | 恶意软件 | 15 | | 基础设施 | 拥有 | 文件 | 15 | | 观测数据 | 指示 | 文件 | 14 | | 漏洞 | 归因于 | 基础设施 | 14 | | 攻击模式 | 需要 | 身份 | 14 | | 观测数据 | 指示 | 恶意软件 | 14 | | 文件 | 相关 | 文件 | 14 | | 工具 | 交互 | 观测数据 | 14 | | 观测数据 | 拥有 | 观测数据 | 14 | | 攻击模式 | 利用 | 漏洞 | 14 | | 工具 | 位于 | 基础设施 | 13 | | 观测数据 | 归因于 | 身份 | 13 | | 行业 | 归因于 | 行业 | 13 | | 配置 | 位于 | 基础设施 | 13 | | 基础设施 | 拥有 | 恶意软件 | 12 | | 攻击模式 | 针对 | 凭据 | 12 | | 工具 | 使用 | 攻击模式 | 12 | | 恶意软件 | 交互 | 文件 | 12 | | 文件 | 拥有 | 观测数据 | 12 | | 恶意软件 | 交互 | 配置 | 12 | | 观测数据 | 位于 | 基础设施 | 12 | | 恶意软件 | 位于 | 基础设施 | 12 | | 攻击模式 | 针对 | 行业 | 12 | | 文件 | 拥有 | 配置 | 11 | | 恶意软件 | 影响 | 身份 | 11 | | 恶意软件 | 交互 | 观测数据 | 11 | | 恶意软件 | 针对 | 基础设施 | 11 | | 攻击模式 | 拥有 | 攻击模式 | 11 | | 攻击模式 | 影响 | 基础设施 | 11 | | 身份 | 归因于 | 身份 | 10 | | 威胁主体 | 使用 | 基础设施 | 10 | | 攻击模式 | 使用 | 恶意软件 | 10 | | 基础设施 | 位于 | 位置 | 10 | | 攻击模式 | 针对 | 工具 | 10 | | 威胁主体 | 需要 | 攻击模式 | 9 | | 恶意软件 | 利用 | 凭据 | 9 | | 身份 | 指示 | 威胁主体 | 9 | | 观测数据 | 指示 | 工具 | 9 | | 工具 | 归因于 | 工具 | 9 | | 配置 | 归因于 | 基础设施 | 9 | | 威胁主体 | 影响 | 观测数据 | 9 | | 恶意软件 | 使用 | 工具 | 9 | | 文件 | 归因于 | 身份 | 8 | | 观测数据 | 指示 | 身份 | 8 | | 恶意软件 | 交互 | 恶意软件 | 8 | | 恶意软件 | 相关 | 工具 | 8 | | 工具 | 相关 | 工具 | 8 | | 攻击模式 | 影响 | 工具 | 8 | | 恶意软件 | 相关 | 文件 | 8 | | 观测数据 | 相关 | 基础设施 | 8 | | 威胁主体 | 拥有 | 工具 | 7 | | 恶意软件 | 针对 | 身份 | 7 | | 凭据 | 相关 | 凭据 | 7 | | 工具 | 拥有 | 工具 | 7 | | 身份 | 交互 | 恶意软件 | 7 | | 恶意软件 | 使用 | 文件 | 7 | | 威胁主体 | 归因于 | 威胁主体 | 6 | | 工具 | 拥有 | 观测数据 | 6 | | 身份 | 拥有 | 基础设施 | 6 | | 基础设施 | 拥有 | 配置 | 6 | | 恶意软件 | 需要 | 攻击模式 | 6 | | 工具 | 需要 | 配置 | 6 | | 威胁主体 | 交互 | 攻击模式 | 6 | | 配置 | 交互 | 配置 | 6 | | 身份 | 交互 | 观测数据 | 6 | | 观测数据 | 指示 | 攻击模式 | 6 | | 威胁主体 | 拥有 | 恶意软件 | 6 | | 威胁主体 | 交互 | 身份 | 6 | | 身份 | 拥有 | 凭据 | 5 | | 恶意软件 | 拥有 | 观测数据 | 5 | | 工具 | 交互 | 凭据 | 5 | | 配置 | 拥有 | 观测数据 | 5 | | 攻击模式 | 交互 | 身份 | 5 | | 恶意软件 | 需要 | 凭据 | 5 | | 凭据 | 位于 | 基础设施 | 5 | | 基础设施 | 交互 | 基础设施 | 5 | | 身份 | 拥有 | 配置 | 5 | | 威胁主体 | 相关 | 身份 | 5 | | 观测数据 | 指示 | 配置 | 5 | | 身份 | 相关 | 基础设施 | 5 | | 观测数据 | 相关 | 文件 | 4 | | 威胁主体 | 相关 | 攻击模式 | 4 | | 工具 | 归因于 | 身份 | 4 | | 文件 | 拥有 | 凭据 | 4 | | 攻击模式 | 相关 | 身份 | 4 | | 攻击模式 | 利用 | 凭据 | 4 | | 恶意软件 | 交互 | 工具 | 4 | | 文件 | 交互 | 文件 | 4 | | 恶意软件 | 归因于 | 恶意软件 | 4 | | 漏洞 | 影响 | 基础设施 | 4 | | 配置 | 拥有 | 配置 | 4 | | 文件 | 交互 | 配置 | 4 | | 威胁主体 | 需要 | 配置 | 4 | | 身份 | 拥有 | 观测数据 | 4 | | 行业 | 拥有 | 行业 | 4 | | 配置 | 相关 | 文件 | 4 | | 配置 | 位于 | 配置 | 4 | | 攻击模式 | 针对 | 配置 | 4 | | 工具 | 拥有 | 配置 | 4 | | 基础设施 | 相关 | 身份 | 3 | | 工具 | 针对 | 基础设施 | 3 | | 身份 | 针对 | 基础设施 | 3 | | 攻击模式 | 使用 | 工具 | 3 | | 基础设施 | 交互 | 恶意软件 | 3 | | 威胁主体 | 使用 | 凭据 | 3 | | 恶意软件 | 使用 | 基础设施 | 3 | | 基础设施 | 归因于 | 行业 | 3 | | 威胁主体 | 利用 | 工具 | 3 | | 配置 | 归因于 | 身份 | 3 | | 凭据 | 拥有 | 观测数据 | 3 | | 漏洞 | 归因于 | 工具 | 3 | | 恶意软件 | 拥有 | 恶意软件 | 3 | | 恶意软件 | 位于 | 文件 | 3 | | 基础设施 | 位于 | 基础设施 | 3 | | 威胁主体 | 使用 | 配置 | 3 | | 行业 | 相关 | 身份 | 3 | | 凭据 | 相关 | 基础设施 | 3 | | 配置 | 归因于 | 观测数据 | 3 | | 基础设施 | 交互 | 文件 | 3 | | 恶意软件 | 利用 | 配置 | 3 | | 恶意软件 | 针对 | 文件 | 3 | | 配置 | 相关 | 基础设施 | 2 | | 攻击模式 | 相关 | 恶意软件 | 2 | | 位置 | 归因于 | 位置 | 2 | | 恶意软件 | 针对 | 位置 | 2 | | 配置 | 相关 | 身份 | 2 | | 身份 | 相关 | 观测数据 | 2 | | 工具 | 需要 | 攻击模式 | 2 | | 身份 | 指示 | 身份 | 2 | | 身份 | 相关 | 威胁主体 | 2 | | 攻击模式 | 相关 | 工具 | 2 | | 配置 | 相关 | 恶意软件 | 2 | | 攻击模式 | 相关 | 配置 | 2 | | 工具 | 相关 | 身份 | 2 | | 配置 | 交互 | 凭据 | 2 | | 工具 | 交互 | 工具 | 2 | | 凭据 | 交互 | 基础设施 | 2 | | 凭据 | 相关 | 配置 | 2 | | 身份 | 交互 | 文件 | 2 | | 凭据 | 相关 | 身份 | 2 | | 身份 | 相关 | 配置 | 2 | | 观测数据 | 位于 | 文件 | 2 | | 观测数据 | 归因于 | 文件 | 2 | | 恶意软件 | 相关 | 基础设施 | 2 | | 观测数据 | 相关 | 配置 | 2 | | 工具 | 相关 | 配置 | 2 | | 恶意软件 | 相关 | 配置 | 2 | | 文件 | 使用 | 攻击模式 | 2 | | 攻击模式 | 相关 | 基础设施 | 2 | | 恶意软件 | 变体 | 工具 | 2 | | 观测数据 | 相关 | 身份 | 2 | | 身份 | 位于 | 基础设施 | 2 | | 工具 | 相关 | 文件 | 2 | | 观测数据 | 位于 | 恶意软件 | 2 | | 恶意软件 | 针对 | 行业 | 2 | | 配置 | 相关 | 工具 | 2 | | 恶意软件 | 归因于 | 文件 | 2 | | 身份 | 归因于 | 基础设施 | 2 | | 恶意软件 | 需要 | 基础设施 | 2 | | 工具 | 需要 | 凭据 | 2 | | 凭据 | 相关 | 观测数据 | 2 | | 威胁主体 | 需要 | 工具 | 2 | | 文件 | 归因于 | 文件 | 2 | | 观测数据 | 交互 | 观测数据 | 2 | | 攻击模式 | 相关 | 凭据 | 2 | | 配置 | 拥有 | 凭据 | 2 | | 配置 | 相关 | 凭据 | 2 | | 观测数据 | 影响 | 凭据 | 2 | | 恶意软件 | 需要 | 工具 | 2 | | 文件 | 相关 | 凭据 | 2 | | 配置 | 交互 | 工具 | 2 | | 文件 | 交互 | 工具 | 2 | | 攻击模式 | 针对 | 漏洞 | 2 | | 攻击模式 | 利用 | 基础设施 | 2 | | 配置 | 归因于 | 恶意软件 | 2 | | 凭据 | 归因于 | 凭据 | 2 | | 基础设施 | 归因于 | 配置 | 2 | | 攻击模式 | 拥有 | 文件 | 2 | | 攻击模式 | 拥有 | 观测数据 | 2 | | 观测数据 | 相关 | 凭据 | 2 | | 攻击模式 | 变体 | 攻击模式 | 2 | | 配置 | 交互 | 基础设施 | 2 | | 恶意软件 | 使用 | 观测数据 | 2 | | 恶意软件 | 需要 | 观测数据 | 2 | | 攻击模式 | 相关 | 观测数据 | 2 | | 配置 | 影响 | 观测数据 | 2 | | 文件 | 相关 | 观测数据 | 2 | | 漏洞 | 位于 | 基础设施 | 2 | | 恶意软件 | 需要 | 身份 | 2 | | 行业 | 归因于 | 身份 | 2 | | 凭据 | 归因于 | 配置 | 2 | | 观测数据 | 归因于 | 工具 | 2 | | 恶意软件 | 相关 | 攻击模式 | 2 | | 文件 | 交互 | 基础设施 | 2 | | 恶意软件 | 需要 | 恶意软件 | 2 | | 基础设施 | 相关 | 观测数据 | 2 | | 工具 | 使用 | 文件 | 1 | | 身份 | 相关 | 攻击模式 | 1 | | 恶意软件 | 针对 | 凭据 | 1 | | 身份 | 相关 | 恶意软件 | 1 | | 身份 | 使用 | 文件 | 1 | | 身份 | 使用 | 基础设施 | 1 | | 身份 | 使用 | 工具 | 1 | | 观测数据 | 影响 | 身份 | 1 | | 身份 | 相关 | 工具 | 1 | | 观测数据 | 交互 | 威胁主体 | 1 | | 基础设施 | 使用 | 基础设施 | 1 | | 观测数据 | 指示 | 威胁主体 | 1 | | 威胁主体 | 变体 | 恶意软件 | 1 | | 身份 | 指示 | 身份 | 1 | | 恶意软件 | 相关 | 身份 | 1 | | 工具 | 指示 | 恶意软件 | 1 | | 漏洞 | 归因于 | 配置 | 1 | | 恶意软件 | 相关 | 观测数据 | 1 | | 威胁主体 | 利用 | 身份 | 2 | | 身份 | 归因于 | 攻击模式 | 2 | | 身份 | 指示 | 攻击模式 | 1 | | 凭据 | 归因于 | 配置 | 2 | | 基础设施 | 归因于 | 攻击模式 | 1 | | 基础设施 | 拥有 | 漏洞 | 2 | | 配置 | 交互 | 身份 | 1 | | 身份 | 交互 | 配置 | 1 | | 身份 | 交互 | 基础设施 | 1 | | 基础设施 | 相关 | 凭据 | 1 | | 工具 | 拥有 | 基础设施 | 1 | | 威胁主体 | 归因于 | 攻击模式 | 1 | | 恶意软件 | 拥有 | 文件 | 1 | | 恶意软件 | 需要 | 配置 | 4 | | 基础设施 | 相关 | 工具 | 3 | | 工具 | 归因于 | 基础设施 | 1 | | 观测数据 | 归因于 | 恶意软件 | 1 | | 基础设施 | 相关 | 攻击模式 | 1 | | 配置 | 相关 | 攻击模式 | 1 | | 基础设施 | 归因于 | 工具 | 1 | | 凭据 | 相关 | 身份 | 1 | | 文件 | 位于 | 位置 | 1 | | 基础设施 | 针对 | 观测数据 | 1 | | 基础设施 | 需要 | 观测数据 | 1 | | 工具 | 需要 | 文件 | 1 | | 文件 | 拥有 | 漏洞 | 1 | | 凭据 | 归因于 | 文件 | 1 | | 攻击模式 | 交互 | 漏洞 | 1 | | 观测数据 | 指示 | 观测数据 | 1 | | 工具 | 利用 | 基础设施 | 1 | | 攻击模式 | 相关 | 文件 | 1 | | 身份 | 归因于 | 威胁主体 | 1 | | 攻击模式 | 归因于 | 恶意软件 | 1 | | 配置 | 交互 | 恶意软件 | 1 | | 攻击模式 | 归因于 | 攻击模式 | 1 | | 配置 | 位于 | 工具 | 1 | | 威胁主体 | 针对 | 凭据 | 1 | | 恶意软件 | 针对 | 工具 | 1 | | 工具 | 相关 | 恶意软件 | 1 | | 文件 | 归因于 | 攻击模式 | 1 | | 恶意软件 | 相关 | 恶意软件 | 1 | | 恶意软件 | 使用 | 配置 | 1 | | 凭据 | 位于 | 文件 | 1 | | 工具 | 交互 | 漏洞 | 1 | | 工具 | 交互 | 身份 | 1 | | 工具 | 交互 | 行业 | 1 | | 恶意软件 | 影响 | 配置 | 1 | | 恶意软件 | 位于 | 观测数据 | 3 | | 凭据 | 位于 | 观测数据 | 1 | | 配置 | 指示 | 观测数据 | 1 | | 配置 | 位于 | 观测数据 | 1 | | 基础设施 | 相关 | 配置 | 1 | | 工具 | 利用 | 配置 | 1 | | 威胁主体 | 归因于 | 位置 | 1 | | 威胁主体 | 需要 | 文件 | 1 | | 文件 | 指示 | 观测数据 | 1 | | 配置 | 交互 | 观测数据 | 1 | | 基础设施 | 相关 | 文件 | 1 | | 威胁主体 | 相关 | 恶意软件 | 1 | | 文件 | 指示 | 威胁主体 | 1 | | 文件 | 交互 | 凭据 | 1 | | 观测数据 | 需要 | 攻击模式 | 1 | | 恶意软件 | 利用 | 漏洞 | 1 | | 威胁主体 | 需要 | 基础设施 | 1 | | 工具 | 需要 | 身份 | 1 | | 凭据 | 交互 | 观测数据 | 1 | | 威胁主体 | 影响 | 基础设施 | 1 | | 威胁主体 | 影响 | 行业 | 1 | | 凭据 | 交互 | 恶意软件 | 1 | | 恶意软件 | 位于 | 位置 | 1 | | 恶意软件 | 归因于 | 基础设施 | 1 | | 凭据 | 位于 | 恶意软件 | 1 | | 凭据 | 归因于 | 攻击模式 | 1 | | 观测数据 | 交互 | 文件 | 1 | | 观测数据 | 位于 | 工具 | 1 | | 配置 | 需要 | 凭据 | 1 | | 文件 | 相关 | 攻击模式 | 1 | | 基础设施 | 针对 | 身份 | 1 | | 攻击模式 | 交互 | 攻击模式 | 1 | | 身份 | 相关 | 文件 | 1 | | 工具 | 需要 | 工具 | 1 | | 工具 | 交互 | 攻击模式 | 1 | | 身份 | 指示 | 位置 | 1 | | 攻击模式 | 影响 | 位置 | 1 | | 位置 | 位于 | 基础设施 | 1 | | 攻击模式 | 针对 | 观测数据 | 2 |

## 5. 重叠实体类型与数量 | 源实体类型 | 目标实体类型 | 数量 | |--------------------|-------------------|-------| | 攻击模式 | 文件 | 122 | | 攻击模式数据 | 105 | | 攻击模式 | 恶意软件 | 78 | | 攻击模式 | 配置 | 70 | | 攻击模式 | 基础设施 | 66 | | 攻击模式 | 凭据 | 47 | | 攻击模式 | 身份 | 38 | | 攻击模式 | 工具 | 34 | | 攻击模式 | 漏洞 | 4 | | 攻击模式 | 位置 | 1 |

标签：Apex, APT, APT攻击数据集, doccano, JSONL, meg, 信息安全, 信息提取, 威胁情报, 威胁情报分析, 安全事件分析, 实体关系提取, 开发者工具, 情报分析, 时序数据库, 机器学习, 标注数据, 网络安全, 网络攻击分析, 网络诊断, 联合提取, 逆向工具, 重叠三元组, 隐私保护