高阶事件是指具有较高复杂度和影响范围的安全事件。例如社交工程、网络钓鱼、恶意软件等，攻击者可以通过这些技术来获取目标系统的访问权限、窃取敏感信息或破坏目标系统。

高阶事件包括威胁行为体、大型攻击行动、攻击目标信息、攻击影响、TTP（Tactics，Techniques，Procedures，即攻击者的战术、技术和规程）等。

威胁行为体： 通过中阶事件可推导出与杀伤链、杀伤链阶段等相关联的威胁行为体，指进行攻击的实体，可以是个人、组织或国家。

大型攻击行动： 指规模较大、影响范围广泛的攻击活动，可能涉及多个受害者和攻击手段。将具有某些相同特征的威胁行为体进行关联分析（比如确定是否是同一威胁源、攻击行动是否符合时间关联关系等）

攻击目标信息： 指攻击者试图获取的敏感信息，例如个人身份信息、财务信息或知识产权。将身份事件与杀伤链或大型攻击行动等进行关联分析，经过推理可得到攻击目标信息。

攻击影响： 基于网络状态信息、网络拓扑数据和攻击路径进行分析，可推导出对受害者造成的影响。例如数据泄露、系统瘫痪或业务中断。根据攻击影响，可以采取相应的缓解措施。

TTP： 可对攻击杀伤链、攻击目标、攻击行动、攻击影响等进行综合分析，获得攻击者的战术、技术和规程。

声誉事件： 通常指的是对个人、组织或公司声誉产生负面影响的事件。这些事件可能包括丑闻、欺诈、违法行为、不当言论等。

身份事件： 通常指的是涉及到个人身份信息被泄露或被盗用的事件。这些事件可能包括黑客攻击、数据泄露、内部泄密等。

确认威胁行为体或攻击目标信息，是否是有效的攻击

包含 CVE 安全事件与漏洞信息关联

安全事件中与漏洞相关的事件包含事件对应的CVE漏洞信息，通过判断该事件作用的资产是否存在该漏洞，可判断该事件的有效性。

例如，某入侵检测日志中包含与安全事件对应的CVE漏洞信息，可通过查询该事件涉及的资产是否存在该漏洞，进而识别该事件是否是有效基础攻击。

不包含 CVE 安全事件与流量事件关联

例如，指挥控制（Command and Control，C&C）流量发生异常可能与发生了安全事件相关，但并不具有关联的CVE，可以按照源和目的地址信息，把这些安全事件与相关的流量事件关联起来，从而推导或匹配出特定的攻击目标和威胁行为体。

通过域名、IP 地址与安全事件关联

在关联后，就可以通过检测发现具有相同源地址的多个事件。如果事件被描述为恶意的或确定是杀伤链的一部分，那么对应的域名或IP地址就可以与身份事件关联起来。此外，身份事件对应国家、组织机构、域名等，可以将声誉事件与身份事件关联，从而得到更有价值的信息。例如，来自一个已知可疑组织/IP的可疑流量，可以被认为是更加可疑的。

将具有相同检测特征ID和源IP地址的安全事件关联

判断是否是同一威胁源开展的同一大型攻击行动。比如相同的扩散时间可能是同一蠕虫、相同的源IP可能是跳板攻击或APT攻击的横向扩散起点等。

将具有相同源/目的IP地址和检出时间的安全事件与流量事件组合

相同源/目的IP地址的安全事件之间可能具有强相关性，若没有构成攻击链或杀伤链，则证明不是同一威胁行为体，或者是缺乏必要检测的安全事件。这时需要结合流量事件进行综合分析，以作为对缺乏必要检测的安全事件的补充分析。

将具有相同源/目的IP地址但是没有相应安全事件的流量事件组合

相同源/目的IP地址的流量事件虽然可能没有安全事件的强相关性，但仍然值得深入分析，可以进一步基于一些机器学习的算法提取流量事件特征，从而识别出中阶事件

确认攻击手段

安全事件统计出攻击链、杀伤链

对低阶安全事件或流量事件进行统计、查询或简单的推理生成攻击链，比如生成扫描、暴力破解、拒绝服务、内网渗透、木马控制等攻击链。

添加时序的攻击链生成杀伤链。如下图所示：

对缺失某一阶段的杀伤链，基于流量事件进行关联分析

可以做出对杀伤链缺失阶段进行补齐的概率推理。对于现在的安全检测系统/设备来说，检测完整的杀伤链是非常困难的。缺失某一阶段的杀伤链是安全检测的常态。因此，需要结合流量事件进行综合分析，以作为对缺失杀伤链阶段信息安全事件的补充分析。

总结

基于威胁行为体、大型攻击行动、攻击目标信息、攻击影响等进行综合分析推理，推理出攻击者的战术、技术和规程（TTP）。攻击者的战术、技术和规程包括的范围很广，如威胁行为体、大型攻击行动、攻击目标信息、攻击身份信息、攻击影响等