rag

图谱 RAG 与 MITRE ATT&CK

By Team Berialabs • may. 29, 2026 • 1 min read

扁平 RAG 检索段落。但攻击行动以关系思考——这项技术启用那一项,这个组织使用这种恶意软件,这条缓解措施打断那条链。因此我们把 Beorn 接到一个基于 MITRE ATT&CK 构建的知识图谱上。

从文本块到 TTP 图谱

我们将战术、技术、子技术、组织与缓解措施建模为节点,把 ATT&CK 关系建模为边。每篇索引的 writeup 都链接到它演示的技术。检索从"相似文档"变为"从这里我能做什么"。

当 agent 取得执行权,我们不请求"关于持久化的文本",而是从当前技术沿图谱走向后续战术,并按目标观测加权。

graph.walk({ from: "T1190",
  toward: ["persistence","privilege-escalation"],
  filter: { platform: "linux", observed: true }, k: 5 })

图谱给出精确(经过策展的边)、可解释(每条建议带路径)与覆盖(嵌入不会拉近的相邻技术)。向量库用于模糊搜索;下一步由图谱决定。

Beorn 以 ATT&CK 子图作答,而不只是段落。agent 得到锚定证据的杀伤链地图,每份报告输出时已为 SIEM 完成 ATT&CK 映射。

Miembro de Berialabs, especializado en ofensiva asistida por IA.