该论文研究了结构化网络威胁情报（CTI）在对手模拟、检测评估和网络靶场设计中的应用，重点探讨了目标系统测试环境（SUT）与公开CTI描述之间的语义差距。作者通过分析MITRE ATT&CK的STIX数据包（覆盖企业、移动、工业控制系统等场景），并与CAPEC和FiGHT数据集对比，评估了平台覆盖度、软件特异性、漏洞证据及部署兼容性。结果表明，平台标注较为常见，但软件引用中很少包含版本号或通用平台枚举（CPE）标识符。例如，在ATT&CK Enterprise数据中，97.6%的软件对象缺乏版本和CPE信息，且战役级别的CVE引用稀少。进一步分析发现，结构化CTI能够缩小候选环境范围并支持底层后端家族分配，但仅凭结构化字段不足以推导出可重放的SUT。当链接一个软件项时，配置文件混淆度为1.3%；链接两个软件项时降为0%。研究识别出数据集支持的环境细节与必须来自外部源的版本、漏洞和部署信息之间的边界。通过固定数据集支持的元素、仅变动分析人员输入的细节，可以生成多个不同的、与战役兼容的SUT，其中包括一个利用同一真实漏洞的可执行实验。因此，结构化CTI约束但并非唯一确定环境，强调在可重放模拟中需区分数据集支持的承诺与分析人员的假设。该研究适合安全分析师、红蓝队研究人员以及CTI平台开发者阅读，理解CTI在自动化对手模拟中的局限性和改进方向。

本文提出 KnowHow，一种自动化应用 CTI 报告高级知识的在线溯源分析方法。现有攻击检测系统（如溯源分析）依赖底层系统事件（文件访问、网络连接等），而 CTI 报告中的知识以自然语言形式（如 ATT&CK 技术）描述，两者之间存在语义鸿沟。手动关联耗时且易错。KnowHow 的核心是一种新的攻击知识表示——gIoC（graph of Indicators of Compromise），它抽象了攻击的主体、客体和动作。通过将系统标识符（如文件路径）提升为自然语言术语，KnowHow 能够将系统事件与 gIoC 匹配，进而与自然语言描述的技术关联。然后，基于匹配的技术，KnowHow 推理攻击步骤的时间逻辑，检测潜在 APT 攻击。实验使用开源和工业数据集，KnowHow 准确检测了全部 16 个 APT 活动，而现有方法均产生大量误报。同时，KnowHow 将节点级误报最多减少 90%，且节点级召回率更高，对未知攻击和模仿攻击具有鲁棒性。该方法有效地弥合了高级 CTI 知识与低级日志之间的鸿沟，提升了溯源分析的准确性和可解释性。