本文提出 KnowHow，一种自动化应用 CTI 报告高级知识的在线溯源分析方法。现有攻击检测系统（如溯源分析）依赖底层系统事件（文件访问、网络连接等），而 CTI 报告中的知识以自然语言形式（如 ATT&CK 技术）描述，两者之间存在语义鸿沟。手动关联耗时且易错。KnowHow 的核心是一种新的攻击知识表示——gIoC（graph of Indicators of Compromise），它抽象了攻击的主体、客体和动作。通过将系统标识符（如文件路径）提升为自然语言术语，KnowHow 能够将系统事件与 gIoC 匹配，进而与自然语言描述的技术关联。然后，基于匹配的技术，KnowHow 推理攻击步骤的时间逻辑，检测潜在 APT 攻击。实验使用开源和工业数据集，KnowHow 准确检测了全部 16 个 APT 活动，而现有方法均产生大量误报。同时，KnowHow 将节点级误报最多减少 90%，且节点级召回率更高，对未知攻击和模仿攻击具有鲁棒性。该方法有效地弥合了高级 CTI 知识与低级日志之间的鸿沟，提升了溯源分析的准确性和可解释性。