1. 引言

在攻防对抗的网络安全战场中，攻击者的手段日新月异，而防御者亟需一套"攻击者思维"的语言体系。CAPEC（通用攻击模式枚举与分类）正是这样一把钥匙，它从攻击者视角系统化梳理逾500种攻击模式，帮助防御者预判威胁路径、构建防御策略。

CAPEC并非孤立存在。它与ATT&CK战术框架、CWE弱点分类、漏洞库及CPE产品目录深度关联，共同构建了网络安全威胁分析的认知图谱。如下图所示：

这种跨知识域的关联性，使得CAPEC既能作为独立威胁建模工具，又可联动ATT&CK完善攻击面评估，同时结合CWE/CVE强化漏洞治理，最终形成覆盖攻击行为识别、漏洞影响分析、产品风险处置的全链条防御策略。

2. CAPEC是什么？

CAPEC（Common Attack Pattern Enumeration and Classification，通用攻击模式枚举与分类）是由美国国土安全部（DHS）与MITRE公司联合开发的网络安全框架，专注于标准化攻击模式描述，旨在帮助用户理解攻击者如何利用应用程序及其他网络能力中的弱点。

3. CAPEC发展历程

4. CAPEC技术简介

4.1. 为攻击识别、分析、防御提供全面信息

CAPEC攻击模式通过捕获攻击各环节的设计与执行知识，并提供缓解攻击有效性的指导，帮助应用程序开发者或网络能力管理者深入理解攻击的具体要素并阻止其成功。

每个模式主要内容有唯一标识ID、描述信息、利用弱点信息、执行流程信息、后果信息、实例示例信息等。

如以下CAPEC-66: SQL注入攻击模式，包括了说明、扩展说明、实施攻击可能性、关系、严重程度、执行流程、先决条件、所需技能、所需资源、指标、后果、缓解措施、使用实例、关联弱点等。覆盖了SQL注入攻击和防御的所有方面，为攻击识别、分析、防御提供了全面的信息。

4.2. 从宏观分类到具体攻击实例逐级细化

CAPEC共有五个层级结构，视图（V）→类别（C）→元（M）→标准（S）→详细信息（D），每个层级结构的攻击模式都有自己的唯一ID标识，从宏观分类到具体攻击实例逐级细化。清晰展示了攻击机制中攻击实例间的关系，为攻击识别、分析和防御提供有效的支撑。

5. CAPEC为漏洞管理提供攻击者视角

通过构建漏洞与CAPEC映射关系数据，安全团队可跳出漏洞孤立分析的局限，从攻击者视角系统性识别风险，最终实现主动防御和攻击面收敛。

5.1. 深度理解攻击者战术意图

CAPEC描述了攻击者的具体行为模式（如SQL注入、社会工程、权限提升等），通过漏洞与CAPEC关联数据，可以明确漏洞如何被实际利用。应用场景：

1) 渗透测试：在漏洞复现时，直接参考CAPEC的攻击步骤，模拟真实攻击链；

2) 威胁建模：在系统设计阶段，结合漏洞的CAPEC关联数据，识别潜在攻击路径。

5.2. 精准制定漏洞防御与缓解措施

CAPEC为每个攻击模式提供了详细的缓解建议（如输入验证、权限限制、日志监控等），直接关联漏洞可快速定位防御手段。应用场景：

1) 漏洞修复优先级：若漏洞关联的CAPEC攻击模式危害性高（如远程代码执行），可优先修复；

2) 安全策略优化：根据CAPEC推荐的缓解措施，优化代码、配置防火墙规则、部署WAF或强化身份验证机制。

5.3. 提升漏洞情报的上下文关联性

CAPEC与CWE、CVE等漏洞库互相关联，形成“漏洞-弱点-攻击模式”三位一体的知识图谱。应用场景：

1) 自动化分析：通过将漏洞映射到CAPEC，自动生成漏洞的潜在攻击路径报告；

2) 风险评估：结合漏洞的CVSS评分和CAPEC的攻击复杂度，评估实际被利用的可能性。

5.4. 防御有效性验证和攻击链分析

CAPEC数据可帮助还原完整的攻击生命周期（侦察、武器化、利用、横向移动等），揭示漏洞在攻击链中的具体作用。应用场景：

1) 红队演练：利用CAPEC的攻击模式设计多阶段攻击场景，验证防御体系的完整性；

2) 事件响应：在安全事件调查中，通过CAPEC关联的漏洞快速定位攻击者的意图和下一步行动。

5.5. 促进安全团队的知识共享与协作

CAPEC提供标准化的攻击模式描述，便于跨团队（开发、运维、安全）对齐安全语言；应用场景：

1) 安全培训：利用CAPEC的案例库培训开发人员，避免代码中引入易被攻击的弱点；

2) 合规审计：在安全审查中，引用CAPEC数据证明漏洞的潜在影响，推动修复流程。

6. 如何获取漏洞的CAPEC数据

玄猫漏洞情报平台，通过使用AI和知识图谱技术，实时整合多源漏洞和威胁情报，构建了漏洞和CAPEC之间的映射关系，这一独特能力，为漏洞管理者提供了切实的攻击者视角。

用户能够直接查看特定漏洞所对应的CAPEC详尽数据，包括CAPEC的编号、名称、描述、链接等。不仅如此，系统还具备即时更新功能，能够随着新漏洞与攻击模式的出现，实时调整和完善漏洞与CAPEC之间的关系映射，确保用户始终获取最前沿、最准确的情报数据。

可通过访问xm.vulinsight.com.cn查询或通过API接口获取漏洞情报数据。