1.基于MITRE ATTCK創建安全閉環過程的方法，其特征在于包括以下步驟：

1）、獲得數據，得到MITREATTCK框架：

當創建一個有效的搜索、告警和響應的改進周期時，首先是輸入，傳統的要可以用數據通知周期，以便更有效地決定警報和防御；輸入的內容包括大數據挖掘獲取數據、根據指標IOC、威脅情報、大數據挖掘；

2）、得到對手攻擊計劃；

在MITREATTCK框架中確定對手所有組及攻擊戰術；

在MITREATTCK框架中確定的對手所有組，通過針對特定行業和組織制定的計劃進行不斷地攻擊演練測試，不斷擴大技術覆蓋范圍，不斷縮小與攻擊者的差距；

3）、根據對手攻擊計劃模擬攻擊，得到模擬攻擊確定的結果；

根據對手所有組及攻擊戰術模擬攻擊；

在內部或外部攻擊模擬，遵循模擬攻擊計劃；或者用自動對手仿真工具，構建攻擊模擬；在沒有必要的人力的情況下可以自動完成測試的部分；

4）、根據模擬攻擊確定的結果，構建改進計劃；

狩獵和報告：

記錄模擬攻擊時使用的所有資源，任何成功的檢測都應該記錄下來，以便在攻擊模擬結束時進行評估；在狩獵框架中，AEPS和攻擊模擬的最佳使用是雙重的，模擬的攻擊手法要結合實際中的攻陷過程的路線，兩者兼并成最好的攻擊鏈戰術；

首先也是最重要的，通知狩獵操作，這樣就可以在日常的基礎上在現實世界中尋找技術；

第二，AEP提供了一個路線圖，以高度保真度自動識別攻擊；只有當能夠檢測到正確的TTP時，這一切才是可能的；

如果無法檢測到TTP，這是一個研究新工具或數據收集方法的機會；TTP是攻陷的過程，對惡意活動的檢測，通過收集到日志，攻擊者的攻擊技術知識，如果無法檢測到改進告警過程和采取補救錯誤，根據技術特征重新調整采集數據的方法；

告警管理；

根據模擬攻擊確定的結果和TTP，對原有的沒有覆蓋到的檢測，和攻擊過程，或者有誤報的檢測和攻擊過程的檢測，制定一個告警檢測的改進計劃，改進計劃包括檢測手段和預防方法；為了跟蹤與攻擊執行相關告警管理，在報告表中添加補救跟蹤表；這可以包括要修改的系統、修改狀態及其所有者的信息；

然后可以重新執行第一階段；

創建安全閉環過程包括：

一、是輸入，威脅情報，IOC指標，數據挖掘的創建；

二、模擬對手攻擊計劃，在MITRE ATTCK框架中確定的所有組，通過針對某個特定行業和組織制定的計劃；

三、遵循模擬攻擊計劃；或者用自動對手仿真工具構建攻擊模擬；

記錄模擬攻擊時使用的所有資源，任何成功的檢測都應該記錄下來，并輸出報告，需要包括對已執行的攻擊計劃、攻擊結果和應該采取的補救措施；

四、告警管理，根據模擬攻擊確定的結果和TTPs，構建一個過程和技術改進計劃。