Compromised System（被攻破的系统）→Incident（个别攻破事件）→Operation（攻击行动）→Campaign（长期且有组织的攻击活动）

1. 被攻陷的系统

受损系统是威胁分析的最基本单位，指的是实际受损的系统。资产包括个人电脑、服务器和物理设备。此阶段通过取证分析识别恶意软件、漏洞、攻击工具等威胁因素，并将这些信息作为后续分析的基础数据。

2. 事件：个人袭击事件

事件是指已确定受害者或受害组织的单独攻击事件。每个事件都分配有一个唯一的管理编号“INC-YYMMDD-###”，可以解释为“INC(事件)-YYMMDD(年，月，日)-###(序列)”。对于事件，我们重点分析事件性质、损害程度、所使用的技术等，判断事件的特征。这使我们能够准确识别单一攻击事件并为构建更高级别的运营奠定基础。

3. 行动

一次行动是由多个事件组合成一次攻击活动的单位。我们专注于全面分析攻击的特征、目标和所使用的技术，以识别多起事件之间的联系，并了解攻击活动的模式和意图。该操作的名称为“OP-YYMMDD-###”，其结构与事件的名称结构相同。

运营分析考虑多种因素，其中主要包括：

– 目标：攻击者的最终目标
– 目标：攻击目标（组织、行业、地区等）
– 恶意软件：所用恶意软件的类型和特征
– 工具：攻击中使用的工具和软件
– 漏洞：被利用的漏洞
– 技术：攻击技术和战术
– 基础设施：攻击中使用的基础设施（C＆C 服务器、代理等）

通过综合分析这些各种因素，我们可以识别每个行动的独特特征和模式，并更准确地追踪威胁行为者的活动。

在操作阶段要注意的一点是，多个威胁行为者可能参与一次攻击活动。在这个系统中，我们认为网络攻击可以基于多个威胁行为者之间的合作，因此我们有多个 Arthropods 连接到 Larva。如果我们观察现实世界的攻击案例，我们经常会看到个人、雇佣的威胁行为者或威胁团体为了共同的目标而共同努力。

4. 活动：长期、有组织的攻击活动

攻击活动是一种长期的、有组织的攻击活动，持续至少几个月，甚至一年以上。一个战役由两个或多个行动组成，长期利用各种攻击技术来实现长期目标。对于这些活动，我们也经过长期的分析后定义了名称。

在分析一场攻击活动时，我们重点分析由多个行动链接在一起以实现长期目标的攻击活动，而不是单一的攻击活动。此步骤的目标是了解攻击者的最终目标和长期策略。为此，我们分析了多个威胁行为者在较长时间内合作或独立行动的情况。