論文の概要: LLMCloudHunter: Harnessing LLMs for Automated Extraction of Detection Rules from Cloud-Based CTI
- arxiv url: http://arxiv.org/abs/2407.05194v1
- Date: Sat, 6 Jul 2024 21:43:35 GMT
- ステータス: 処理完了
- システム内更新日: 2024-07-09 20:46:54.650433
- Title: LLMCloudHunter: Harnessing LLMs for Automated Extraction of Detection Rules from Cloud-Based CTI
- Title(参考訳): LLMCloudHunter:クラウドベースのCTIから検出ルールの自動抽出のためのLLMのハーネス化
- Authors: Yuval Schwartz, Lavi Benshimol, Dudu Mimran, Yuval Elovici, Asaf Shabtai,
- Abstract要約: オープンソースのサイバー脅威インテリジェンス(OS-CTI)は、脅威ハンターにとって貴重な資源である。
OSCTI分析の自動化を目的とした以前の研究は、実行可能な出力を提供できなかった。
我々は,OSCTIデータからジェネリック署名検出規則候補を自動的に生成する新しいフレームワーク LLMCloudHunter を提案する。
- 参考スコア(独自算出の注目度): 24.312198733476063
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: As the number and sophistication of cyber attacks have increased, threat hunting has become a critical aspect of active security, enabling proactive detection and mitigation of threats before they cause significant harm. Open-source cyber threat intelligence (OS-CTI) is a valuable resource for threat hunters, however, it often comes in unstructured formats that require further manual analysis. Previous studies aimed at automating OSCTI analysis are limited since (1) they failed to provide actionable outputs, (2) they did not take advantage of images present in OSCTI sources, and (3) they focused on on-premises environments, overlooking the growing importance of cloud environments. To address these gaps, we propose LLMCloudHunter, a novel framework that leverages large language models (LLMs) to automatically generate generic-signature detection rule candidates from textual and visual OSCTI data. We evaluated the quality of the rules generated by the proposed framework using 12 annotated real-world cloud threat reports. The results show that our framework achieved a precision of 92% and recall of 98% for the task of accurately extracting API calls made by the threat actor and a precision of 99% with a recall of 98% for IoCs. Additionally, 99.18% of the generated detection rule candidates were successfully compiled and converted into Splunk queries.
- Abstract(参考訳): サイバー攻撃の回数と高度化が進むにつれて、脅威狩りは積極的なセキュリティの重要な側面となり、脅威を積極的に検出し、重大な被害をもたらす前に軽減することができるようになった。
オープンソースのサイバー脅威インテリジェンス(OS-CTI)は、脅威ハンターにとって貴重なリソースである。
従来のOSCTI分析の自動化を目的とした研究は,(1)動作可能なアウトプットの提供に失敗したこと,(2)OSCTIのソースに存在するイメージを活用できなかったこと,(3)クラウド環境の重要性の高まりを見越して,オンプレミス環境に重点を置いていたことなどから,制限されている。
これらのギャップに対処するために,LLMCloudHunterを提案する。LLMCloudHunterは大規模言語モデル(LLM)を活用し,テキストおよびビジュアルOSCTIデータから汎用署名検出規則候補を自動的に生成するフレームワークである。
提案するフレームワークが生成するルールの質を,12のアノテートされた実世界のクラウド脅威レポートを用いて評価した。
その結果,本フレームワークは,脅威アクターによるAPI呼び出しを正確に抽出する作業において,92%の精度を達成し,98%のリコールを達成し,99%の精度でIoCのリコールを行うことができた。
さらに、生成された検出ルール候補の99.18%が正常にコンパイルされ、Splunkクエリに変換された。
関連論文リスト
- TIPS: Threat Actor Informed Prioritization of Applications using SecEncoder [10.80485109546937]
TIPSは、エンコーダとデコーダ言語モデルの長所を組み合わせて、妥協されたアプリケーションを検出し、優先順位付けする。
現実のシナリオでは、TIPSはセキュリティアナリストに対する調査のバックログを87%削減する。
論文 参考訳(メタデータ) (2024-11-12T03:33:08Z) - Attention Tracker: Detecting Prompt Injection Attacks in LLMs [62.247841717696765]
大型言語モデル (LLM) は様々なドメインに革命をもたらしたが、インジェクション攻撃に弱いままである。
そこで本研究では,特定の注意点が本来の指示から注入指示へと焦点を移す,注意散逸効果の概念を紹介した。
本研究では,アテンション・トラッカーを提案する。アテンション・トラッカーは,インジェクション・アタックを検出するために,インストラクション上の注意パターンを追跡する訓練不要な検出手法である。
論文 参考訳(メタデータ) (2024-11-01T04:05:59Z) - ProveRAG: Provenance-Driven Vulnerability Analysis with Automated Retrieval-Augmented LLMs [1.7191671053507043]
セキュリティアナリストは、新たに発見された脆弱性をリアルタイムで軽減するという課題に直面している。
1999年以降、30,000以上の共通脆弱性と暴露が特定されている。
2024年には25,000以上の脆弱性が特定されている。
論文 参考訳(メタデータ) (2024-10-22T20:28:57Z) - Unlearn and Burn: Adversarial Machine Unlearning Requests Destroy Model Accuracy [65.80757820884476]
未学習システムのデプロイにおいて、重要で未調査の脆弱性を公開しています。
本稿では,訓練セットに存在しないデータに対して,逆学習要求を送信することにより,攻撃者がモデル精度を劣化させることができる脅威モデルを提案する。
我々は、未学習要求の正当性を検出するための様々な検証メカニズムを評価し、検証の課題を明らかにする。
論文 参考訳(メタデータ) (2024-10-12T16:47:04Z) - KGV: Integrating Large Language Models with Knowledge Graphs for Cyber Threat Intelligence Credibility Assessment [38.312774244521]
本稿では,CTI(Cyber Threat Intelligence)品質評価フレームワークの知識グラフに基づく検証手法を提案する。
提案手法では,検証対象のOSCTIキークレームを自動的に抽出するLarge Language Models (LLM)を導入している。
研究分野のギャップを埋めるために、異種情報源からの脅威情報評価のための最初のデータセットを作成し、公開しました。
論文 参考訳(メタデータ) (2024-08-15T11:32:46Z) - Exploring Automatic Cryptographic API Misuse Detection in the Era of LLMs [60.32717556756674]
本稿では,暗号誤用の検出において,大規模言語モデルを評価するための体系的評価フレームワークを提案する。
11,940個のLCM生成レポートを詳細に分析したところ、LSMに固有の不安定性は、報告の半数以上が偽陽性になる可能性があることがわかった。
最適化されたアプローチは、従来の手法を超え、確立されたベンチマークでこれまで知られていなかった誤用を明らかにすることで、90%近い顕著な検出率を達成する。
論文 参考訳(メタデータ) (2024-07-23T15:31:26Z) - On the Security Risks of Knowledge Graph Reasoning [71.64027889145261]
我々は、敵の目標、知識、攻撃ベクトルに応じて、KGRに対するセキュリティ脅威を体系化する。
我々は、このような脅威をインスタンス化する新しいタイプの攻撃であるROARを提示する。
ROARに対する潜在的な対策として,潜在的に有毒な知識のフィルタリングや,対向的な拡張クエリによるトレーニングについて検討する。
論文 参考訳(メタデータ) (2023-05-03T18:47:42Z) - Unsupervised User-Based Insider Threat Detection Using Bayesian Gaussian
Mixture Models [0.0]
本稿では,監査データに基づく教師なしインサイダー脅威検出システムを提案する。
提案手法は,ユーザベースモデルを用いて,特定の振る舞いのモデル化とWord2Vecに基づく自動特徴抽出システムを実現する。
その結果,提案手法は最先端手法と競合し,精度が88%,真負率が93%,偽陽性率が6.9%であった。
論文 参考訳(メタデータ) (2022-11-23T13:45:19Z) - A System for Efficiently Hunting for Cyber Threats in Computer Systems
Using Threat Intelligence [78.23170229258162]
ThreatRaptorは、OSCTIを使用してコンピュータシステムにおけるサイバー脅威ハンティングを容易にするシステムです。
ThreatRaptorは、(1)構造化OSCTIテキストから構造化された脅威行動を抽出する非監視で軽量で正確なNLPパイプライン、(2)簡潔で表現力のあるドメイン固有クエリ言語であるTBQLを提供し、悪意のあるシステムアクティビティを探し、(3)抽出された脅威行動からTBQLクエリを自動的に合成するクエリ合成メカニズムを提供する。
論文 参考訳(メタデータ) (2021-01-17T19:44:09Z) - Enabling Efficient Cyber Threat Hunting With Cyber Threat Intelligence [94.94833077653998]
ThreatRaptorは、オープンソースのCyber Threat Intelligence(OSCTI)を使用して、コンピュータシステムにおける脅威追跡を容易にするシステムである。
構造化されていないOSCTIテキストから構造化された脅威行動を抽出し、簡潔で表現力豊かなドメイン固有クエリ言語TBQLを使用して悪意のあるシステムアクティビティを探索する。
広範囲にわたる攻撃事例の評価は、現実的な脅威狩りにおけるThreatRaptorの精度と効率を実証している。
論文 参考訳(メタデータ) (2020-10-26T14:54:01Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。