論文の概要: Rule-ATT&CK Mapper (RAM): Mapping SIEM Rules to TTPs Using LLMs

• arxiv url: http://arxiv.org/abs/2502.02337v1
• Date: Tue, 04 Feb 2025 14:16:02 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-02-05 14:51:50.863477
• Title: Rule-ATT&CK Mapper (RAM): Mapping SIEM Rules to TTPs Using LLMs
• Title（参考訳）: Rule-ATT&CK Mapper (RAM): LLMを用いたSIEMルールのTPへのマッピング
• Authors: Prasanna N. Wudali, Moshe Kravchik, Ehud Malul, Parth A. Gandhi, Yuval Elovici, Asaf Shabtai,
• Abstract要約: Rule-ATT&CK Mapper (RAM)は構造化SIEMルールをMITRE ATT&CK技術にマッピングするフレームワークである。 RAMのマルチステージパイプラインは、プロンプトチェーン技術にインスパイアされたもので、LLM事前トレーニングや微調整を必要とせずにマッピング精度を向上させる。
• 参考スコア（独自算出の注目度）: 22.791057694472634
• License:
• Abstract: The growing frequency of cyberattacks has heightened the demand for accurate and efficient threat detection systems. SIEM platforms are important for analyzing log data and detecting adversarial activities through rule-based queries, also known as SIEM rules. The efficiency of the threat analysis process relies heavily on mapping these SIEM rules to the relevant attack techniques in the MITRE ATT&CK framework. Inaccurate annotation of SIEM rules can result in the misinterpretation of attacks, increasing the likelihood that threats will be overlooked. Existing solutions for annotating SIEM rules with MITRE ATT&CK technique labels have notable limitations: manual annotation of SIEM rules is both time-consuming and prone to errors, and ML-based approaches mainly focus on annotating unstructured free text sources rather than structured data like SIEM rules. Structured data often contains limited information, further complicating the annotation process and making it a challenging task. To address these challenges, we propose Rule-ATT&CK Mapper (RAM), a novel framework that leverages LLMs to automate the mapping of structured SIEM rules to MITRE ATT&CK techniques. RAM's multi-stage pipeline, which was inspired by the prompt chaining technique, enhances mapping accuracy without requiring LLM pre-training or fine-tuning. Using the Splunk Security Content dataset, we evaluate RAM's performance using several LLMs, including GPT-4-Turbo, Qwen, IBM Granite, and Mistral. Our evaluation highlights GPT-4-Turbo's superior performance, which derives from its enriched knowledge base, and an ablation study emphasizes the importance of external contextual knowledge in overcoming the limitations of LLMs' implicit knowledge for domain-specific tasks. These findings demonstrate RAM's potential in automating cybersecurity workflows and provide valuable insights for future advancements in this field.
• Abstract（参考訳）: サイバー攻撃の頻度は増加し、正確で効率的な脅威検知システムに対する需要が高まった。 SIEMプラットフォームは、ログデータを解析し、ルールベースのクエリ(SIEMルールとも呼ばれる)を通じて敵のアクティビティを検出するために重要である。 脅威分析プロセスの効率は、これらのSIEMルールをMITRE ATT&CKフレームワークの関連する攻撃手法にマッピングすることに大きく依存している。 SIEMルールの不正確なアノテーションは、攻撃の誤解釈を引き起こし、脅威が見過ごされる可能性を高める。 既存のSIEMルールをMITRE ATT&CKテクニックラベルで注釈付けするためのソリューションには、注目すべき制限がある: SIEMルールのマニュアルアノテーションは、時間とエラーの傾向の両方があり、MLベースのアプローチは主に、SIEMルールのような構造化データではなく、構造化されていない自由テキストソースの注釈付けに焦点を当てている。 構造化データは、しばしば限られた情報を含み、アノテーションプロセスをさらに複雑化し、それを困難なタスクにする。 これらの課題に対処するために、構造化SIEMルールをMITRE ATT&CK技術にマッピングする自動化にLLMを活用する新しいフレームワークであるRule-ATT&CK Mapper (RAM)を提案する。 RAMのマルチステージパイプラインは、プロンプトチェーン技術にインスパイアされたもので、LLM事前トレーニングや微調整を必要とせずにマッピング精度を向上させる。 Splunk Security Contentデータセットを用いて、GPT-4-Turbo、Qwen、IBM Granite、Mistralを含む複数のLCMを用いてRAMの性能を評価する。 本評価では,GPT-4-Turboの豊富な知識ベースから派生した優れた性能を強調し,LLMのドメイン固有タスクに対する暗黙的知識の限界を克服する上で,外部文脈知識の重要性を強調した。 これらの知見は、サイバーセキュリティワークフローの自動化におけるRAMの可能性を示し、この分野の将来的な進歩に価値ある洞察を提供する。

関連論文リスト

• Detecting Training Data of Large Language Models via Expectation Maximization [62.28028046993391]
  メンバーシップ推論攻撃(MIA)は、特定のインスタンスがターゲットモデルのトレーニングデータの一部であるかどうかを判断することを目的としている。 大規模言語モデル(LLM)にMIAを適用することは、事前学習データの大規模化と、会員シップのあいまいさによって、ユニークな課題をもたらす。 EM-MIAは,予測最大化アルゴリズムを用いて,メンバーシップスコアとプレフィックススコアを反復的に洗練するLLMの新しいMIA手法である。
  論文  参考訳（メタデータ） (2024-10-10T03:31:16Z)
• System-Level Defense against Indirect Prompt Injection Attacks: An Information Flow Control Perspective [24.583984374370342]
  LLMシステム(Large Language Model-based System)は、情報処理およびクエリ処理システムである。 本稿では,情報フロー制御の原理に基づくシステムレベルの防衛システムについて述べる。
  論文  参考訳（メタデータ） (2024-09-27T18:41:58Z)
• Security Vulnerability Detection with Multitask Self-Instructed Fine-Tuning of Large Language Models [8.167614500821223]
  脆弱性検出のためのMSIVD, マルチタスクによる自己指示型微調整を, チェーン・オブ・シント・プロンプトとLDMによる自己指示にインスパイアした。 実験の結果,MSIVDは高い性能を示し,LineVul(LLMベースの脆弱性検出ベースライン)はBigVulデータセットでは0.92点,PreciseBugsデータセットでは0.48点であった。
  論文  参考訳（メタデータ） (2024-06-09T19:18:05Z)
• Unveiling the Misuse Potential of Base Large Language Models via In-Context Learning [61.2224355547598]
  大規模言語モデル(LLM)のオープンソース化は、アプリケーション開発、イノベーション、科学的進歩を加速させる。 我々の調査は、この信念に対する重大な監視を露呈している。 我々の研究は、慎重に設計されたデモを配置することにより、ベースLSMが悪意のある命令を効果的に解釈し実行できることを実証する。
  論文  参考訳（メタデータ） (2024-04-16T13:22:54Z)
• The WMDP Benchmark: Measuring and Reducing Malicious Use With Unlearning [87.1610740406279]
  ホワイトハウス人工知能に関する大統領令は、生物、サイバー、化学兵器の開発において悪意あるアクターに力を与える大きな言語モデル(LLM)のリスクを強調している。 現在の評価は非公開であり、リスク軽減のさらなる研究を妨げている。 Weapons of Mass Destruction Proxyベンチマークを公開しています。
  論文  参考訳（メタデータ） (2024-03-05T18:59:35Z)
• TAT-LLM: A Specialized Language Model for Discrete Reasoning over Tabular and Textual Data [73.29220562541204]
  我々は,言語モデル(LLM)の驚くべきパワーを活用して課題を解決することを検討する。 LLaMA2を微調整し,既存のエキスパートアノテートデータセットから自動生成したトレーニングデータを用いてTAT-LLM言語モデルを開発する。
  論文  参考訳（メタデータ） (2024-01-24T04:28:50Z)
• Advancing TTP Analysis: Harnessing the Power of Large Language Models with Retrieval Augmented Generation [1.2289361708127877]
  大規模言語モデル(LLM)が、サイバーセキュリティなどの重要なドメインに対して正確な応答を提供するために、効率的かつ適切な方法でどのように使用できるかは、不明である。 この研究は、デコーダのみのLLMに対するエンコーダのみのLLM(Retrieval Augmented Generation, RAG)に対する教師付き微調整(SFT)の使用について研究し、比較する。 本研究では,RAGを用いたデコーダのみのLLMが,SFTを用いたエンコーダのみのモデルよりも優れた性能を示すことを示す。
  論文  参考訳（メタデータ） (2023-12-30T16:56:24Z)
• Secure Instruction and Data-Level Information Flow Tracking Model for RISC-V [0.0]
  不正アクセス、障害注入、およびプライバシー侵害は、信頼できないアクターによる潜在的な脅威である。 本稿では,実行時セキュリティがシステム完全性を保護するために,IFT(Information Flow Tracking)技術を提案する。 本研究では,ハードウェアベース IFT 技術とゲートレベル IFT (GLIFT) 技術を統合したマルチレベル IFT モデルを提案する。
  論文  参考訳（メタデータ） (2023-11-17T02:04:07Z)
• Do-Not-Answer: A Dataset for Evaluating Safeguards in LLMs [59.596335292426105]
  本稿では,大規模な言語モデルにおけるセーフガードを評価するための,最初のオープンソースデータセットを収集する。 我々は、自動安全性評価において、GPT-4に匹敵する結果を得るために、BERTライクな分類器をいくつか訓練する。
  論文  参考訳（メタデータ） (2023-08-25T14:02:12Z)
• Instruction Tuning for Large Language Models: A Survey [52.86322823501338]
  我々は、教師付き微調整(SFT)の一般的な方法論を含む、文献の体系的なレビューを行う。 また、既存の戦略の欠陥を指摘しながら、SFTの潜在的な落とし穴についても、それに対する批判とともに検討する。
  論文  参考訳（メタデータ） (2023-08-21T15:35:16Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。