論文の概要: DroidTTP: Mapping Android Applications with TTP for Cyber Threat Intelligence

• arxiv url: http://arxiv.org/abs/2503.15866v1
• Date: Thu, 20 Mar 2025 05:38:24 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-03-21 16:33:15.410224
• Title: DroidTTP: Mapping Android Applications with TTP for Cyber Threat Intelligence
• Title（参考訳）: DroidTTP: サイバー脅威インテリジェンスのためのTTPによるAndroidアプリケーションのマッピング
• Authors: Dincy R Arikkat, Vinod P., Rafidha Rehiman K. A., Serena Nicolazzo, Marco Arazzi, Antonino Nocera, Mauro Conti,
• Abstract要約: DroidTTPは、Androidのマルウェアの振る舞いを戦術、テクニック、手順(TTP)にマッピングするフレームワークである。 私たちのデータセットは、MITRE TTPをAndroidアプリケーションに明示的に関連付けています。 問題変換アプローチ(PTA)と大規模言語モデル(LLM)を利用した自動解法を開発した。
• 参考スコア（独自算出の注目度）: 13.958337678497163
• License:
• Abstract: The widespread adoption of Android devices for sensitive operations like banking and communication has made them prime targets for cyber threats, particularly Advanced Persistent Threats (APT) and sophisticated malware attacks. Traditional malware detection methods rely on binary classification, failing to provide insights into adversarial Tactics, Techniques, and Procedures (TTPs). Understanding malware behavior is crucial for enhancing cybersecurity defenses. To address this gap, we introduce DroidTTP, a framework mapping Android malware behaviors to TTPs based on the MITRE ATT&CK framework. Our curated dataset explicitly links MITRE TTPs to Android applications. We developed an automated solution leveraging the Problem Transformation Approach (PTA) and Large Language Models (LLMs) to map applications to both Tactics and Techniques. Additionally, we employed Retrieval-Augmented Generation (RAG) with prompt engineering and LLM fine-tuning for TTP predictions. Our structured pipeline includes dataset creation, hyperparameter tuning, data augmentation, feature selection, model development, and SHAP-based model interpretability. Among LLMs, Llama achieved the highest performance in Tactic classification with a Jaccard Similarity of 0.9583 and Hamming Loss of 0.0182, and in Technique classification with a Jaccard Similarity of 0.9348 and Hamming Loss of 0.0127. However, the Label Powerset XGBoost model outperformed LLMs, achieving a Jaccard Similarity of 0.9893 for Tactic classification and 0.9753 for Technique classification, with a Hamming Loss of 0.0054 and 0.0050, respectively. While XGBoost showed superior performance, the narrow margin highlights the potential of LLM-based approaches in TTP classification.
• Abstract（参考訳）: 銀行や通信といった機密性の高い操作にAndroidデバイスが広く採用されていることで、サイバー脅威、特にAdvanced Persistent Threats(APT)や高度なマルウェア攻撃の主なターゲットとなっている。 従来のマルウェア検出手法はバイナリ分類に依存しており、敵の戦術、技術、手順(TTP)に関する洞察を得られていない。 マルウェアの振る舞いを理解することは、サイバーセキュリティの防御を強化するために不可欠である。 このギャップに対処するため,MITRE ATT&CKフレームワークに基づいたAndroidマルウェアの挙動をTTPにマッピングするフレームワークであるDroidTTPを紹介した。 私たちのキュレートデータセットは、MITRE TTPをAndroidアプリケーションに明示的に関連付けています。 我々は,問題変換アプローチ(PTA)とLarge Language Models(LLM)を利用して,アプリケーションを戦術と手法の両方にマッピングする自動化ソリューションを開発した。 さらに,TTP予測の高速化とLLM微調整にRAG(Retrieval-Augmented Generation)を適用した。 構造化パイプラインには、データセット生成、ハイパーパラメータチューニング、データ拡張、特徴選択、モデル開発、SHAPベースのモデル解釈性が含まれています。 LLMの中でも、ラマはジャカード類似度0.9583、ハミング損失0.0182、技術分類0.9348、ハミング損失0.00127でタクティカル分類で最高の成績を収めた。 しかし、ラベル・パワーセット XGBoost モデルは LLM よりも優れており、戦術分類の Jaccard 類似度は 0.9893 であり、技術分類の 0.9753 であり、ハミング損失は 0.0054 と 0.0050 である。 XGBoost は優れた性能を示したが、狭いマージンは TTP 分類における LLM ベースのアプローチの可能性を強調している。

関連論文リスト

• APT-LLM: Embedding-Based Anomaly Detection of Cyber Advanced Persistent Threats Using Large Language Models [4.956245032674048]
  APTは、ステルスと通常のシステム動作を模倣する能力のために、大きなサイバーセキュリティ上の課題を提起する。 本稿では,新しい埋め込み型異常検出フレームワークであるAPT-LLMを紹介する。 大規模な言語モデル(LLM)とオートエンコーダアーキテクチャを統合してAPTを検出する。
  論文  参考訳（メタデータ） (2025-02-13T15:01:18Z)
• Examining the Rat in the Tunnel: Interpretable Multi-Label Classification of Tor-based Malware [3.62129446831783]
  Tor上の悪意のあるトラフィックは混雑を誘発し、Torのパフォーマンスを低下させる。 最近の研究は、捕獲されたTorのトラフィックを悪意または良心として正確に分類する可能性を実証している。
  論文  参考訳（メタデータ） (2024-09-25T05:38:09Z)
• Model Surgery: Modulating LLM's Behavior Via Simple Parameter Editing [63.20133320524577]
  パラメータの小さなサブセットを編集することで、大きな言語モデル(LLM)の特定の振る舞いを効果的に調節できることを示す。 我々の手法は、RealToxicityPromptsデータセットで最大90.0%の毒性を減少させ、ToxiGenで49.2%を達成する。
  論文  参考訳（メタデータ） (2024-07-11T17:52:03Z)
• Tactics, Techniques, and Procedures (TTPs) in Interpreted Malware: A Zero-Shot Generation with Large Language Models [18.024835965133104]
  OSSマルウェアはソフトウェアサプライチェーン攻撃において重要な役割を果たす。 我々は,解釈されたマルウェアパッケージのTTPを抽出するゼロショットアプローチであるGENTTPを提案する。 GENTTPは高い精度と効率でTPを生成することができることを示す。
  論文  参考訳（メタデータ） (2024-07-11T14:18:41Z)
• FaultGuard: A Generative Approach to Resilient Fault Prediction in Smart Electrical Grids [53.2306792009435]
  FaultGuardは、障害タイプとゾーン分類のための最初のフレームワークであり、敵攻撃に耐性がある。 本稿では,ロバスト性を高めるために,低複雑性故障予測モデルとオンライン逆行訓練手法を提案する。 本モデルでは,耐故障予測ベンチマークの最先端を最大0.958の精度で上回っている。
  論文  参考訳（メタデータ） (2024-03-26T08:51:23Z)
• Here Comes The AI Worm: Unleashing Zero-click Worms that Target GenAI-Powered Applications [6.904930679944526]
  Morris-IIはコンピュータワームのような連鎖反応で、私たちがGenAIベースのアプリケーションと呼ぶ。 我々は、GenAIを利用した電子メールアシスタントのGenAIエコシステム内で、機密データ抽出の連鎖を作成する際のワームの性能を評価する。 我々は,Morris-IIの伝播を最小レイテンシ,高精度,偽陽性率で検出・防止するためのガードレールであるVirtual Donkeyを紹介する。
  論文  参考訳（メタデータ） (2024-03-05T09:37:13Z)
• A New Deep Boosted CNN and Ensemble Learning based IoT Malware Detection [0.0]
  セキュリティ問題は、特にIoT(Internet of Things)環境で、さまざまなタイプのネットワークで脅かされている。 我々は,新しいマルウェア検出フレームワークであるDeep Squeezed-Boosted and Ensemble Learning (DSBEL)を開発し,Squeezed-Boosted Boundary-Region Split-Transform-Merge (SB-BR-STM) CNNとアンサンブル学習を行った。
  論文  参考訳（メタデータ） (2022-12-15T18:14:51Z)
• Improving Adversarial Robustness to Sensitivity and Invariance Attacks with Deep Metric Learning [80.21709045433096]
  対向ロバスト性の標準的な方法は、サンプルを最小に摂動させることによって作られたサンプルに対して防御する枠組みを仮定する。 距離学習を用いて、最適輸送問題として逆正則化をフレーム化する。 予備的な結果から, 変分摂動の規則化は, 変分防御と敏感防御の両方を改善することが示唆された。
  論文  参考訳（メタデータ） (2022-11-04T13:54:02Z)
• Adversarial Attacks and Defense for Non-Parametric Two-Sample Tests [73.32304304788838]
  本稿では,非パラメトリックTSTの障害モードを逆攻撃により系統的に明らかにする。 TST非依存的な攻撃を可能にするために,異なる種類のテスト基準を協調的に最小化するアンサンブル攻撃フレームワークを提案する。 そこで本研究では,TSTの強化のために,逆対を反復的に生成し,深層カーネルを訓練する最大最小最適化を提案する。
  論文  参考訳（メタデータ） (2022-02-07T11:18:04Z)
• Sparse and Imperceptible Adversarial Attack via a Homotopy Algorithm [93.80082636284922]
  少数の敵対的攻撃は、数ピクセルを摂動するだけでディープ・ネットワーク(DNN)を騙すことができる。 近年の取り組みは、他の等級のl_infty摂動と組み合わせている。 本稿では,空間的・神経的摂動に対処するホモトピーアルゴリズムを提案する。
  論文  参考訳（メタデータ） (2021-06-10T20:11:36Z)
• Revisiting LSTM Networks for Semi-Supervised Text Classification via Mixed Objective Function [106.69643619725652]
  我々は,単純なBiLSTMモデルであっても,クロスエントロピー損失でトレーニングした場合に,競争的な結果が得られるようなトレーニング戦略を開発する。 いくつかのベンチマークデータセット上で,テキスト分類タスクの最先端結果について報告する。
  論文  参考訳（メタデータ） (2020-09-08T21:55:22Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。