論文の概要: An Automated Attack Investigation Approach Leveraging Threat-Knowledge-Augmented Large Language Models

• arxiv url: http://arxiv.org/abs/2509.01271v1
• Date: Mon, 01 Sep 2025 08:57:01 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-09-04 15:17:03.612059
• Title: An Automated Attack Investigation Approach Leveraging Threat-Knowledge-Augmented Large Language Models
• Title（参考訳）: 脅威知識を付加した大規模言語モデルを活用した自動攻撃調査手法
• Authors: Rujie Dai, Peizhuo Lv, Yujiang Gui, Qiujian Lv, Yuanyuan Qiao, Yan Wang, Degang Sun, Weiqing Huang, Yingjiu Li, XiaoFeng Wang,
• Abstract要約: Advanced Persistent Threats (APTs) は高価値システムを侵害してデータを盗んだり、操作を妨害したりする。 既存の手法では、プラットフォーム全般性の貧弱さ、進化的戦術への一般化の制限、アナリスト対応のレポート作成が不可能なことなどに悩まされている。 動的に適応可能なKil-Chain対応脅威知識ベースを組み込んだLDMを利用した攻撃調査フレームワークを提案する。
• 参考スコア（独自算出の注目度）: 17.220143037047627
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Advanced Persistent Threats (APTs) are prolonged, stealthy intrusions by skilled adversaries that compromise high-value systems to steal data or disrupt operations. Reconstructing complete attack chains from massive, heterogeneous logs is essential for effective attack investigation, yet existing methods suffer from poor platform generality, limited generalization to evolving tactics, and an inability to produce analyst-ready reports. Large Language Models (LLMs) offer strong semantic understanding and summarization capabilities, but in this domain they struggle to capture the long-range, cross-log dependencies critical for accurate reconstruction. To solve these problems, we present an LLM-empowered attack investigation framework augmented with a dynamically adaptable Kill-Chain-aligned threat knowledge base. We organizes attack-relevant behaviors into stage-aware knowledge units enriched with semantic annotations, enabling the LLM to iteratively retrieve relevant intelligence, perform causal reasoning, and progressively expand the investigation context. This process reconstructs multi-phase attack scenarios and generates coherent, human-readable investigation reports. Evaluated on 15 attack scenarios spanning single-host and multi-host environments across Windows and Linux (over 4.3M log events, 7.2 GB of data), the system achieves an average True Positive Rate (TPR) of 97.1% and an average False Positive Rate (FPR) of 0.2%, significantly outperforming the SOTA method ATLAS, which achieves an average TPR of 79.2% and an average FPR of 29.1%.
• Abstract（参考訳）: 高度な永続脅威(Advanced Persistent Threats、APTs)は、高価値システムを侵害してデータを盗んだり、操作を妨害する熟練した敵による、長くてステルス的な侵入である。 大規模で異種なログから完全な攻撃チェーンを再構築することは、効果的な攻撃調査には不可欠であるが、既存の手法では、プラットフォーム全般性の貧弱さ、進化する戦術への一般化の制限、アナリスト対応のレポートを作成することができない。 大規模言語モデル(LLM)は、強力なセマンティック理解と要約機能を提供するが、このドメインでは、正確な再構築に不可欠な長距離のクロスログ依存関係を捉えるのに苦労している。 これらの問題を解決するために,動的に適応可能なKil-Chain対応脅威知識ベースを付加したLDMを利用した攻撃調査フレームワークを提案する。 攻撃関連行動はセマンティックアノテーションに富んだ段階認識の知識単位に整理し,LLMが関連するインテリジェンスを反復的に検索し,因果推論を行い,調査コンテキストを段階的に拡張する。 このプロセスは多段階攻撃シナリオを再構築し、一貫性のある人間可読な調査レポートを生成する。 WindowsとLinuxのシングルホスト環境とマルチホスト環境にまたがる15の攻撃シナリオ(4.3Mのログイベント、7.2GBのデータ)で評価され、システムは97.1%のTrue Positive Rate(TPR)と0.2%のFalse Positive Rate(FPR)を達成し、平均的なTPR79.2%、平均29.1%のFPRを達成している。

関連論文リスト

• AEGIS : Automated Co-Evolutionary Framework for Guarding Prompt Injections Schema [39.44407870355891]
  AEGISは,プロンプトインジェクションのガードのための自動共進化フレームワークである。 攻撃プロンプトと防御プロンプトは、勾配のような自然言語プロンプト最適化技術を用いて互いに反復的に最適化される。 本研究では,実世界のアサイングレーティングデータセットを用いたインジェクション攻撃の評価を行い,本手法が既存のベースラインを一貫して上回ることを示す。
  論文  参考訳（メタデータ） (2025-08-27T12:25:45Z)
• Bridging AI and Software Security: A Comparative Vulnerability Assessment of LLM Agent Deployment Paradigms [1.03121181235382]
  大規模言語モデル(LLM)エージェントは、AI固有の旧来のソフトウェアドメインにまたがるセキュリティ上の脆弱性に直面している。 本研究では,Function Calling アーキテクチャと Model Context Protocol (MCP) デプロイメントパラダイムの比較評価を通じて,このギャップを埋める。 私たちは7つの言語モデルにわたる3,250の攻撃シナリオをテストし、AI固有の脅威とソフトウェア脆弱性の両方を対象として、シンプルで、構成され、連鎖した攻撃を評価しました。
  論文  参考訳（メタデータ） (2025-07-08T18:24:28Z)
• Tail-aware Adversarial Attacks: A Distributional Approach to Efficient LLM Jailbreaking [44.8238758047607]
  既存の敵攻撃は、通常、単一点、欲張り世代における有害な反応を標的にしている。 本稿では,テールリスクを含む出力分布全体を明示的にモデル化する,逆評価のための新しいフレームワークを提案する。 我々のフレームワークはまた、異なる攻撃アルゴリズムが出力の害分布にどのように影響するかを分析することができる。
  論文  参考訳（メタデータ） (2025-07-06T16:13:33Z)
• AttackSeqBench: Benchmarking Large Language Models' Understanding of Sequential Patterns in Cyber Attacks [13.082370325093242]
  我々は,サイバー脅威インテリジェンス(CTI)レポートにおいて,攻撃シーケンスの理解と推論を行うLarge Language Models(LLM)能力を評価するためのベンチマークであるAttackSeqBenchを紹介する。 本ベンチマークでは,3つの質問応答(QA)タスクを対象とし,各タスクは,相手行動の粒度の違いに焦点をあてる。 サイバー攻撃のシーケンシャルなパターンを分析する上での、その強みと限界を強調しながら、高速思考とスロー思考の両方で広範な実験と分析を行う。
  論文  参考訳（メタデータ） (2025-03-05T04:25:21Z)
• Reasoning-Augmented Conversation for Multi-Turn Jailbreak Attacks on Large Language Models [53.580928907886324]
  Reasoning-Augmented Conversationは、新しいマルチターンジェイルブレイクフレームワークである。 有害なクエリを良心的な推論タスクに再構成する。 RACEは,複雑な会話シナリオにおいて,最先端攻撃の有効性を実現する。
  論文  参考訳（メタデータ） (2025-02-16T09:27:44Z)
• Efficient Adversarial Training in LLMs with Continuous Attacks [99.5882845458567]
  大規模言語モデル(LLM)は、安全ガードレールをバイパスできる敵攻撃に対して脆弱である。 本稿では,2つの損失からなる高速対向訓練アルゴリズム(C-AdvUL)を提案する。 C-AdvIPOは、対向的に堅牢なアライメントのためのユーティリティデータを必要としない、対向型のIPOである。
  論文  参考訳（メタデータ） (2024-05-24T14:20:09Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。