論文の概要: KnowHow: Automatically Applying High-Level CTI Knowledge for Interpretable and Accurate Provenance Analysis

• arxiv url: http://arxiv.org/abs/2509.05698v1
• Date: Sat, 06 Sep 2025 12:25:06 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-09-09 14:07:03.657162
• Title: KnowHow: Automatically Applying High-Level CTI Knowledge for Interpretable and Accurate Provenance Analysis
• Title（参考訳）: ノウハウ:高レベルCTI知識の解釈・精度解析への自動適用
• Authors: Yuhan Meng, Shaofei Li, Jiaping Gui, Peng Jiang, Ding Li,
• Abstract要約: KnowHowは、低レベルのシステムイベントを検出するための、CTI主導のオンライン証明分析アプローチである。 KnowHowの中核は、攻撃の主題、対象、行動を表す新しい攻撃知識表現であるgIoCである。 評価の結果,KnowHowはオープンソースおよび産業データセット中の16のAPTキャンペーンを正確に検出できることがわかった。
• 参考スコア（独自算出の注目度）: 10.656147784146876
• License: http://creativecommons.org/licenses/by-nc-nd/4.0/
• Abstract: High-level natural language knowledge in CTI reports, such as the ATT&CK framework, is beneficial to counter APT attacks. However, how to automatically apply the high-level knowledge in CTI reports in realistic attack detection systems, such as provenance analysis systems, is still an open problem. The challenge stems from the semantic gap between the knowledge and the low-level security logs: while the knowledge in CTI reports is written in natural language, attack detection systems can only process low-level system events like file accesses or network IP manipulations. Manual approaches can be labor-intensive and error-prone. In this paper, we propose KnowHow, a CTI-knowledge-driven online provenance analysis approach that can automatically apply high-level attack knowledge from CTI reports written in natural languages to detect low-level system events. The core of KnowHow is a novel attack knowledge representation, gIoC, that represents the subject, object, and actions of attacks. By lifting system identifiers, such as file paths, in system events to natural language terms, KnowHow can match system events to gIoC and further match them to techniques described in natural languages. Finally, based on the techniques matched to system events, KnowHow reasons about the temporal logic of attack steps and detects potential APT attacks in system events. Our evaluation shows that KnowHow can accurately detect all 16 APT campaigns in the open-source and industrial datasets, while existing approaches all introduce large numbers of false positives. Meanwhile, our evaluation also shows that KnowHow reduces at most 90% of node-level false positives while having a higher node-level recall and is robust against several unknown attacks and mimicry attacks.
• Abstract（参考訳）: CTIレポートの高度な自然言語知識、例えばATT&CKフレームワークは、APT攻撃に対抗するのに有用である。 しかし、証明分析システムのような現実的な攻撃検知システムにおいて、CTIレポートに高レベルの知識を自動的に適用する方法は、まだ未解決の問題である。 CTIレポートの知識は自然言語で書かれているが、攻撃検出システムはファイルアクセスやネットワークIP操作のような低レベルのシステムイベントのみを処理することができる。 手動のアプローチは、労働集約的でエラーを起こしやすい。 本稿では、自然言語で記述されたCTIレポートから高レベルの攻撃知識を自動的に適用し、低レベルのシステムイベントを検知する、CTIによるオンライン証明分析手法であるKnowHowを提案する。 KnowHowの中核は、攻撃の主題、対象、行動を表す新しい攻撃知識表現であるgIoCである。 KnowHowは、ファイルシステムなどのシステム識別子を自然言語用語に引き上げることで、システムイベントをgIoCにマッチさせ、さらに自然言語で記述されたテクニックにマッチさせることができる。 最後に、システムイベントにマッチするテクニックに基づいて、KnowHowは攻撃ステップの時間論理を理由として、システムイベントにおける潜在的なAPT攻撃を検出する。 我々の評価では、オープンソースのデータセットと産業データセットで16のAPTキャンペーンを正確に検出できる一方で、既存のアプローチはいずれも大量の偽陽性を導入している。 また,評価の結果,ノードレベルの偽陽性は90%以上減少する一方,ノードレベルのリコールは高く,未知の攻撃や模倣攻撃に対して堅牢であることがわかった。

関連論文リスト

• CLIProv: A Contrastive Log-to-Intelligence Multimodal Approach for Threat Detection and Provenance Analysis [6.680853786327484]
  本稿では,ホストシステムにおける脅威行動を検出する新しいアプローチであるCLIProvを紹介する。 脅威インテリジェンスに攻撃パターン情報を活用することで、CLIProvはTTPを特定し、完全かつ簡潔な攻撃シナリオを生成する。 最先端の手法と比較して、CLIProvは精度が高く、検出効率が大幅に向上している。
  論文  参考訳（メタデータ） (2025-07-12T04:20:00Z)
• False Alarms, Real Damage: Adversarial Attacks Using LLM-based Models on Text-based Cyber Threat Intelligence Systems [1.4932549821542682]
  サイバー脅威インテリジェンス(CTI)は、サイバー脅威ライフサイクルの初期段階で機能する重要な補完的アプローチとして登場した。 大量のデータがあるため、機械学習(ML)と自然言語処理(NLP)モデルによる自動化は、効果的なCTI抽出に不可欠である。 本研究は,CTIパイプライン全体を構成する各種コンポーネントの脆弱性と敵攻撃に対する感受性について検討した。
  論文  参考訳（メタデータ） (2025-07-05T19:00:27Z)
• KnowML: Improving Generalization of ML-NIDS with Attack Knowledge Graphs [7.155121937602244]
  我々は,攻撃知識をML-NIDSに統合する知識誘導機械学習フレームワークであるKnowMLを提案する。 本研究は,28種類のリアルアタックに対してKnowMLを評価し,その内10種を新たに収集した。
  論文  参考訳（メタデータ） (2025-06-24T17:08:58Z)
• Learning Knowledge-based Prompts for Robust 3D Mask Presentation Attack Detection [84.21257150497254]
  本稿では,3次元マスク提示攻撃検出のための視覚言語モデルの強力な一般化能力を検討するための,知識に基づく新しいプロンプト学習フレームワークを提案する。 実験により,提案手法は最先端のシナリオ内およびクロスシナリオ検出性能を実現することを示す。
  論文  参考訳（メタデータ） (2025-05-06T15:09:23Z)
• Time-Aware Face Anti-Spoofing with Rotation Invariant Local Binary Patterns and Deep Learning [50.79277723970418]
  模倣攻撃は 不正な識別と その後の攻撃者の認証につながる 顔認識と同様に、模倣攻撃も機械学習で検出できる。 本稿では,未使用の機能と時間認識の深層学習戦略を組み合わせることで,高い分類精度を実現する新しい手法を提案する。
  論文  参考訳（メタデータ） (2024-08-27T07:26:10Z)
• Survey of Vulnerabilities in Large Language Models Revealed by Adversarial Attacks [5.860289498416911]
  大規模言語モデル(LLM)はアーキテクチャと能力において急速に進歩しています。 複雑なシステムに深く統合されるにつれて、セキュリティ特性を精査する緊急性が高まっている。 本稿では,LSMに対する対人攻撃の新たな学際的分野について調査する。
  論文  参考訳（メタデータ） (2023-10-16T21:37:24Z)
• KCTS: Knowledge-Constrained Tree Search Decoding with Token-Level Hallucination Detection [48.067722381794]
  大規模言語モデル (LLM) は、人間レベルの自然言語生成能力を示す。 幻覚問題と呼ばれる誤報を発生させる可能性があり、その展開に重大なリスクをもたらす。 KCTSと呼ばれる知識制約付き復号法を提案し、フリーズしたLMを誘導し、参照知識と整合したテキストを生成する。
  論文  参考訳（メタデータ） (2023-10-13T12:12:34Z)
• Automatic Mapping of Unstructured Cyber Threat Intelligence: An Experimental Study [1.1470070927586016]
  機械学習(ML)を用いた攻撃手法における非構造化サイバー脅威情報(CTI)の自動分類に関する実験的検討を行った。 CTI分析のための2つの新しいデータセットにコントリビュートし、従来の機械学習モデルとディープラーニングモデルの両方を含む、いくつかのMLモデルを評価した。 本稿では,このタスクにおいてMLがどのように機能するか,どの分類器が最善か,どの条件下か,その主な原因である分類誤り,CTI分析の課題について,いくつかの教訓を提示する。
  論文  参考訳（メタデータ） (2022-08-25T15:01:42Z)
• Towards Automated Classification of Attackers' TTPs by combining NLP with ML Techniques [77.34726150561087]
  我々は,NLP(Natural Language Processing)と,研究におけるセキュリティ情報抽出に使用される機械学習技術の評価と比較を行った。 本研究では,攻撃者の戦術や手法に従って非構造化テキストを自動的に分類するデータ処理パイプラインを提案する。
  論文  参考訳（メタデータ） (2022-07-18T09:59:21Z)
• Learning-based Hybrid Local Search for the Hard-label Textual Attack [53.92227690452377]
  我々は,攻撃者が予測ラベルにのみアクセス可能な,滅多に調査されていないが厳格な設定,すなわちハードラベル攻撃を考える。 そこで本研究では,Learning-based Hybrid Local Search (LHLS)アルゴリズムという,新たなハードラベル攻撃を提案する。 我々のLHLSは、攻撃性能と敵の品質に関する既存のハードラベル攻撃を著しく上回っている。
  論文  参考訳（メタデータ） (2022-01-20T14:16:07Z)
• A System for Automated Open-Source Threat Intelligence Gathering and Management [53.65687495231605]
  SecurityKGはOSCTIの収集と管理を自動化するシステムである。 AIとNLP技術を組み合わせて、脅威行動に関する高忠実な知識を抽出する。
  論文  参考訳（メタデータ） (2021-01-19T18:31:35Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。