論文の概要: TPPR: APT Tactic / Technique Pattern Guided Attack Path Reasoning for Attack Investigation

• arxiv url: http://arxiv.org/abs/2510.22191v1
• Date: Sat, 25 Oct 2025 07:13:07 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-10-28 19:54:32.500245
• Title: TPPR: APT Tactic / Technique Pattern Guided Attack Path Reasoning for Attack Investigation
• Title（参考訳）: TPPR:APT戦術/技術パターン誘導攻撃経路推論
• Authors: Qi Sheng,
• Abstract要約: 本稿では, 異常ノード検出, TTPアノテーション, グラフプルーニングにより, 異常部分グラフを抽出する新しいフレームワークTPPRを提案する。 TPPRの99.9%のグラフ単純化(70,000から20エッジ)を実現する能力は、重要な攻撃ノードの91%を保持しながら、攻撃シナリオの完全性を維持しながら63.1%と67.9%の再現精度で最先端のソリューション(SPARSE、DepImpact)より優れている。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Provenance analysis based on system audit data has emerged as a fundamental approach for investigating Advanced Persistent Threat (APT) attacks. Due to the high concealment and long-term persistence of APT attacks, they are only represented as a minimal part of the critical path in the provenance graph. While existing techniques employ behavioral pattern matching and data flow feature matching to uncover latent associations in attack sequences through provenance graph path reasoning, their inability to establish effective attack context associations often leads to the conflation of benign system operations with real attack entities, that fail to accurately characterize real APT behaviors. We observe that while the causality of entities in the provenance graph exhibit substantial complexity, attackers often follow specific attack patterns-specifically, clear combinations of tactics and techniques to achieve their goals. Based on these insights, we propose TPPR, a novel framework that first extracts anomaly subgraphs through abnormal node detection, TTP-annotation and graph pruning, then performs attack path reasoning using mined TTP sequential pattern, and finally reconstructs attack scenarios through confidence-based path scoring and merging. Extensive evaluation on real enterprise logs (more than 100 million events) and DARPA TC dataset demonstrates TPPR's capability to achieve 99.9% graph simplification (700,000 to 20 edges) while preserving 91% of critical attack nodes, outperforming state-of-the-art solutions (SPARSE, DepImpact) by 63.1% and 67.9% in reconstruction precision while maintaining attack scenario integrity.
• Abstract（参考訳）: システム監査データに基づく警告分析は,APT(Advanced Persistent Threat)攻撃に対する基本的なアプローチとして浮上している。 APT攻撃の強い隠蔽と長期持続のため、それらはプロファイランスグラフにおけるクリティカルパスの最小部分としてのみ表現される。 既存の手法では、行動パターンマッチングとデータフロー特徴マッチングを用いて、前兆グラフパスの推論を通じて攻撃シーケンス内の潜伏関連を解明するが、効果的な攻撃コンテキスト関連を確立することができないため、実際の攻撃エンティティとの良質なシステム操作の融合につながることが多く、実際の攻撃動作を正確に特徴づけることができない。 我々は,前処理グラフにおける実体の因果関係が相当に複雑であるのに対して,攻撃者は特定の攻撃パターン(具体的かつ明確な戦術と技法の組み合わせ)に従って目標を達成することが多いことを観察した。 これらの知見に基づいて,まず異常ノード検出,TPPアノテーション,グラフプルーニングを通じて異常部分グラフを抽出し,次いでマイニングされたTPPシーケンシャルパターンを用いて攻撃経路推論を行い,信頼度に基づくパススコアとマージによって攻撃シナリオを再構築する新しいフレームワークであるTPPRを提案する。 実際の企業ログ(1億件以上のイベント)とDARPA TCデータセットの大規模な評価では、TPPRが99.9%のグラフ単純化(70,000から20エッジ)を実現し、重要な攻撃ノードの91%を保持し、攻撃シナリオの完全性を維持しながら、63.1%と67.9%の再現精度で最先端のソリューション(SPARSE、DepImpact)を上回ります。

関連論文リスト

• R-TPT: Improving Adversarial Robustness of Vision-Language Models through Test-Time Prompt Tuning [69.72249695674665]
  視覚言語モデル(VLM)のためのロバストテスト時プロンプトチューニング(R-TPT)を提案する。 R-TPTは、推論段階における敵攻撃の影響を緩和する。 プラグアンドプレイの信頼性に基づく重み付きアンサンブル戦略を導入し,防御強化を図る。
  論文  参考訳（メタデータ） (2025-04-15T13:49:31Z)
• Slot: Provenance-Driven APT Detection through Graph Reinforcement Learning [24.84110719035862]
  先進的永続脅威(Advanced Persistent Threats、APT)は、長期にわたって検出されていない能力によって特徴づけられる高度なサイバー攻撃である。 本稿では,前駆グラフとグラフ強化学習に基づく高度なAPT検出手法であるSlotを提案する。 Slotの卓越した精度、効率、適応性、そしてAPT検出の堅牢性を示し、ほとんどのメトリクスは最先端の手法を超越している。
  論文  参考訳（メタデータ） (2024-10-23T14:28:32Z)
• NODLINK: An Online System for Fine-Grained APT Attack Detection and Investigation [15.803901489811318]
  NodLinkは、検出粒度を犠牲にすることなく高い検出精度を維持する最初のオンライン検出システムである。 そこで本研究では,APT攻撃検出における従来の手法よりも高速な,メモリ内キャッシュ,効率的な攻撃スクリーニング手法,および新しい近似アルゴリズムを提案する。
  論文  参考訳（メタデータ） (2023-11-04T05:36:59Z)
• Guidance Through Surrogate: Towards a Generic Diagnostic Attack [101.36906370355435]
  我々は、攻撃最適化中に局所最小限を避けるための誘導機構を開発し、G-PGAと呼ばれる新たな攻撃に繋がる。 修正された攻撃では、ランダムに再起動したり、多数の攻撃を繰り返したり、最適なステップサイズを検索したりする必要がありません。 効果的な攻撃以上に、G-PGAは敵防御における勾配マスキングによる解離性堅牢性を明らかにするための診断ツールとして用いられる。
  論文  参考訳（メタデータ） (2022-12-30T18:45:23Z)
• On Trace of PGD-Like Adversarial Attacks [77.75152218980605]
  敵対的攻撃は、ディープラーニングアプリケーションに対する安全性とセキュリティ上の懸念を引き起こす。 モデルの勾配一貫性を反映した適応応答特性(ARC)特性を構築する。 私たちの方法は直感的で、軽量で、非侵襲的で、データ不要です。
  論文  参考訳（メタデータ） (2022-05-19T14:26:50Z)
• Adversarial Attacks and Defense for Non-Parametric Two-Sample Tests [73.32304304788838]
  本稿では,非パラメトリックTSTの障害モードを逆攻撃により系統的に明らかにする。 TST非依存的な攻撃を可能にするために,異なる種類のテスト基準を協調的に最小化するアンサンブル攻撃フレームワークを提案する。 そこで本研究では,TSTの強化のために,逆対を反復的に生成し,深層カーネルを訓練する最大最小最適化を提案する。
  論文  参考訳（メタデータ） (2022-02-07T11:18:04Z)
• Policy Smoothing for Provably Robust Reinforcement Learning [109.90239627115336]
  入力のノルム有界対向摂動に対する強化学習の証明可能な堅牢性について検討する。 我々は、スムーズなポリシーによって得られる全報酬が、入力の摂動のノルムバウンドな逆数の下で一定の閾値以下に収まらないことを保証した証明書を生成する。
  論文  参考訳（メタデータ） (2021-06-21T21:42:08Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。