論文の概要: The Procedural Semantics Gap in Structured CTI: A Measurement-Driven STIX Analysis for APT Emulation

• arxiv url: http://arxiv.org/abs/2512.12078v1
• Date: Fri, 12 Dec 2025 22:53:52 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-12-16 17:54:56.101364
• Title: The Procedural Semantics Gap in Structured CTI: A Measurement-Driven STIX Analysis for APT Emulation
• Title（参考訳）: 構造化CTIにおける手続き的セマンティックギャップ:APTエミュレーションのための測定駆動STIX解析
• Authors: Ágney Lopes Roth Ferraz, Sidnei Barbieri, Murray Evangelista de Souza, Lourenço Alves Pereira Júnior,
• Abstract要約: サイバー脅威インテリジェンス(CTI)はSTIXで符号化され、MITRE ATT&CKフレームワークに従って構造化されている。 多段階の敵エミュレーションを支援するのに十分な振る舞いの詳細を構造化されたアーティファクトに含めているかどうかを問う。
• 参考スコア（独自算出の注目度）: 0.5399800035598185
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Cyber threat intelligence (CTI) encoded in STIX and structured according to the MITRE ATT&CK framework has become a global reference for describing adversary behavior. However, ATT&CK was designed as a descriptive knowledge base rather than a procedural model. We therefore ask whether its structured artifacts contain sufficient behavioral detail to support multi-stage adversary emulation. Through systematic measurements of the ATT&CK Enterprise bundle, we show that campaign objects encode just fragmented slices of behavior. Only 35.6% of techniques appear in at least one campaign, and neither clustering nor sequence analysis reveals any reusable behavioral structure under technique overlap or LCS-based analyses. Intrusion sets cover a broader portion of the technique space, yet omit the procedural semantics required to transform behavioral knowledge into executable chains, including ordering, preconditions, and environmental assumptions. These findings reveal a procedural semantic gap in current CTI standards: they describe what adversaries do, but not exactly how that behavior was operationalized. To assess how far this gap can be bridged in practice, we introduce a three-stage methodology that translates behavioral information from structured CTI into executable steps and makes the necessary environmental assumptions explicit. We demonstrate its viability by instantiating the resulting steps as operations in the MITRE Caldera framework. Case studies of ShadowRay and Soft Cell show that structured CTI can enable the emulation of multi-stage APT campaigns, but only when analyst-supplied parameters and assumptions are explicitly recorded. This, in turn, exposes the precise points at which current standards fail to support automation. Our results clarify the boundary between descriptive and machine-actionable CTI for adversary emulation.
• Abstract（参考訳）: サイバー脅威インテリジェンス(CTI)はSTIXで符号化され、MITRE ATT&CKフレームワークに従って構造化されている。 しかし、ATT&CKは手続きモデルではなく記述的な知識ベースとして設計された。 そこで我々は,その構造されたアーティファクトが,多段階の敵エミュレーションをサポートするのに十分な挙動の詳細を含むかどうかを問う。 ATT&CK Enterpriseバンドルのシステマティックな測定により、キャンペーンオブジェクトが単に断片化された動作のスライスをエンコードしていることが分かる。 少なくとも1つのキャンペーンでテクニックの35.6%しか現れておらず、クラスタリングもシーケンス解析も、テクニックオーバーラップやLCSに基づく分析による再利用可能な振る舞い構造は示さない。 侵入セットはテクニック空間の広い部分をカバーするが、行動知識を順序付け、前提条件、環境仮定を含む実行可能な連鎖に変換するのに必要な手続き的意味論を省略する。 これらの知見は、現在のCTI標準における手続き的意味的ギャップを明らかにしており、敵が何をするかを記述しているが、その動作がどのように運用されたかは正確には明らかになっていない。 このギャップを実際にどの程度橋渡しできるかを評価するために、構造化されたCTIからの行動情報を実行可能なステップに変換し、必要な環境仮定を明確にする3段階の方法論を導入する。 我々は、MITRE Calderaフレームワークの操作として、その結果のステップをインスタンス化することで、その生存性を実証する。 シャドウレイとソフトセルのケーススタディでは、構造化されたCTIは多段階のAPTキャンペーンのエミュレーションを可能にするが、アナリストが供給するパラメータと仮定が明示的に記録されている場合に限られる。 これにより、現在の標準が自動化をサポートできない正確なポイントが明らかになる。 敵エミュレーションにおける記述型CTIと機械動作型CTIの境界について検討した。

関連論文リスト

• CTIArena: Benchmarking LLM Knowledge and Reasoning Across Heterogeneous Cyber Threat Intelligence [48.63397742510097]
  サイバー脅威インテリジェンス(CTI)は現代のサイバーセキュリティの中心であり、進化する脅威を検出し緩和するための重要な洞察を提供する。 大規模言語モデル(LLM)の自然言語理解と推論能力により、CTIに適用することへの関心が高まっている。 異種マルチソースCTI上でLLM性能を評価するための最初のベンチマークであるCTIArenaを提案する。
  論文  参考訳（メタデータ） (2025-10-13T22:10:17Z)
• Rethinking Testing for LLM Applications: Characteristics, Challenges, and a Lightweight Interaction Protocol [83.83217247686402]
  大言語モデル(LLM)は、単純なテキストジェネレータから、検索強化、ツール呼び出し、マルチターンインタラクションを統合する複雑なソフトウェアシステムへと進化してきた。 その固有の非決定主義、ダイナミズム、文脈依存は品質保証に根本的な課題をもたらす。 本稿では,LLMアプリケーションを3層アーキテクチャに分解する: textbftextitSystem Shell Layer, textbftextitPrompt Orchestration Layer, textbftextitLLM Inference Core。
  論文  参考訳（メタデータ） (2025-08-28T13:00:28Z)
• Servant, Stalker, Predator: How An Honest, Helpful, And Harmless (3H) Agent Unlocks Adversarial Skills [3.0620527758972496]
  本稿では,モデルコンテキストプロトコルに基づくエージェントシステムにおいて,新たな脆弱性クラスを特定し,解析する。 このアタックチェーンは、有害な緊急行動を生み出すために、個々に認可された個々のタスクをどのように編成するかを説明し、実証する。
  論文  参考訳（メタデータ） (2025-08-27T01:11:59Z)
• AttackSeqBench: Benchmarking Large Language Models in Analyzing Attack Sequences within Cyber Threat Intelligence [17.234214109636113]
  サイバー脅威インテリジェンス(CTI)は、敵の行動と行動可能な知識への意図に関する証拠を合成し、サイバー脅威の観察を文書化している。 CTIレポートの非構造的かつ冗長な性質は、セキュリティ実践者が手動でこのようなシーケンスを抽出し分析する上で大きな課題となる。 大規模言語モデル(LLM)は、エンティティ抽出や知識グラフ構築などのサイバーセキュリティタスクにおいて有望であるが、それらの理解と行動シーケンスに対する推論能力はいまだ探索されていない。
  論文  参考訳（メタデータ） (2025-03-05T04:25:21Z)
• Weakly Supervised Co-training with Swapping Assignments for Semantic Segmentation [21.345548821276097]
  クラスアクティベーションマップ(CAM)は通常、擬似ラベルを生成するために弱教師付きセマンティックセマンティックセグメンテーション(WSSS)で使用される。 我々は、ガイド付きCAMを組み込んだエンドツーエンドWSSSモデルを提案し、CAMをオンラインで同時最適化しながらセグメンテーションモデルを訓練する。 CoSAは、追加の監督を持つものを含む、既存のマルチステージメソッドをすべて上回る、最初のシングルステージアプローチである。
  論文  参考訳（メタデータ） (2024-02-27T21:08:23Z)
• Unsupervised Continual Anomaly Detection with Contrastively-learned Prompt [80.43623986759691]
  UCADと呼ばれる新しい非教師付き連続異常検出フレームワークを提案する。 このフレームワークは、対照的に学習したプロンプトを通じて、UDAに継続的な学習能力を持たせる。 我々は総合的な実験を行い、教師なし連続異常検出とセグメンテーションのベンチマークを設定した。
  論文  参考訳（メタデータ） (2024-01-02T03:37:11Z)
• CSL: Class-Agnostic Structure-Constrained Learning for Segmentation Including the Unseen [62.72636247006293]
  クラス非依存構造制約学習(Class-Agnostic Structure-Constrained Learning)は、既存のメソッドと統合可能なプラグインフレームワークである。 OODオブジェクトセグメンテーションを強化するソフトアサインとマスク分割手法を提案する。 実証的な評価は、OODセグメンテーション、ZS3、DAセグメンテーションにまたがる既存のアルゴリズムの性能を向上させるCSLの進歩を示している。
  論文  参考訳（メタデータ） (2023-12-09T11:06:18Z)
• Temporal Action Localization with Enhanced Instant Discriminability [66.76095239972094]
  時間的行動検出(TAD)は、すべての行動境界とその対応するカテゴリを、トリミングされていないビデオで検出することを目的としている。 本稿では,既存の手法による動作境界の不正確な予測を解決するために,TriDetという一段階のフレームワークを提案する。 実験結果から,複数のTADデータセット上でのTriDetの堅牢性と最先端性能が示された。
  論文  参考訳（メタデータ） (2023-09-11T16:17:50Z)
• Model-Agnostic Few-Shot Open-Set Recognition [36.97433312193586]
  我々はFew-Shot Open-Set Recognition (FSOSR) 問題に取り組む。 既存のモデルにプラグイン可能なモデルに依存しない推論手法の開発に注力する。 オープン・セット・トランスダクティブ・インフォメーション・最大化手法OSTIMを提案する。
  論文  参考訳（メタデータ） (2022-06-18T16:27:59Z)
• FineDiving: A Fine-grained Dataset for Procedure-aware Action Quality Assessment [93.09267863425492]
  競争力のあるスポーツビデオにおける行動の高レベル意味論と内部時間構造の両方を理解することが、予測を正確かつ解釈可能なものにする鍵である、と我々は主張する。 本研究では,多様なダイビングイベントに対して,アクションプロシージャに関する詳細なアノテーションを付加した,ファインディビングと呼ばれる詳細なデータセットを構築した。
  論文  参考訳（メタデータ） (2022-04-07T17:59:32Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。