論文の概要: Identifying Adversary Tactics and Techniques in Malware Binaries with an LLM Agent
- arxiv url: http://arxiv.org/abs/2602.06325v1
- Date: Fri, 06 Feb 2026 02:42:48 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-02-09 22:18:26.195305
- Title: Identifying Adversary Tactics and Techniques in Malware Binaries with an LLM Agent
- Title(参考訳): LLMエージェントによるマルウェアバイナリの逆行的戦術とテクニックの同定
- Authors: Zhou Xuan, Xiangzhe Xu, Mingwei Zheng, Louis Zheng-Hua Tan, Jinyao Guo, Tiantai Zhang, Le Yu, Chengpeng Wang, Xiangyu Zhang,
- Abstract要約: 現実世界のマルウェアバイナリは通常、シンボルから取り除かれ、多数の関数を含み、悪意のある振る舞いを複数のコード領域に分散する。
最近の大規模言語モデル(LLM)は、強力なコード理解機能を提供するが、このタスクに直接適用することは、課題に直面している。
本報告では, TTP を識別する最初の LLM エージェントであるTTPDetect について述べる。
- 参考スコア(独自算出の注目度): 14.390174111177158
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Understanding TTPs (Tactics, Techniques, and Procedures) in malware binaries is essential for security analysis and threat intelligence, yet remains challenging in practice. Real-world malware binaries are typically stripped of symbols, contain large numbers of functions, and distribute malicious behavior across multiple code regions, making TTP attribution difficult. Recent large language models (LLMs) offer strong code understanding capabilities, but applying them directly to this task faces challenges in identifying analysis entry points, reasoning under partial observability, and misalignment with TTP-specific decision logic. We present TTPDetect, the first LLM agent for recognizing TTPs in stripped malware binaries. TTPDetect combines dense retrieval with LLM-based neural retrieval to narrow the space of analysis entry points. TTPDetect further employs a function-level analyzing agent consisting of a Context Explorer that performs on-demand, incremental context retrieval and a TTP-Specific Reasoning Guideline that achieves inference-time alignment. We build a new dataset that labels decompiled functions with TTPs across diverse malware families and platforms. TTPDetect achieves 93.25% precision and 93.81% recall on function-level TTP recognition, outperforming baselines by 10.38% and 18.78%, respectively. When evaluated on real world malware samples, TTPDetect recognizes TTPs with a precision of 87.37%. For malware with expert-written reports, TTPDetect recovers 85.7% of the documented TTPs and further discovers, on average, 10.5 previously unreported TTPs per malware.
- Abstract(参考訳): TTP(戦術、技術、手続き)をマルウェアのバイナリで理解することは、セキュリティ分析や脅威知能に不可欠であるが、実際は難しい。
現実世界のマルウェアバイナリは通常、シンボルを削除し、多数の関数を格納し、悪意のある振る舞いを複数のコード領域に分散し、TTPの帰属を難しくする。
最近の大規模言語モデル(LLM)は、強力なコード理解機能を提供するが、このタスクに直接適用することは、分析エントリポイントの特定、部分的な可観測性に基づく推論、TTP固有の決定ロジックとのミスアライメントといった課題に直面している。
本報告では, TTP を識別する最初の LLM エージェントであるTTPDetect について述べる。
TTPDetectは、高密度検索とLLMベースのニューラル検索を組み合わせることで、分析エントリポイントの空間を狭める。
TTPDetectはさらに、オンデマンドでインクリメンタルなコンテキスト検索を行うContext Explorerと、推論時アライメントを実現するTP-Specific Reasoning Guidelineで構成される関数レベルの分析エージェントを使用している。
我々は、さまざまなマルウェアファミリーやプラットフォームにまたがるTPで非コンパイル関数をラベル付けする新しいデータセットを構築します。
TTPDetectは、関数レベルのTPP認識において93.25%の精度と93.81%のリコールを達成し、それぞれ10.38%と18.78%のベースラインを上回っている。
TTPDetectはTTPを87.37%の精度で認識している。
専門家による報告のあるマルウェアでは、TTPDetectは文書化されたTPの85.7%を回復し、平均10.5件のTTPが報告されていない。
関連論文リスト
- Multi-Agent Taint Specification Extraction for Vulnerability Detection [49.27772068704498]
コンテナ分析を使用した静的アプリケーションセキュリティテスト(SAST)ツールは、高品質な脆弱性検出結果を提供するものとして広く見なされている。
本稿では,Large Language Models (LLM) のセマンティック理解と従来の静的プログラム解析を戦略的に組み合わせたマルチエージェントシステムであるSemTaintを提案する。
私たちは、SemTaintを最先端のSASTツールであるCodeQLと統合し、これまでCodeQLで検出できなかった162の脆弱性の106を検出して、その効果を実証しています。
論文 参考訳(メタデータ) (2026-01-15T21:31:51Z) - TTP: Test-Time Padding for Adversarial Detection and Robust Adaptation on Vision-Language Models [32.85951917559796]
本稿では, 対向検出を行う軽量な防御フレームワークであるTest-Time Padding (TTP) を提案する。
TTPは最先端のテスト時間防衛を一貫して上回り、クリーンな精度を損なうことなく敵の堅牢性を大幅に向上させる。
論文 参考訳(メタデータ) (2025-12-18T13:34:14Z) - On Technique Identification and Threat-Actor Attribution using LLMs and Embedding Models [37.81839740673437]
本研究は,法医学的資料から抽出した行動指標に基づいて,サイバー攻撃属性の大規模言語モデル(LLM)を評価する。
我々のフレームワークは、ベクトル埋め込み検索を用いてテキストからTPを識別し、学習する機械学習モデルに新しい攻撃を属性付けるプロファイルを構築する。
論文 参考訳(メタデータ) (2025-05-15T04:14:29Z) - R-TPT: Improving Adversarial Robustness of Vision-Language Models through Test-Time Prompt Tuning [69.72249695674665]
視覚言語モデル(VLM)のためのロバストテスト時プロンプトチューニング(R-TPT)を提案する。
R-TPTは、推論段階における敵攻撃の影響を緩和する。
プラグアンドプレイの信頼性に基づく重み付きアンサンブル戦略を導入し,防御強化を図る。
論文 参考訳(メタデータ) (2025-04-15T13:49:31Z) - Tactics, Techniques, and Procedures (TTPs) in Interpreted Malware: A Zero-Shot Generation with Large Language Models [18.024835965133104]
OSSマルウェアはソフトウェアサプライチェーン攻撃において重要な役割を果たす。
我々は,解釈されたマルウェアパッケージのTTPを抽出するゼロショットアプローチであるGENTTPを提案する。
GENTTPは高い精度と効率でTPを生成することができることを示す。
論文 参考訳(メタデータ) (2024-07-11T14:18:41Z) - Task-Agnostic Detector for Insertion-Based Backdoor Attacks [53.77294614671166]
本稿では,バックドア検出の先駆的手法であるTABDet(Task-Agnostic Backdoor Detector)を紹介する。
TABDetは、最終層ロジットと効率的なプーリング技術を組み合わせて、3つの著名なNLPタスクをまたいだ統一ロジット表現を可能にする。
TABDetは多様なタスク特化モデルから共同で学習し、従来のタスク特化手法よりも優れた検出効率を示す。
論文 参考訳(メタデータ) (2024-03-25T20:12:02Z) - GPTScan: Detecting Logic Vulnerabilities in Smart Contracts by Combining GPT with Program Analysis [26.081673382969615]
本稿では,GPTと静的解析を組み合わせたGPTScanを提案する。
各ロジックの脆弱性タイプをシナリオとプロパティに分割することで、GPTScanは候補の脆弱性とGPTをマッチさせる。
人間の監査官が見逃した9つの新たな脆弱性を含む70%以上のリコールで、地上の真実的ロジックの脆弱性を効果的に検出する。
論文 参考訳(メタデータ) (2023-08-07T05:48:53Z) - Position-guided Text Prompt for Vision-Language Pre-training [121.15494549650548]
本研究では,ビジョンランゲージ・プレトレーニングで訓練したクロスモーダルモデルの視覚的グラウンド化能力を高めるために,位置誘導型テキストプロンプト(PTP)パラダイムを提案する。
PTPは、与えられたブロック内のオブジェクトを予測したり、与えられたオブジェクトのブロックを後退させたりすることで、PTPが与えられた視覚的グラウンドタスクを補充するブランク問題に再構成する。
PTPはオブジェクト検出をベースとした手法で同等の結果を得るが、PTPがオブジェクト検出を破棄し、後続では不可能になるため、推論速度ははるかに速い。
論文 参考訳(メタデータ) (2022-12-19T18:55:43Z) - Fixed-Weight Difference Target Propagation [12.559727665706687]
トレーニング中のフィードバック重みを一定に保つFW-DTP(Fixed-Weight Different Target Propagation)を提案する。
FW-DTPは、4つの分類データセット上の差分ターゲット伝搬(DTP)であるベースラインよりも高いテスト性能を一貫して達成する。
また、FW-DTPを解析するために、DTPのフィードバック関数の正確な形を説明する新しい伝搬アーキテクチャを提案する。
論文 参考訳(メタデータ) (2022-12-19T13:34:36Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。