論文の概要: GenTI: Benchmarking LLMs for Autonomous IDPS Rule Generation for Unseen Attacks
- arxiv url: http://arxiv.org/abs/2606.05844v1
- Date: Thu, 04 Jun 2026 08:19:52 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-05 22:39:44.641814
- Title: GenTI: Benchmarking LLMs for Autonomous IDPS Rule Generation for Unseen Attacks
- Title(参考訳): GenTI: 自動IDPSルール生成のためのLLMのベンチマーク
- Authors: Hassan Jalil Hadi, Rehana Yasmin, Ali Shoker,
- Abstract要約: Generative Thread Intelligence (GenTI) は、見えない攻撃をターゲットとしたIDPSルールの自動生成のためのベンチマークである。
GTIは、Snort、Suricata、Emerging Threats、50k YARAから150k以上の検出および防止ルールを集約し、それぞれにプロトコル動作、ペイロードシグネチャ、コンテキスト関係、CTI(Cyber Threat Intelligence)へのマッピングを注釈付けしている。
我々のGenTIインスタンス化は、複合ルール品質スコア89.4%、CTIカバレッジ94.8%、未確認攻撃検出45%から87.4%の改善、偽陽性率8.5%の削減を実現している。
- 参考スコア(独自算出の注目度): 1.7816843507516946
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Rule-based Intrusion Detection and Prevention Systems (IDPS) offer precise attack detection as well as mitigation, however their manually crafted, signature-driven rules limit adaptability to emerging and zero-day threats. Additionally, existing public datasets (e.g., CICIDS2017, UNSW-NB15) focus on traffic classification and provide little structured information to support automatic rule synthesis or prevention logic. To address this gap, we propose Generative Thread Intelligence (GenTI) \footnote{GenTI refers to the proposed framework, and GTI refers to the dataset.} an LLM-driven benchmark for automatic generation of IDPS rules targeting unseen attacks. The dataset (GTI) aggregates over 150k detection and prevention rules from Snort, Suricata, Emerging Threats, as well as 50k YARA, each annotated with protocol behavior, payload signatures, contextual relationships, mappings to Cyber Threat Intelligence (CTI), along with actionable response types (alert, drop, reject). Moreover, on top of this corpus we design an LLM-based pipeline that transforms analyst prompts and representative payloads into deployable rules via structured prompt engineering, Chain-of-Thought (CoT) reasoning, as well as a Chain-of-Verification (CoVe) loop for syntactic, semantic, and security validation. The generated rules are executed in real time on (Snort/Suricata) and evaluated by syntax accuracy, semantic similarity, CTI coverage, security effectiveness as well as unseen attacks detection. Furthermore, our GenTI instantiation achieves a composite rule-quality score of 89.4\%, with 94.8\% CTI coverage, improving unseen attacks detection from 45\% to 87.4\% and reducing the false-positive rate from 8.5\% to 2.3\%. Overall, GenTI establishes the first large-scale benchmark that tightly couples rule-level CTI with LLM-based automation, enabling adaptive, self-evolving IDPS.
- Abstract(参考訳): ルールベースの侵入検知防止システム(IDPS)は、正確な攻撃検出と緩和を提供するが、手作業による署名駆動型ルールは、新規およびゼロデイ脅威への適応性を制限している。
さらに、既存のパブリックデータセット(CICIDS2017、UNSW-NB15など)では、トラフィックの分類に重点を置いており、自動ルール合成や防止ロジックをサポートするための構造化情報はほとんど提供されていない。
このギャップに対処するため、我々はGenerative Thread Intelligence (GenTI) \footnote{GenTIは提案したフレームワークを参照し、GTIはデータセットを参照する。
LLM-driven benchmark for Automatic generation of IDPS rules targeting unseen attack。
データセット(GTI)は、Snort、Suricata、Emerging Threats、50k YARAから150k以上の検出および防止ルールを集約し、それぞれにプロトコルの振る舞い、ペイロードシグネチャ、コンテキスト関係、CTI(Cyber Threat Intelligence)へのマッピング、アクション可能な応答タイプ(アラート、ドロップ、リジェクション)をアノテートする。
さらに、このコーパスの上に、アナリストプロンプトと代表ペイロードを構造化プロンプトエンジニアリング、CoT(Chain-of-Thought)推論、および構文、セマンティック、セキュリティ検証のためのCoVe(Chain-of-Verification)ループを通じてデプロイ可能なルールに変換するLLMベースのパイプラインを設計する。
生成されたルールは(Snort/Suricata)リアルタイムで実行され、構文の正確さ、セマンティックな類似性、CTIカバレッジ、セキュリティの有効性、および目に見えない攻撃検出によって評価される。
さらに、我々のGenTIインスタンスは、89.4\%の複合ルール品質スコアを94.8\% CTIカバレッジで達成し、45\%から87.4\%まで見知らぬ攻撃検出を改善し、偽陽性率を8.5\%から2.3\%に下げる。
全体として、GenTIはルールレベルのCTIとLLMベースの自動化を密結合し、適応的で自己進化的なIDPSを可能にする最初の大規模ベンチマークを確立している。
関連論文リスト
- From Attack Simulation to SIEM Rule: Deterministic Detection-as-Code Synthesis with Probe-Level Traceability [51.56484100374058]
セキュリティチームは、自身のシステムに対する攻撃をシミュレートして、監視が真の侵入者を捕まえるかどうかをチェックする。
人間はそのギャップを手でブリッジし、それぞれの発見を読み、対応するシグマルールを書きます。
ロックされたコーパスからプローブが引き出されると,この変換が部分的に自動化されることを示す。
論文 参考訳(メタデータ) (2026-06-03T14:26:25Z) - SCI-Defense: Defending Manipulation Attacks from Generative Engine Optimization [30.491360390710422]
SCI-Defenseは, パープレキシティ検出, セマンティック・インテリティ・スコアリング, カンジネート間検出を組み合わせた3成分ディフェンス・フレームワークである。
600のMS MARCOウェブパスでは、String攻撃は完全リコールでブロックされ、Review攻撃は、製品記述でSISがターゲットとする説得指向のシグナルが欠けているため、ほぼゼロリコールとなる。
論文 参考訳(メタデータ) (2026-05-21T03:28:06Z) - TwinGate: Stateful Defense against Decompositional Jailbreaks in Untraceable Traffic via Asymmetric Contrastive Learning [60.68349524623048]
分解されたジェイルブレイクは、大きな言語モデルにとって重大な脅威となる。
我々はステートフルなデュアルエンコーダ防御フレームワークであるTwinGateを紹介する。
我々は、8600の異なる悪意のある意図にまたがる360万以上の命令の包括的なデータセットを構築した。
論文 参考訳(メタデータ) (2026-04-30T13:44:01Z) - T-MAP: Red-Teaming LLM Agents with Trajectory-aware Evolutionary Search [49.99459363244884]
提案手法は, 対向的プロンプトの発見を導くために, 実行トラジェクトリを利用するトラジェクトリ対応の進化探索手法であるT-MAPを提案する。
本手法は,安全ガードレールをバイパスするだけでなく,実際のツールインタラクションによる有害な目標を確実に実現するための攻撃の自動生成を可能にする。
論文 参考訳(メタデータ) (2026-03-21T12:33:34Z) - GRIDAI: Generating and Repairing Intrusion Detection Rules via Collaboration among Multiple LLM-based Agents [16.185318922819466]
GRIDAIは侵入検知ルールの自動生成と修復のための新しいエンドツーエンドフレームワークである。
GRIDAIは新しい攻撃サンプルと既存のルールの関係を特定し、新しい攻撃と変種を扱うためのルールを効率的に生成し、修復する。
論文 参考訳(メタデータ) (2025-10-15T08:05:38Z) - FALCON: Autonomous Cyber Threat Intelligence Mining with LLMs for IDS Rule Generation [4.432089452255636]
署名ベースの侵入検知システム(IDS)は、ネットワークやホストのアクティビティを事前定義されたルールにマッチさせることで、悪意のあるアクティビティを検出する。
大規模言語モデル(LLM)を利用したエージェントシステムの最近の進歩は、内部評価を伴う自律型IDSルール生成の可能性を提供する。
我々は、CTIデータからデプロイ可能なIDSルールをリアルタイムで生成する自律エージェントフレームワークであるFALCONを導入し、それを組込み多相バリデータを用いて評価する。
論文 参考訳(メタデータ) (2025-08-26T05:08:53Z) - CyberRAG: An Agentic RAG cyber attack classification and reporting tool [0.3914676152740142]
CyberRAGはモジュール型のエージェントベースのRAGフレームワークで、サイバー攻撃のリアルタイム分類、説明、構造化レポートを提供する。
従来のRAGとは異なり、CyberRAGは動的制御フローと適応推論を可能にするエージェント設計を採用している。
論文 参考訳(メタデータ) (2025-07-03T08:32:19Z) - AegisLLM: Scaling Agentic Systems for Self-Reflective Defense in LLM Security [74.22452069013289]
AegisLLMは、敵の攻撃や情報漏洩に対する協調的なマルチエージェント防御である。
テスト時のエージェント推論システムのスケーリングは,モデルの有用性を損なうことなく,ロバスト性を大幅に向上させることを示す。
アンラーニングやジェイルブレイクを含む主要な脅威シナリオに対する総合的な評価は、AegisLLMの有効性を示している。
論文 参考訳(メタデータ) (2025-04-29T17:36:05Z) - Towards Copyright Protection for Knowledge Bases of Retrieval-augmented Language Models via Reasoning [58.57194301645823]
大規模言語モデル(LLM)は、現実のパーソナライズされたアプリケーションにますます統合されている。
RAGで使用される知識基盤の貴重かつしばしばプロプライエタリな性質は、敵による不正使用のリスクをもたらす。
これらの知識基盤を保護するための透かし技術として一般化できる既存の方法は、一般的に毒やバックドア攻撃を含む。
我々は、無害な」知識基盤の著作権保護の名称を提案する。
論文 参考訳(メタデータ) (2025-02-10T09:15:56Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。