論文の概要: Multi-Source Cybersecurity Logs: An ATT&CK-Labeled Dataset and SLM Evaluation
- arxiv url: http://arxiv.org/abs/2606.18190v1
- Date: Tue, 16 Jun 2026 17:21:58 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-17 17:15:32.572783
- Title: Multi-Source Cybersecurity Logs: An ATT&CK-Labeled Dataset and SLM Evaluation
- Title(参考訳): マルチソースサイバーセキュリティログ:ATT&CKラベルデータセットとSLM評価
- Authors: Abir Ashab Niloy, Ahmed Ryan, Imamul Hossain Rafi, Md Erfan, Md Rayhanur Rahman,
- Abstract要約: ATLASは3つのソースすべてを含むが、ラベルのイベントは悪意や良心のみを含む。
3つのソースすべてとエントリー毎のATT&CKテクニックラベルを組み合わせた公開データセットは存在しない。
我々は870のセッション(70の攻撃、800の良心)と約230万のイベントからなるマルチソースログデータセットを構築します。
- 参考スコア(独自算出の注目度): 0.19029675742486804
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Multi-stage cyberattacks span system, network, and browser logs. Detecting them requires correlating events across all three sources. Machine learning methods can learn these cross-source patterns, but they need labeled multi-source data. Existing public datasets fall short. Network-only datasets such as CICIDS and UNSW-NB15 miss host and browser activity. Host-focused datasets such as LMDG and CICAPT-IIoT lack browser telemetry. ATLAS includes all three sources but labels events only as malicious or benign, without MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) technique granularity. No public dataset combines all three sources with per-entry ATT&CK technique labels. We close the gap by building a multi-source log dataset of 870 sessions (70 attack, 800 benign) and approximately 2.3 million events. We captured system, network, and browser activity simultaneously on Windows endpoints. We labeled malicious events with ATT&CK technique IDs, covering 12 tactics and 53 techniques. We generated all attack data using real tools, including Remote Access Trojan (RAT), Command and Control (C2) tunnels, and cloud exfiltration. To demonstrate learnability, we fine-tuned three Small Language Models (SLMs) (Qwen2.5-1.5B, Llama-3.2-3B, Phi-4-Mini) using Low-Rank Adaptation (LoRA). We compared each against its base variant across ten metrics on two tasks: chunk classification and ATT&CK technique identification. Fine-tuning improved every model on every metric. Chunk classification accuracy rose from approximately 8% in the base variants to between 90% and 97% after fine-tuning. Technique identification remained challenging, with the best exact-match accuracy at 42%, although high partial-match scores show the models captured most of the underlying reasoning.
- Abstract(参考訳): マルチステージサイバー攻撃はシステム、ネットワーク、ブラウザログにまたがる。
検出には3つのソースすべてに関連性のあるイベントが必要である。
機械学習手法はこれらのクロスソースパターンを学習することができるが、ラベル付きマルチソースデータが必要である。
既存の公開データセットは不足している。
CICIDSやUNSW-NB15といったネットワークのみのデータセットは、ホストとブラウザのアクティビティをミスする。
LMDGやCICAPT-IIoTといったホスト中心のデータセットには、ブラウザテレメトリがない。
ATLASには3つのソースがあるが、ラベルのイベントは悪意または良心のみであり、MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) のテクニックの粒度がない。
3つのソースすべてとエントリー毎のATT&CKテクニックラベルを組み合わせた公開データセットは存在しない。
我々は870のセッション(70の攻撃、800の良心)と約230万のイベントからなるマルチソースログデータセットを構築することでギャップを埋める。
Windowsエンドポイント上で、システム、ネットワーク、ブラウザのアクティビティを同時にキャプチャしました。
悪質な事象をATT&CKテクニックIDでラベル付けし、12の戦術と53のテクニックをカバーした。
我々は、Remote Access Trojan(RAT)、Command and Control(C2)トンネル、雲の流出など、実際のツールを使用して、すべての攻撃データを生成した。
学習性を示すために,Low-Rank Adaptation (LoRA) を用いて3つの小言語モデル (Qwen2.5-1.5B, Llama-3.2-3B, Phi-4-Mini) を微調整した。
チャンク分類とATT&CK技術同定の2つのタスクにおいて,10項目の基準値に対して比較を行った。
ファインチューニングは、各メトリックのすべてのモデルを改善しました。
チャンク分類精度は約8%から微調整後の90%から97%に向上した。
技術的同定は依然として困難であり、精度は42%と最も高いが、高い部分マッチングスコアは、モデルが基礎となる推論の大部分を捉えたことを示している。
関連論文リスト
- EEVEE: Towards Test-time Prompt Learning in the Real World for Self-Improving Agents [64.96332056338923]
EEVEEは、LLMエージェントのための最初のマルチデータセットテスト時プロンプト学習フレームワークである。
実世界のタスクストリーム下でテスト時のプロンプト学習を可能にする。
EEVEEはQwen3-4B-InstructとDeepSeek-V3.2で平均マルチベンチマークスコアを10.38点、24.32点改善している。
論文 参考訳(メタデータ) (2026-06-09T17:57:16Z) - Beyond Single Reports: Evaluating Automated ATT&CK Technique Extraction in Multi-Report Campaign Settings [1.444785897533315]
本研究では,マルチレポートキャンペーン設定における最先端ATT&CK技術抽出手法の性能を再現し,比較する。
私たちは、SolarWinds、XZ Utils、Log4jの3つの主要な攻撃キャンペーンにおける90のCTIレポートを分析します。
以上の結果より,複数のCTIレポートを集計することで,F1のスコアが26%向上することが示唆された。
論文 参考訳(メタデータ) (2026-04-08T18:09:25Z) - Constructing Multi-label Hierarchical Classification Models for MITRE ATT&CK Text Tagging [0.0]
我々は、MITRE ATT&CKテキストタグタスクの「タスクスペース」の特徴付けを行う。
テキストタギングタスクのための多ラベル階層分類モデルを構築した。
私たちのモデルは、古典的な機械学習手法にのみ依存しながら、最先端のパフォーマンスを満たしたり、超えたりします。
論文 参考訳(メタデータ) (2026-01-21T00:41:34Z) - Temporal Attack Pattern Detection in Multi-Agent AI Workflows: An Open Framework for Training Trace-Based Security Models [0.0]
マルチエージェントAIにおける時間的攻撃パターンを検出するために,言語モデルを微調整するためのオープンドキュメンテーション手法を提案する。
18の公開サイバーセキュリティソースと35,026の合成OpenTelemetryトレースから80,851のデータセットをキュレートする。
カスタムベンチマークの精度は42.86%から74.29%に向上し、統計的に有意な31.4ポイントの上昇となった。
論文 参考訳(メタデータ) (2025-12-29T09:41:22Z) - Hard Regularization to Prevent Deep Online Clustering Collapse without
Data Augmentation [65.268245109828]
オンラインディープクラスタリング(オンラインディープクラスタリング)とは、機能抽出ネットワークとクラスタリングモデルを組み合わせて、クラスタラベルを処理された各新しいデータポイントまたはバッチに割り当てることである。
オフラインメソッドよりも高速で汎用性が高いが、オンラインクラスタリングは、エンコーダがすべての入力を同じポイントにマッピングし、すべてを単一のクラスタに配置する、崩壊したソリューションに容易に到達することができる。
本稿では,データ拡張を必要としない手法を提案する。
論文 参考訳(メタデータ) (2023-03-29T08:23:26Z) - Classification Auto-Encoder based Detector against Diverse Data
Poisoning Attacks [7.150136251781658]
毒殺攻撃は、敵対的な機械学習の脅威のカテゴリである。
本稿では,有毒データに対する分類オートエンコーダを用いた検出器であるCAEを提案する。
CAEの強化版(CAE+と呼ばれる)では、防御モデルをトレーニングするためにクリーンなデータセットを使わなくてもよいことを示す。
論文 参考訳(メタデータ) (2021-08-09T17:46:52Z) - MSMatch: Semi-Supervised Multispectral Scene Classification with Few
Labels [0.0]
我々は、EuroSATベンチマークデータセット上のシーン分類に関する監督された方法と競合する最初の半教師付き学習アプローチであるMSMatchを提示する。
クラスごとのラベル付きサンプルはわずか5つで、それぞれEuroSAT RGBとマルチスペクトルデータセットの94.53%と95.86%の精度に達します。
その結果、MSMatchはラベル付きデータの要件を大幅に削減することができます。
論文 参考訳(メタデータ) (2021-03-18T16:47:21Z) - Device-Robust Acoustic Scene Classification Based on Two-Stage
Categorization and Data Augmentation [63.98724740606457]
我々は,GT,USTC,Tencent,UKEの4つのグループからなる共同で,DCASE 2020 Challengeの第1タスク - 音響シーン分類(ASC)に取り組む。
タスク1aは、複数の(実とシミュレートされた)デバイスで記録されたオーディオ信号のASCを10種類の微細なクラスにフォーカスする。
Task 1bは、低複雑さのソリューションを使用して、データを3つの上位クラスに分類することに関心がある。
論文 参考訳(メタデータ) (2020-07-16T15:07:14Z) - Omni-sourced Webly-supervised Learning for Video Recognition [74.3637061856504]
ビデオ認識モデルのトレーニングにWebデータを活用するフレームワークであるOmniSourceを紹介した。
実験によると、複数のソースやフォーマットからのデータを利用することで、OmniSourceはトレーニングにおいてよりデータ効率が高い。
論文 参考訳(メタデータ) (2020-03-29T14:47:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。