计算机科学 > 密码学与安全
[提交于 2025年2月4日
]
标题: 规则-ATT&CK映射器(RAM):使用LLMs将SIEM规则映射到TTPs
标题: Rule-ATT&CK Mapper (RAM): Mapping SIEM Rules to TTPs Using LLMs
摘要: 日益增加的网络攻击频率提高了对准确且高效的威胁检测系统的需求。 SIEM平台对于分析日志数据并通过基于规则的查询(也称为SIEM规则)检测对抗性活动非常重要。 威胁分析过程的效率在很大程度上依赖于将这些SIEM规则映射到MITRE ATT&CK框架中的相关攻击技术。 SIEM规则的不准确标注可能导致对攻击的误解,增加遗漏威胁的可能性。 现有的将SIEM规则与MITRE ATT&CK技术标签进行标注的解决方案存在显著的局限性:手动标注SIEM规则既耗时又容易出错,而基于机器学习的方法主要专注于标注非结构化自由文本源,而不是像SIEM规则这样的结构化数据。 结构化数据通常包含的信息有限,进一步使标注过程复杂化,使其成为一个具有挑战性的任务。 为了解决这些挑战,我们提出了Rule-ATT&CK Mapper(RAM),这是一种新颖的框架,利用大语言模型(LLMs)自动化将结构化的SIEM规则映射到MITRE ATT&CK技术。 RAM的多阶段流程受到提示链技术的启发,可以在不需要LLM预训练或微调的情况下提高映射准确性。 使用Splunk Security Content数据集,我们使用几种LLM,包括GPT-4-Turbo、Qwen、IBM Granite和Mistral来评估RAM的性能。 我们的评估突出了GPT-4-Turbo的优越性能,这源于其丰富的知识库,而消融研究强调了外部上下文知识在克服LLM隐式知识在特定领域任务中的局限性中的重要性。 这些发现表明RAM在自动化网络安全工作流方面的潜力,并为此领域的未来进步提供了有价值的见解。
收藏
文献和引用工具
与本文相关的代码,数据和媒体
alphaXiv (什么是 alphaXiv?)
CatalyzeX 代码查找器 (什么是 CatalyzeX?)
DagsHub (什么是 DagsHub?)
Gotit.pub (什么是 GotitPub?)
Hugging Face (什么是 Huggingface?)
带有代码的论文 (什么是带有代码的论文?)
ScienceCast (什么是 ScienceCast?)
演示
推荐器和搜索工具
arXivLabs:与社区合作伙伴的实验项目
arXivLabs 是一个框架,允许合作伙伴直接在我们的网站上开发和分享新的 arXiv 特性。
与 arXivLabs 合作的个人和组织都接受了我们的价值观,即开放、社区、卓越和用户数据隐私。arXiv 承诺这些价值观,并且只与遵守这些价值观的合作伙伴合作。
有一个为 arXiv 社区增加价值的项目想法吗? 了解更多关于 arXivLabs 的信息.