Skip to main content
CenXiv.org
此网站处于试运行阶段,支持我们!
我们衷心感谢所有贡献者的支持。
贡献
赞助
cenxiv logo > cs > arXiv:2507.09133v1

帮助 | 高级搜索

计算机科学 > 密码学与安全

arXiv:2507.09133v1 (cs)
[提交于 2025年7月12日 ]

标题: CLIProv:一种对比日志到智能多模态方法用于威胁检测和来源分析

标题: CLIProv: A Contrastive Log-to-Intelligence Multimodal Approach for Threat Detection and Provenance Analysis

Authors:Jingwen Li, Ru Zhang, Jianyi Liu, Wanguo Zhao
摘要: 随着网络攻击复杂性的增加,威胁情报的主动性和前瞻性在威胁检测和来源分析中变得更为关键。 然而,将战术、技术与程序(TTP)情报中描述的高级攻击模式转化为可操作的安全策略仍然是一个重大挑战。 这一挑战源于高级威胁情报与低级来源日志之间的语义差距。 为了解决这个问题,本文介绍了CLIProv,一种用于检测主机系统中威胁行为的新方法。 CLIProv采用了一种多模态框架,利用对比学习将来源日志的语义与威胁情报对齐,从而有效将系统入侵活动与攻击模式相关联。 此外,CLIProv将威胁检测建模为一个语义搜索问题,通过搜索与日志序列语义最相似的威胁情报来识别攻击行为。 通过利用威胁情报中的攻击模式信息,CLIProv能够识别TTP,并生成完整且简洁的攻击场景。 在标准数据集上的实验评估表明,CLIProv能够有效识别系统来源日志中的攻击行为,为潜在技术提供了有价值的参考。 与最先进的方法相比,CLIProv实现了更高的精度和显著提升的检测效率。
摘要: With the increasing complexity of cyberattacks, the proactive and forward-looking nature of threat intelligence has become more crucial for threat detection and provenance analysis. However, translating high-level attack patterns described in Tactics, Techniques, and Procedures (TTP) intelligence into actionable security policies remains a significant challenge. This challenge arises from the semantic gap between high-level threat intelligence and low-level provenance log. To address this issue, this paper introduces CLIProv, a novel approach for detecting threat behaviors in a host system. CLIProv employs a multimodal framework that leverages contrastive learning to align the semantics of provenance logs with threat intelligence, effectively correlating system intrusion activities with attack patterns. Furthermore, CLIProv formulates threat detection as a semantic search problem, identifying attack behaviors by searching for threat intelligence that is most semantically similar to the log sequence. By leveraging attack pattern information in threat intelligence, CLIProv identifies TTPs and generates complete and concise attack scenarios. Experimental evaluations on standard datasets show that CLIProv effectively identifies attack behaviors in system provenance logs, offering valuable references for potential techniques. Compared to state-of-the-art methods, CLIProv achieves higher precision and significantly improved detection efficiency.
主题: 密码学与安全 (cs.CR)
引用方式: arXiv:2507.09133 [cs.CR]
  (或者 arXiv:2507.09133v1 [cs.CR] 对于此版本)
  https://doi.org/10.48550/arXiv.2507.09133
通过 DataCite 发表的 arXiv DOI

提交历史

来自: Jingwen Li [查看电子邮件]
[v1] 星期六, 2025 年 7 月 12 日 04:20:00 UTC (4,891 KB)
全文链接:

获取论文:

    查看标题为《》的 PDF
  • 查看中文 PDF
  • 查看 PDF
  • HTML(实验性)
  • TeX 源代码
  • 其他格式
查看许可
当前浏览上下文:
cs.CR
< 上一篇   |   下一篇 >
新的 | 最近的 | 2025-07
切换浏览方式为:
cs

参考文献与引用

  • NASA ADS
  • 谷歌学术搜索
  • 语义学者
a 导出 BibTeX 引用 加载中...

BibTeX 格式的引用

×
数据由提供:

收藏

BibSonomy logo Reddit logo

文献和引用工具

文献资源探索 (什么是资源探索?)
连接的论文 (什么是连接的论文?)
Litmaps (什么是 Litmaps?)
scite 智能引用 (什么是智能引用?)

与本文相关的代码,数据和媒体

alphaXiv (什么是 alphaXiv?)
CatalyzeX 代码查找器 (什么是 CatalyzeX?)
DagsHub (什么是 DagsHub?)
Gotit.pub (什么是 GotitPub?)
Hugging Face (什么是 Huggingface?)
带有代码的论文 (什么是带有代码的论文?)
ScienceCast (什么是 ScienceCast?)

演示

复制 (什么是复制?)
Hugging Face Spaces (什么是 Spaces?)
TXYZ.AI (什么是 TXYZ.AI?)

推荐器和搜索工具

影响之花 (什么是影响之花?)
核心推荐器 (什么是核心?)
IArxiv 推荐器 (什么是 IArxiv?)
  • 作者
  • 地点
  • 机构
  • 主题

arXivLabs:与社区合作伙伴的实验项目

arXivLabs 是一个框架,允许合作伙伴直接在我们的网站上开发和分享新的 arXiv 特性。

与 arXivLabs 合作的个人和组织都接受了我们的价值观,即开放、社区、卓越和用户数据隐私。arXiv 承诺这些价值观,并且只与遵守这些价值观的合作伙伴合作。

有一个为 arXiv 社区增加价值的项目想法吗? 了解更多关于 arXivLabs 的信息.

这篇论文的哪些作者是支持者? | 禁用 MathJax (什么是 MathJax?)
  • 关于
  • 帮助
  • contact arXivClick here to contact arXiv 联系
  • 订阅 arXiv 邮件列表点击这里订阅 订阅
  • 版权
  • 隐私政策
  • 网络无障碍帮助
  • arXiv 运营状态
    通过...获取状态通知 email 或者 slack

京ICP备2025123034号