网络威胁技战术情报识别提取生成式技术研究

doi:10.3778/j.issn.1673-9418.2405088

摘要/Abstract

摘要： MITRE ATT&CK定义了网络攻击全过程14类战术625类技术，逐步成为网络威胁技战术情报（Tactics、Techniques and Procedures，TTPs）的事实标准，现有研究基于此分类将TTPs识别提取问题转化为句子级别的战、技术类别多分类任务，利用深度学习、基于提示工程的大语言模型进行问题研究。但限于数据集小样本类别占比大、多分类模型性能瓶颈问题，导致类别识别覆盖率与精度较低。提出结合ChatGPT数据增强和指令监督微调大语言模型的方法，较好的解决了句子级别技术类别多分类问题。ChatGPT数据增强方法在保留原始样本语义基础上更好的丰富了样本多样性，为小样本学习高性能识别提供了高质量训练数据支撑，实验结果也证明了本数据增强方法的优越性；指令监督微调大语言模型，突破了深度学习多分类模型的性能瓶颈，实现625类技术类别识别全覆盖，Precision, Recall和F1值分别达到了86.2%，89.9%和88.0%，优于已有研究。

关键词: 网络威胁情报（CTI）, TTPs, ATT&, CK, 数据增强, 大语言模型, 监督微调

Abstract: The MITRE ATT&CK framework defines 14 tactics and 625 techniques that cover the full spectrum of cyber attacks. It has progressively become the de facto standard for describing Tactics, Techniques, and Procedures (TTPs) in cyber threat intelligence. Current research often transforms the task of identifying and extracting TTPs into a multi-class classification problem at the sentence level, employing deep learning and large language models based on prompt engineering. However, issues such as the dominance of small sample categories in datasets and the performance limitations of multi-class models result in low coverage and accuracy in category identification. This paper proposes a method that combines ChatGPT data augmentation with instruction-supervised fine-tuning of large language models, effectively addressing the multi-class classification problem for technique categories at the sentence level. The ChatGPT data augmentation method enriches sample diversity while preserving the original sample semantics, providing high-quality training data to support high-performance recognition in small sample learning. Experimental results demonstrate the superiority of this data augmentation method. The instruction-supervised fine-tuning of the large language model overcomes the performance bottleneck of deep learning multi-class models, achieving full coverage of the 625 technique categories. The Precision, Recall, and F1-score reach 86.2%, 89.9%, and 88.0%, respectively, surpassing existing research.

Key words: cyber threat intelligence(CTI), TTPs, ATT&, CK, data augmentation, large language model, supervised fine-tuning(SFT)

于丰瑞, 杜彦辉. 网络威胁技战术情报识别提取生成式技术研究[J]. 计算机科学与探索, DOI: 10.3778/j.issn.1673-9418.2405088.

YU Fengrui, DU Yanhui. Research on Generative Techniques for Identifying and Extracting Cyber Threat Tactics, Techniques, and Procedures[J]. Journal of Frontiers of Computer Science and Technology, DOI: 10.3778/j.issn.1673-9418.2405088.

[1]	张琪, 钟昊. 大语言模型驱动的知识图谱实体摘要的次模优化方法[J]. 计算机科学与探索, 2024, 18(7): 1806-1813.
[2]	冯钧, 畅阳红, 陆佳民, 唐海麟, 吕志鹏, 邱钰淳. 基于大语言模型的水工程调度知识图谱的构建与应用[J]. 计算机科学与探索, 2024, 18(6): 1637-1647.
[3]	赵红磊, 唐焕玲, 张玉, 孙雪源, 鲁明羽. k-best维特比解耦合知识蒸馏的命名实体识别模型[J]. 计算机科学与探索, 2024, 18(3): 780-794.
[4]	张华卫, 张文飞, 蒋占军, 廉敬, 吴佰靖. 引入上下文信息和Attention Gate的GUS-YOLO遥感目标检测算法[J]. 计算机科学与探索, 2024, 18(2): 453-464.
[5]	张小伟, 江东, 袁野, 安丽霞, 王国仁. MaSS：基于单位数据贡献的模型定价框架[J]. 计算机科学与探索, 2023, 17(9): 2252-2264.
[6]	马金林, 刘宇灏, 马自萍, 巩元文, 朱艳彬. HSKDLR：同类自知识蒸馏的轻量化唇语识别方法[J]. 计算机科学与探索, 2023, 17(11): 2689-2702.
[7]	张鹤译, 王鑫, 韩立帆, 李钊, 陈子睿, 陈哲. 大语言模型融合知识图谱的问答系统研究[J]. 计算机科学与探索, 2023, 17(10): 2377-2388.
[8]	李源, 马新宇, 杨国利, 赵会群, 宋威. 面向知识图谱和大语言模型的因果关系推断综述[J]. 计算机科学与探索, 2023, 17(10): 2358-2376.
[9]	杨波, 孙晓虎, 党佳怡, 赵海燕, 金芝. 面向医疗问答系统的大语言模型命名实体识别方法[J]. 计算机科学与探索, 2023, 17(10): 2389-2402.
[10]	黄昱, 廖祖华. 交换BCK-代数的新型软（素）理想[J]. 计算机科学与探索, 2022, 16(7): 1673-1680.
[11]	刘荆欣, 王妍, 韩笑, 夏长清, 宋宝燕. 基于Stackelberg博弈的边缘云资源定价机制研究[J]. 计算机科学与探索, 2022, 16(1): 153-162.
[12]	葛轶洲, 许翔, 杨锁荣, 周青, 申富饶. 序列数据的数据增强方法综述[J]. 计算机科学与探索, 2021, 15(7): 1207-1219.
[13]	李佳佳，李雨现，夏秀峰，王波涛，刘向宇. 面向时间依赖路网的连续k近邻查询[J]. 计算机科学与探索, 2019, 13(5): 788-799.
[14]	彭家寅. BCK-代数的广义(∈,∈∨q)-模糊蕴涵理想[J]. 计算机科学与探索, 2018, 12(4): 662-670.
[15]	王敏，唐明珠. 融合对立学习的混合灰狼优化算法[J]. 计算机科学与探索, 2017, 11(4): 673-680.

网络威胁技战术情报识别提取生成式技术研究

Research on Generative Techniques for Identifying and Extracting Cyber Threat Tactics, Techniques, and Procedures

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics