Noise Contrastive Estimation-based Matching Framework for Low-Resource Security Attack Pattern Recognition

要約

戦術、技術、手順 (TTP) は、サイバーセキュリティ領域における高度な攻撃パターンを表し、テキストの知識ベースで百科事典的に説明されています。
サイバーセキュリティ文書における TTP の特定 (TTP マッピングとも呼ばれます) は、重要かつ困難な作業です。
従来の学習アプローチは、多くの場合、古典的なマルチクラスまたはマルチラベル分類設定の問題を対象としています。
この設定は、多数のクラス (つまり、TTP)、ラベル分布の避けられない歪み、およびラベル空間の複雑な階層構造により、モデルの学習能力を妨げます。
私たちは、別の学習パラダイムで問題を定式化します。このパラダイムでは、TTP ラベルへのテキストの割り当ては、2 つの間の直接的な意味的類似性によって決定され、これにより、大きなラベル空間だけをめぐって競合する複雑さが軽減されます。
そのために、リソースに制約があるにもかかわらず、マッチングモデルの学習プロセスを促進する、効果的なサンプリングベースの比較学習メカニズムを備えたニューラルマッチングアーキテクチャを提案します。

要約(オリジナル)

Tactics, Techniques and Procedures (TTPs) represent sophisticated attack patterns in the cybersecurity domain, described encyclopedically in textual knowledge bases. Identifying TTPs in cybersecurity writing, often called TTP mapping, is an important and challenging task. Conventional learning approaches often target the problem in the classical multi-class or multilabel classification setting. This setting hinders the learning ability of the model due to a large number of classes (i.e., TTPs), the inevitable skewness of the label distribution and the complex hierarchical structure of the label space. We formulate the problem in a different learning paradigm, where the assignment of a text to a TTP label is decided by the direct semantic similarity between the two, thus reducing the complexity of competing solely over the large labeling space. To that end, we propose a neural matching architecture with an effective sampling-based learn-to-compare mechanism, facilitating the learning process of the matching model despite constrained resources.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google