要旨: サイバー脅威インテリジェンス(CTI)テキストを MITRE ATT\&CK のテクニックIDに対応付けることは、敵対者の振る舞いを理解し、脅威防御を自動化するための重要なタスクである。近年の検索拡張生成(RAG)アプローチは、この領域において有望な能力を示しているが、基本的にはフラットな検索パラダイムに依存している。すべてのテクニックを一様に扱うことで、これらの手法は、ATT\&CK フレームワークの固有の分類体系(タクソノミー)—すなわち、高レベルの戦術の下で構造的に組織化されたテクニック—を見落としている。本論文では、この戦術-テクニックのタクソノミーを強力な帰納バイアスとして注入し、高い効率と精度を実現するための新しい階層型 RAG フレームワークである H-TechniqueRAG を提案する。提案手法は、2段階の階層的検索メカニズムを導入する。まずマクロレベルの戦術(敵対者の技術的目標)を特定し、その後、その戦術の中に含まれるテクニックに探索を絞り込むことで、候補探索空間を 77.5\% 減少させる。さらに、検索と生成のギャップを埋めるために、戦術を考慮した再ランキングモジュールと、階層に制約された文脈(コンテキスト)組織化戦略を設計し、LLM のコンテキスト過負荷を緩和し、推論の精度を向上させる。3種類の多様な CTI データセットにわたる包括的な実験により、H-TechniqueRAG が F1 スコアにおいて従来の最先端の TechniqueRAG を 3.8\% 上回るだけでなく、推論遅延を 62.4\% 削減し、LLM API 呼び出しを 60\% 減少させることも示される。さらなる分析により、我々の階層的な構造プリオリ(構造事前知識)が、モデルに優れたクロスドメイン一般化能力を与えるとともに、セキュリティアナリストに対して高度に解釈可能で段階的な意思決定の道筋を提供することが明らかになった。
MITRE ATT&CKの対敵技術注釈のための敵対的手法に関する階層型RAG:サイバー脅威インテリジェンス文本への階層的検索拡張生成
arXiv cs.CL / 2026/4/17
📰 ニュースDeveloper Stack & InfrastructureModels & Research
要点
- この論文は、サイバー脅威インテリジェンス(CTI)テキストをMITRE ATT&CKの技術IDに対応付ける課題に取り組み、従来のRAGがフラットな検索を前提としてATT&CKの「戦術–技術」階層を活かせていない点を指摘しています。
- 提案手法H-TechniqueRAGは、まずマクロレベルの戦術を特定し、その戦術内に絞って技術候補を検索することで、候補探索空間を77.5%削減します。
- 検索から生成への橋渡しを強化するために、戦術対応の再ランキング機構と、階層に制約されたコンテキストの整理戦略を導入し、LLMのコンテキスト過負荷を抑えて推論精度を高めます。
- 3種類のCTIデータセットでの実験では、H-TechniqueRAGがTechniqueRAGをF1スコアで3.8%上回りつつ、推論レイテンシを62.4%削減し、LLM API呼び出しも60%減らしたと報告されています。
- 階層的な構造的事前知識によりドメイン横断の汎化が向上し、セキュリティアナリストに対して解釈可能で段階的な意思決定の道筋を提供できると述べています。
