Vtt-llm: avanzando en la asignación de vulnerabilidad a tácticas y técnicas a través del ajuste fino de un gran modelo de lenguaje
Autores: Zhang, Chenhui; Wang, Le; Fan, Dunqiu; Zhu, Junyi; Zhou, Tang; Zeng, Liyi; Li, Zhaohua
Idioma: Inglés
Editor: MDPI
Año: 2024
Acceso abierto
Artículo científico
2024
Vtt-llm: avanzando en la asignación de vulnerabilidad a tácticas y técnicas a través del ajuste fino de un gran modelo de lenguaje
Categoría
Matemáticas
Subcategoría
Matemáticas generales
Palabras clave
Vulnerabilidades
Ciberataques
Cve
Att&ck
Mapeo
Técnicas
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 38
Citaciones: Sin citaciones
Las vulnerabilidades suelen ir acompañadas de ciberataques. CVE es el mayor repositorio de vulnerabilidades abiertas, que sigue expandiéndose. ATT&CK modela ataques conocidos de múltiples pasos tanto táctica como técnicamente y se mantiene actualizado. Es valioso correlacionar la vulnerabilidad en CVE con la táctica y técnica correspondiente de ATT&CK que explota la vulnerabilidad, para la defensa activa. Mapear manualmente no solo es consumidor de tiempo sino también difícil de mantener actualizado. Los métodos de mapeo automatizado basados en lenguaje existentes no utilizan la información asociada con comportamientos de ataque fuera de CVE y ATT&CK y, por lo tanto, son ineficaces. En este documento, proponemos un marco novedoso llamado VTT-LLM para mapear vulnerabilidades a tácticas y técnicas basadas en grandes modelos de lenguaje, que consta de un modelo de generación y un modelo de mapeo. Para generar instrucciones de ajuste fino para LLM, creamos una plantilla para extraer conocimiento de CWE (una lista estandarizada de debilidades comunes) y CAPEC (una lista estandarizada de patrones de ataque comunes). Entrenamos el modelo de generación de VTT-LLM ajustando finamente el LLM según las instrucciones anteriores. El modelo de generación correlaciona vulnerabilidad y ataque a través de sus descripciones. El modelo de mapeo transforma las descripciones de tácticas y técnicas de ATT&CK en vectores a través de la incrustación de texto y las asocia con ataques a través de la coincidencia semántica. Al aprovechar el conocimiento de CWE y CAPEC, VTT-LLM puede automatizar finalmente el proceso de vinculación de vulnerabilidades en CVE con las técnicas y tácticas de ataque de ATT&CK. Los experimentos en el último conjunto de datos público, ChatGPT-VDMEval, muestran la efectividad de VTT-LLM con una precisión del 85.18%, que es un 13.69% y un 54.42% más alto que los métodos existentes basados en CVET y ChatGPT, respectivamente. Además, en comparación con el ajuste fino sin conocimiento externo, la precisión de VTT-LLM con ajuste fino en cadena es un 9.24% más alta en promedio en diferentes LLMs.
Descripción
Las vulnerabilidades suelen ir acompañadas de ciberataques. CVE es el mayor repositorio de vulnerabilidades abiertas, que sigue expandiéndose. ATT&CK modela ataques conocidos de múltiples pasos tanto táctica como técnicamente y se mantiene actualizado. Es valioso correlacionar la vulnerabilidad en CVE con la táctica y técnica correspondiente de ATT&CK que explota la vulnerabilidad, para la defensa activa. Mapear manualmente no solo es consumidor de tiempo sino también difícil de mantener actualizado. Los métodos de mapeo automatizado basados en lenguaje existentes no utilizan la información asociada con comportamientos de ataque fuera de CVE y ATT&CK y, por lo tanto, son ineficaces. En este documento, proponemos un marco novedoso llamado VTT-LLM para mapear vulnerabilidades a tácticas y técnicas basadas en grandes modelos de lenguaje, que consta de un modelo de generación y un modelo de mapeo. Para generar instrucciones de ajuste fino para LLM, creamos una plantilla para extraer conocimiento de CWE (una lista estandarizada de debilidades comunes) y CAPEC (una lista estandarizada de patrones de ataque comunes). Entrenamos el modelo de generación de VTT-LLM ajustando finamente el LLM según las instrucciones anteriores. El modelo de generación correlaciona vulnerabilidad y ataque a través de sus descripciones. El modelo de mapeo transforma las descripciones de tácticas y técnicas de ATT&CK en vectores a través de la incrustación de texto y las asocia con ataques a través de la coincidencia semántica. Al aprovechar el conocimiento de CWE y CAPEC, VTT-LLM puede automatizar finalmente el proceso de vinculación de vulnerabilidades en CVE con las técnicas y tácticas de ataque de ATT&CK. Los experimentos en el último conjunto de datos público, ChatGPT-VDMEval, muestran la efectividad de VTT-LLM con una precisión del 85.18%, que es un 13.69% y un 54.42% más alto que los métodos existentes basados en CVET y ChatGPT, respectivamente. Además, en comparación con el ajuste fino sin conocimiento externo, la precisión de VTT-LLM con ajuste fino en cadena es un 9.24% más alta en promedio en diferentes LLMs.