深度分析
TTPrint:發散後收斂的 TTP 擷取管線與 MITRE ATT&CK 驗證機制
資安報告自動擷取MITRE ATT&CK技術常陷於遺漏或幻覺的兩難。TTPrint採「發散後收斂」:先把報告拆成原子行為廣泛提出候選,再以句段定位與官方定義交叉驗證篩選。實驗在修正後TRAM與新文檔基準上顯著提升整體F1,並強化預測可追溯性。
MITRE ATT&CK
深度分析
OntoLogX:以本體、RAG 與 LLM 將系統日誌轉換為威脅知識圖譜
系統日誌蘊含豐富威脅情報,但格式零散難以直接利用。OntoLogX結合本體、檢索增強生成與迭代校正,利用大型語言模型將原始日誌轉成本體驅動的知識圖譜,並以會話群組對應MITRE ATT&CK戰術。實驗也顯示檢索與校正能提升精準與召回,程式碼專用模型對結構化日誌特別有利。
深度分析
TraceScope 互動式取證架構:視覺隔離、GUI 沙箱與 MITRE ATT&CK 清單裁決
網頁釣魚採用互動門檻與執行期隱藏,傳統快照式檢測易失效。TraceScope 以沙箱化操作員驅動真實瀏覽器並凍結會話,獨立裁決者以 MITRE ATT&CK 清單核證證據,生成稽核級報告。實驗於 708 個活躍網址上達到 0.94 精確度與 0.78 召回率,此系統定位為按需取證工具,適合替代人工繁瑣調查流程。