要約
MITRE ATT&CKフレームワークへの攻撃手法IDの自動付与に階層的RAGを適用した新手法が発表された 戦術→技術の2段階検索により、従来のフラットRAGの限界を克服し精度・効率を大幅改善 CTI(サイバー脅威インテリジェンス)分析の自動化を加速し、セキュリティアナリストの負担軽減に貢献
階層的RAGでサイバー脅威の自動分析精度が向上
Hierarchical Retrieval Augmented Generation for Adversarial Technique Annotation in Cyber Threat Intelligence Text
原文を読む →
https://arxiv.org/abs/2604.14166
本論文はサイバー脅威インテリジェンス(CTI)テキストをMITRE ATT&CKの攻撃手法IDに対応付ける自動注釈タスクを扱う。既存RAGアプローチは全手法を均等に扱う「フラット検索」方式であり、ATT&CKが戦術(Tactic)と手法(Technique)の2層構造を持つ点を活用できていなかった。提案手法H-TechniqueRAGは第1段階で攻撃者の高レベル目標である「戦術」を特定し、第2段階でその戦術配下の「技術」のみに検索を絞り込む2段階階層検索を実現する。階層的な分類体系を帰納バイアスとして組み込むことで検索空間を大幅削減しつつ精度を向上させる。実験ではGPT-4oやClaudeなどのLLMベース既存手法と比較し優れた注釈精度と効率を達成したとされる。SOCアナリストの作業負荷軽減や脅威防衛の自動化に直結する実用的な成果であり、CTI分析パイプラインへの組み込みが期待される。