Empowering Your Cybersecurity, One Tool at a Time.
這篇論文真正要補的,不只是 incident 對 ATT&CK technique 的自動映射,而是把整條鏈一路接到 CIS Controls 與 SMART metrics。作者用 Cyber Catalog 加上 fine-tuned sentence transformer,試著把 threat intelligence 從「看懂攻擊」推進到「能被風險管理系統接住」。
ThreatPilot 不只想把 CTI report 對到 ATT&CK technique,而是把 threat intelligence 拉成 tactics、techniques、procedures 與 procedure variants,再直接往下接 Sigma rule 與可重現攻擊指令。它最值得注意的不是 extraction 分數,而是把 CTI 自動化從標註任務往 detection engineering 與 attack validation 的中介知識層推進了一步。
這篇論文真正想補的不是再多一個 TTP extraction 模型,而是把 MITRE ATT&CK 官方標準重新整理成機器拿得動、分析師看得懂的判斷知識。作者以雙層 Situational Knowledge Representation 與 evolvable memory,嘗試解決「模型學的是資料集偏好,不是標準本身」這個 CTI 自動化的老問題。
這篇論文把 threat report 自動化從一般 entity extraction 往 STIX operationalization 再推一步:透過 AZERG 將任務拆成實體偵測、型別辨識、關聯配對與關係型別判定四個子任務,並以 141 份真實報告、4,011 個 entities、2,075 個 relationships 的資料集驗證,說明 CTI 自動化真正重要的不只是抽出資訊,而是能否把資訊整理成交換系統接得住的結構。
這篇研究把 LLM、domain ontology 與 SHACL constraints 接在一起,處理的不是單純 extraction accuracy,而是如何讓資安日誌與事件文本抽出的 CTI 從黑箱文字,變成可驗證、可結構化、可落進知識圖系統的透明輸出。
TRUSTDESC 不再停在檢測惡意 tool description,而是從工具實作中自動生成較可信的 description,並以靜態切片、語義去毒與動態驗證把 tool poisoning 的信任問題往前推回 description integrity。真正的重點是:在 agent 時代,模型看到的工具語義不該再直接由第三方自我宣告。
這篇論文試圖把 Suricata IDS logs 透過 strategy-driven prompting 切成行為階段,再映射到 MITRE ATT&CK 與高階攻擊敘事。真正有價值的主線,不是神化所謂 cognitive inference,而是縮短 packet-level telemetry 與 analyst-level threat understanding 之間的語意落差。
這篇論文用 125M 參數的 RoBERTa-base 做 CVE→CWE 分類,在 CTI-Bench 上追平 8B security LLM。真正關鍵不是小模型逆襲,而是 AI-refined labels、兩階段 fine-tuning,以及對 CWE hierarchy granularity mismatch 的清楚拆解:很多 benchmark 錯誤,其實是在懲罰更精確的答案。
CVE-LLM 真正要解的不是「讓模型看懂 CVE」而已,而是讓漏洞評估能帶著產品脈絡、組件條件、VEX 判斷與 ontology 補充知識一起進入企業內部的 vulnerability operations workflow。
ThreatLinker 把 CVE 描述直接連到 CAPEC attack patterns,不再只靠 CVE→CWE→CAPEC 的鬆散欄位鏈,而是結合 semantic similarity 與資安術語 keyword evidence 做排序。它真正補上的,是漏洞情報從弱點條目走向攻擊模式語意的那一段。