本文探讨了不同的自然语言处理和机器学习技术，以提取关于网络攻击者战术、技术和过程（TTP）的安全信息，并提出了一个基于已知对手策略、技术和程序知识库的自动分类非结构化文本的数据处理管道。

Jul, 2022

在网络安全领域中，战术、技术和程序（TTP）代表复杂的攻击模式，文本知识库中以百科全书的形式描述。寻找网络安全写作中的 TTP，通常称为 TTP 映射，是一项重要且具有挑战性的任务。为了减少模型学习能力受限的问题，我们采用了一种不同的学习范式，即通过文本与 TTP 标签之间的直接语义相似性来决定文本与 TTP 标签的关联，从而降低了仅在庞大的标签空间中竞争的复杂性。为此，我们提出了一种具有有效基于采样的学习比较机制的神经匹配架构，以便使匹配模型能够在资源受限的情况下进行学习。

Jan, 2024

通过使用大型语言模型 (LLMs) 以及对 MITRE AT&CK 框架中的 Tactics，Techniques 和 Procedures (TTPs) 进行训练，我们研究了它们在预测 ATT＆CK tactics 方面的能力，发现 BaseLLMs 提供更加集中和清晰的 ATT＆CK tactics 预测，而 LLMs 则提供更广泛的网络攻击技术解释。虽然 LLMs 具有强大的潜力，但它们的预测中存在内在歧义。因此，我们总结了现有的挑战，并建议 LLMs 研究方向以处理 TTP 描述的内在歧义。

Jun, 2023

该研究使用机器学习和自然语言处理技术以及多个公共数据集，提供一个易于理解的漏洞到攻击技术和威胁行为者的映射，帮助安全从业者协助客户管理和优先处理漏洞。

Jun, 2022

本研究介绍了一种名为 CVEDrill 的创新预测模型与工具，能够革新 CVE 分析和威胁优先级排序，实现精确威胁缓解和自动分类 CVE 至适当的 CWE 层级类别，从而开创了在此领域超越 ChaptGPT 等最先进工具的组织实施网络安全对策缓解的精确度和及时性。

Sep, 2023

本文将 MITRE 的 ATT＆CK MATRIX、NIST 的通用弱点枚举（CWE）、CVE 和 CAPEC 等公共数据源连接起来，构建了一个名为 BRON 的聚合数据图，从而增强了 Alerts，威胁和漏洞的信息，并鉴别了公共数据源的盲点和范围。

Oct, 2020

本文介绍了一种基于 Transformer 学习框架的新方法 (V2W-BERT)，通过自然语言处理、链接预测和迁移学习等思想，自动将 Common Vulnerabilities and Exposures (CVE) 映射到 Common Weakness Enumerations (CWE)，准确地解决了在网络安全方面的问题，可应用于寻找软件漏洞和缓解网络攻击。

Feb, 2021

本文介绍了第一个自动将 CVE 分类到 CWE 的工具 ——ThreatZoom，它利用一种新颖的学习算法，该算法采用自适应层次神经网络，基于文本分析分数和分类错误进行权重调整，通过从 CVE 的描述中提取的统计和语义特征自动估计 CWE 类别，经过 MITRE 和国家漏洞数据库（NVD）提供的各种数据集的严格测试，将 CVE 实例正确分类到其正确的 CWE 类别的精度为 92％（细粒度）和 94％（粗粒度）对于 NVD 数据集，并为 MITRE 数据集 75％（细粒度）和 90％（粗粒度），尽管数据集很小。

Sep, 2020

使用编码器 - 解码器结构的大型语言模型（LLM）在解释攻击者行动方法（Tactics, Techniques, and Procedures）时存在问题，为此我们提出使用检索增强生成（Retrieval Augmented Generation）技术来提取相关上下文以改进解码器 - LLM 的表现。研究结果显示，直接使用解码器 - LLM 和仅对编码器 - LLM 进行监督微调的方法都无法准确解释网络攻击步骤，而将检索增强生成技术应用于解码器 - LLM 则显著提升了解释能力。本研究进一步揭示了在解释行动方法时使用检索增强生成技术的限制和能力。

Dec, 2023

VulnScopper 是一种创新方法，利用多模态表示学习，结合知识图谱和自然语言处理，自动化和增强对软件漏洞的分析，显著提高了公共漏洞和曝光、常见弱点枚举和常见平台枚举之间的链接预测准确率。

Mar, 2024