21-23 mai 2025 Domaine de l'Orangerie à Lanniron (Bretagne - France)
Un évènement soutenu par IRISA Bretagne Cyber Alliance IMT Atlantique XLIM
EUR CyberSchool SOTERN IMT Atlantique IMT Atlantique Université de Rennes
From Text to Insight: Encoding Cyber Attack Patterns in Threat Intelligence Reports Using Knowledge Graphs and LLMs
Zounon Patrick  1@  , Yufei Han  1, 2, 3, 4, 5@  , Michel Hurfin  6, 7, 8@  , Frédéric Majorczyk  9@  
1 : Inria Rennes – Bretagne Atlantique
Institut National de Recherche en Informatique et en Automatique
2 : CentraleSupélec [campus de Rennes]
CentraleSupelec, Saclay, France.
3 : Université de Rennes
Université de Rennes I
4 : Confidentialité, Intégrité, Disponibilité et Répartition
CentraleSupélec, Inria Rennes – Bretagne Atlantique, SYSTÈMES LARGE ÉCHELLE
5 : CNRS
CNRS, CNRS : UMR8568, CNRS, CNRS : UMR6074, CNRS, CNRS : UMR5593, CNRS : ERL3189, CNRS : UMR7104, CNRS : UMR5244, CNRS : UMR2205, CNRS : UPR8241, CNRS, CNRS : UMR5554, CNRS : UMR5274, CNRS : UMR5493, CNRS : UMR7199, CNRS : UMR8184, CNRS : UMR7141, CNRS : UMR5251, CNRS : UMRTemps8066, CNRS : FR550, CNRS : UMR5127, CNRS : UMRSETEMoulis, CNRS : UMR9189, CNRS : UMR7190, CNRS : UMR00, CNRS : UMR8079, CNRS : UMR5138, CNRS : UMR6004, CNRS : UMR8234
6 : Université de Rennes
Université de Rennes
7 : L'Institut National de Recherche en Informatique et en Automatique
L'Institut National de Recherche en Informatique et e n Automatique (INRIA)
8 : Institut de Recherche en Informatique et Systèmes Aléatoires
Université de Rennes, Institut National des Sciences Appliquées - Rennes, Université de Bretagne Sud, École normale supérieure - Rennes, Institut National de Recherche en Informatique et en Automatique, CentraleSupélec, Centre National de la Recherche Scientifique, IMT Atlantique, Institut National de Recherche en Informatique et en Automatique
9 : IRISA
Direction générale de l'Armement (DGA)

Cyber Threat Intelligence (CTI) reports provide valuable insights into cyberattacks, detailing target systems, attack methods, and vulnerabilities. However, their volume and unstructured format hinder security professionals' ability to efficiently extract, summarize, and predict attack patterns. In this paper, we propose automating the transformation of CTI reports into a graph-based Cyber Security Knowledge Graph (CSKG) using Large Language Models (LLMs) for security entity recognition. Specifically, we outline our initial efforts to define essential cyber security entities and relationships, which serve as the foundational elements of cyber attack descriptions. These efforts mark a significant step toward our broader objective of encoding cyber security knowledge in a graph-structured format. Additionally, we discuss future directions, including the development of a comprehensive cyber attack knowledge graph that integrates multiple CTI reports, and explore its potential applications in inferring, reasoning, and prioritizing attack behaviors.

Type : : RESSI 2025
Thématiques : Thèse
  • Poster
Chargement... Chargement...