会员服务
标注 · 语义标注 · 网络安全 · 安全风险 · 相似性 ·
3 月 4 日
Exploring Semantic Labeling Strategies for Third-Party Cybersecurity Risk Assessment Questionnaires
翻译:探索第三方网络安全风险评估问卷的语义标注策略
Ali Nour Eldin,Mohamed Sellami,Walid Gaaloul,Julien Steunou
Ali Nour Eldin,Mohamed Sellami,Walid Gaaloul,Julien Steunou

Third-Party Risk Assessment (TPRA) is a core cybersecurity practice for evaluating suppliers against standards such as ISO/IEC 27001 and NIST. TPRA questionnaires are typically drawn from large repositories of security and compliance questions, yet tailoring assessments to organizational needs remains a largely manual process. Existing retrieval approaches rely on keyword or surface-level similarity, which often fails to capture implicit assessment scope and control semantics. This paper explores strategies for organizing and retrieving TPRA cybersecurity questions using semantic labels that describe both control domains and assessment scope. We compare direct question-level labeling with a Large Language Model (LLM) against a hybrid semi-supervised semantic labeling (SSSL) pipeline that clusters questions in embedding space, labels a small representative subset using an LLM, and propagates labels to remaining questions using k-Nearest Neighbors; we also compare downstream retrieval based on direct question similarity versus retrieval in the label space. We find that semantic labels can improve retrieval alignment when labels are discriminative and consistent, and that SSSL can generalize labels from a small labeled subset to large repositories while substantially reducing LLM usage and cost.


翻译:第三方风险评估(TPRA)是依据ISO/IEC 27001和NIST等标准评估供应商的核心网络安全实践。TPRA问卷通常从大型安全与合规问题库中抽取,但根据组织需求定制评估在很大程度上仍是一个手动过程。现有的检索方法依赖于关键词或表层相似性,往往无法捕捉隐性的评估范围和控制语义。本文探讨了使用描述控制域和评估范围的语义标签来组织和检索TPRA网络安全问题的策略。我们比较了直接使用大型语言模型(LLM)进行问题级标注的方法,以及一种混合半监督语义标注(SSSL)流程:该流程在嵌入空间中对问题进行聚类,使用LLM标注一个小的代表性子集,并通过k-最近邻算法将标签传播到剩余问题;我们还比较了基于直接问题相似性的下游检索与在标签空间中的检索。研究发现,当标签具有区分性和一致性时,语义标签可以提高检索对齐度,并且SSSL能够将标签从小的标注子集泛化到大型问题库,同时显著减少LLM的使用和成本。
0
下载
关闭预览

相关内容

【国家标准】数据安全技术 数据安全风险评估方法
【国家标准】数据安全技术 数据安全风险评估方法
专知会员服务
24+阅读 · 2025年8月18日
《人工智能安全标准体系(V1.0)》(征求意见稿)
《人工智能安全标准体系(V1.0)》(征求意见稿)
专知会员服务
29+阅读 · 2025年3月23日
《利用大型语言模型检测社交平台上的网络欺凌行为》
《利用大型语言模型检测社交平台上的网络欺凌行为》
专知会员服务
44+阅读 · 2024年1月23日
重磅!国家标准《信息安全技术数据安全风险评估方法》(征求意见稿)发布
重磅!国家标准《信息安全技术数据安全风险评估方法》(征求意见稿)发布
专知会员服务
29+阅读 · 2023年9月3日
《网络安全标准实践指南——生成式人工智能服务内容标识方法》发布
《网络安全标准实践指南——生成式人工智能服务内容标识方法》发布
专知会员服务
37+阅读 · 2023年8月29日
面向知识库问答的问句语义解析研究综述
面向知识库问答的问句语义解析研究综述
专知会员服务
33+阅读 · 2022年12月11日
美国安全局【网络安全对策知识图谱D3FEND】项目(附paper)
美国安全局【网络安全对策知识图谱D3FEND】项目(附paper)
专知会员服务
50+阅读 · 2022年3月18日
【香港中文大学】基于Aspect的情感分析综述论文,A Survey on Aspect-Based Sentiment Analysis: Tasks, Methods, and Challenges
【香港中文大学】基于Aspect的情感分析综述论文,A Survey on Aspect-Based Sentiment Analysis: Tasks, Methods, and Challenges
专知会员服务
20+阅读 · 2022年3月3日
《信息安全技术 机器学习算法安全评估规范》国家标准意见稿,33页pdf
《信息安全技术 机器学习算法安全评估规范》国家标准意见稿,33页pdf
专知会员服务
74+阅读 · 2022年2月26日
《数据安全风险分析及应对策略研究(2022年)》
《数据安全风险分析及应对策略研究(2022年)》
专知会员服务
44+阅读 · 2022年2月5日
《人工智能安全测评白皮书》,99页pdf
《人工智能安全测评白皮书》,99页pdf
专知
36+阅读 · 2022年2月26日
密歇根大学40页《20年目标检测综述》最新论文,带你全面了解目标检测方法
密歇根大学40页《20年目标检测综述》最新论文,带你全面了解目标检测方法
专知
70+阅读 · 2019年5月14日
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
专知
79+阅读 · 2019年4月24日
推荐系统、风控模型、知识图谱,竟然都可以用网络挖掘来实现
推荐系统、风控模型、知识图谱,竟然都可以用网络挖掘来实现
数据分析
12+阅读 · 2018年8月15日
论文笔记之Feature Selective Networks for Object Detection
论文笔记之Feature Selective Networks for Object Detection
统计学习与视觉计算组
21+阅读 · 2018年7月26日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
深度学习时代的目标检测算法
深度学习时代的目标检测算法
炼数成金订阅号
40+阅读 · 2018年3月19日
从传统方法到深度学习,人脸关键点检测方法综述
从传统方法到深度学习,人脸关键点检测方法综述
机器之心
14+阅读 · 2017年12月17日
干货 | 人工智能如何帮助银行反欺诈:来看看关于银行智能欺诈风险预测模型的研究
干货 | 人工智能如何帮助银行反欺诈:来看看关于银行智能欺诈风险预测模型的研究
AI100
11+阅读 · 2017年11月17日
网络安全态势感知浅析
网络安全态势感知浅析
计算机与网络安全
18+阅读 · 2017年10月13日
基于信号理论和众包的社交媒体平台安全性和可信度群体评估方法研究
国家自然科学基金
0+阅读 · 2017年12月31日
语义Web知识库补全关键技术研究
国家自然科学基金
18+阅读 · 2017年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
网络空间安全关键技术研究
国家自然科学基金
20+阅读 · 2015年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
微网安全风险评估研究
国家自然科学基金
2+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
基于第三方的APP软件质量度量和评估方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
Towards Modeling Cybersecurity Behavior of Humans in Organizations
Arxiv
0+阅读 · 3月9日
Before You Hand Over the Wheel: Evaluating LLMs for Security Incident Analysis
Arxiv
0+阅读 · 3月6日
SpotIt: Evaluating Text-to-SQL Evaluation with Formal Verification
Arxiv
0+阅读 · 3月4日
Shifting Engagement With Cybersecurity: How People Discover and Share Cybersecurity Content at Work and at Home
Arxiv
0+阅读 · 2月23日
Detecting Cybersecurity Threats by Integrating Explainable AI with SHAP Interpretability and Strategic Data Sampling
Arxiv
0+阅读 · 2月22日
ForesightSafety Bench: A Frontier Risk Evaluation and Governance Framework towards Safe AI
Arxiv
0+阅读 · 2月21日
Towards a Diagnostic and Predictive Evaluation Methodology for Sequence Labeling Tasks
Arxiv
0+阅读 · 2月13日
TRACE: Transparent Web Reliability Assessment with Contextual Explanations
TRACE: Transparent Web Reliability Assessment with Contextual Explanations
Arxiv
0+阅读 · 2月4日
WebSentinel: Detecting and Localizing Prompt Injection Attacks for Web Agents
Arxiv
0+阅读 · 2月3日
Cyber Insurance, Audit, and Policy: Review, Analysis and Recommendations
Arxiv
0+阅读 · 2月3日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
标注
语义标注
网络安全
安全风险
相似性
最新内容
美伊停火协议:评估、各方反应及美国会面临的问题
美伊停火协议:评估、各方反应及美国会面临的问题
专知会员服务
3+阅读 · 今天13:00
国外反无人机系统与技术动态
国外反无人机系统与技术动态
专知会员服务
2+阅读 · 今天12:48
世界无人无线电情报系统经验分析与实验实现(研究论文)
世界无人无线电情报系统经验分析与实验实现(研究论文)
专知会员服务
3+阅读 · 今天12:44
大规模作战行动中的战术作战评估(研究论文)
大规模作战行动中的战术作战评估(研究论文)
专知会员服务
3+阅读 · 今天12:21
(中文长文)城市战与小部队城市战术:来自俄乌战争的观察
(中文长文)城市战与小部队城市战术:来自俄乌战争的观察
专知会员服务
3+阅读 · 今天12:13
未来的海战无人自主系统
未来的海战无人自主系统
专知会员服务
2+阅读 · 今天12:05
美军多域作战现状分析:战略、概念还是幻想?
美军多域作战现状分析:战略、概念还是幻想?
专知会员服务
3+阅读 · 今天11:52
(中文万字长文)美智库:针对伊朗的防空作战分析(报告)
(中文万字长文)美智库:针对伊朗的防空作战分析(报告)
专知会员服务
15+阅读 · 今天7:12
无人机与反无人机系统(书籍)
无人机与反无人机系统(书籍)
专知会员服务
14+阅读 · 今天6:45
(中文万字长文)2025-2026年乌克兰无人机拦截技术演进:反无人机技术、项目、效果、西方援助
(中文万字长文)2025-2026年乌克兰无人机拦截技术演进:反无人机技术、项目、效果、西方援助
专知会员服务
6+阅读 · 今天6:12
美陆军2026条令:安全与机动支援
美陆军2026条令:安全与机动支援
专知会员服务
5+阅读 · 今天5:49
【牛津博士论文】以语言为接口的医学影像表示学习
【牛津博士论文】以语言为接口的医学影像表示学习
专知会员服务
11+阅读 · 4月13日
基于大语言模型的医疗推理研究:综述与 MR-Bench 基准测试
基于大语言模型的医疗推理研究:综述与 MR-Bench 基准测试
专知会员服务
9+阅读 · 4月13日
从原型到实战:扩展美陆军下一代指挥控制能力(试验进展)
从原型到实战:扩展美陆军下一代指挥控制能力(试验进展)
专知会员服务
12+阅读 · 4月13日
技术、多域威慑与海上战争(报告)
技术、多域威慑与海上战争(报告)
专知会员服务
8+阅读 · 4月13日
相关VIP内容
【国家标准】数据安全技术 数据安全风险评估方法
【国家标准】数据安全技术 数据安全风险评估方法
专知会员服务
24+阅读 · 2025年8月18日
《人工智能安全标准体系(V1.0)》(征求意见稿)
《人工智能安全标准体系(V1.0)》(征求意见稿)
专知会员服务
29+阅读 · 2025年3月23日
《利用大型语言模型检测社交平台上的网络欺凌行为》
《利用大型语言模型检测社交平台上的网络欺凌行为》
专知会员服务
44+阅读 · 2024年1月23日
重磅!国家标准《信息安全技术数据安全风险评估方法》(征求意见稿)发布
重磅!国家标准《信息安全技术数据安全风险评估方法》(征求意见稿)发布
专知会员服务
29+阅读 · 2023年9月3日
《网络安全标准实践指南——生成式人工智能服务内容标识方法》发布
《网络安全标准实践指南——生成式人工智能服务内容标识方法》发布
专知会员服务
37+阅读 · 2023年8月29日
面向知识库问答的问句语义解析研究综述
面向知识库问答的问句语义解析研究综述
专知会员服务
33+阅读 · 2022年12月11日
美国安全局【网络安全对策知识图谱D3FEND】项目(附paper)
美国安全局【网络安全对策知识图谱D3FEND】项目(附paper)
专知会员服务
50+阅读 · 2022年3月18日
【香港中文大学】基于Aspect的情感分析综述论文,A Survey on Aspect-Based Sentiment Analysis: Tasks, Methods, and Challenges
【香港中文大学】基于Aspect的情感分析综述论文,A Survey on Aspect-Based Sentiment Analysis: Tasks, Methods, and Challenges
专知会员服务
20+阅读 · 2022年3月3日
《信息安全技术 机器学习算法安全评估规范》国家标准意见稿,33页pdf
《信息安全技术 机器学习算法安全评估规范》国家标准意见稿,33页pdf
专知会员服务
74+阅读 · 2022年2月26日
《数据安全风险分析及应对策略研究(2022年)》
《数据安全风险分析及应对策略研究(2022年)》
专知会员服务
44+阅读 · 2022年2月5日
热门VIP内容
相关资讯
《人工智能安全测评白皮书》,99页pdf
《人工智能安全测评白皮书》,99页pdf
专知
36+阅读 · 2022年2月26日
密歇根大学40页《20年目标检测综述》最新论文,带你全面了解目标检测方法
密歇根大学40页《20年目标检测综述》最新论文,带你全面了解目标检测方法
专知
70+阅读 · 2019年5月14日
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
专知
79+阅读 · 2019年4月24日
推荐系统、风控模型、知识图谱,竟然都可以用网络挖掘来实现
推荐系统、风控模型、知识图谱,竟然都可以用网络挖掘来实现
数据分析
12+阅读 · 2018年8月15日
论文笔记之Feature Selective Networks for Object Detection
论文笔记之Feature Selective Networks for Object Detection
统计学习与视觉计算组
21+阅读 · 2018年7月26日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
深度学习时代的目标检测算法
深度学习时代的目标检测算法
炼数成金订阅号
40+阅读 · 2018年3月19日
从传统方法到深度学习,人脸关键点检测方法综述
从传统方法到深度学习,人脸关键点检测方法综述
机器之心
14+阅读 · 2017年12月17日
干货 | 人工智能如何帮助银行反欺诈:来看看关于银行智能欺诈风险预测模型的研究
干货 | 人工智能如何帮助银行反欺诈:来看看关于银行智能欺诈风险预测模型的研究
AI100
11+阅读 · 2017年11月17日
网络安全态势感知浅析
网络安全态势感知浅析
计算机与网络安全
18+阅读 · 2017年10月13日
相关论文
Towards Modeling Cybersecurity Behavior of Humans in Organizations
Arxiv
0+阅读 · 3月9日
Before You Hand Over the Wheel: Evaluating LLMs for Security Incident Analysis
Arxiv
0+阅读 · 3月6日
SpotIt: Evaluating Text-to-SQL Evaluation with Formal Verification
Arxiv
0+阅读 · 3月4日
Shifting Engagement With Cybersecurity: How People Discover and Share Cybersecurity Content at Work and at Home
Arxiv
0+阅读 · 2月23日
Detecting Cybersecurity Threats by Integrating Explainable AI with SHAP Interpretability and Strategic Data Sampling
Arxiv
0+阅读 · 2月22日
ForesightSafety Bench: A Frontier Risk Evaluation and Governance Framework towards Safe AI
Arxiv
0+阅读 · 2月21日
Towards a Diagnostic and Predictive Evaluation Methodology for Sequence Labeling Tasks
Arxiv
0+阅读 · 2月13日
TRACE: Transparent Web Reliability Assessment with Contextual Explanations
TRACE: Transparent Web Reliability Assessment with Contextual Explanations
Arxiv
0+阅读 · 2月4日
WebSentinel: Detecting and Localizing Prompt Injection Attacks for Web Agents
Arxiv
0+阅读 · 2月3日
Cyber Insurance, Audit, and Policy: Review, Analysis and Recommendations
Arxiv
0+阅读 · 2月3日
相关基金
基于信号理论和众包的社交媒体平台安全性和可信度群体评估方法研究
国家自然科学基金
0+阅读 · 2017年12月31日
语义Web知识库补全关键技术研究
国家自然科学基金
18+阅读 · 2017年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
网络空间安全关键技术研究
国家自然科学基金
20+阅读 · 2015年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
微网安全风险评估研究
国家自然科学基金
2+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
基于第三方的APP软件质量度量和评估方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top