马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?立即注册
x
本次分享论文:Using LLMs to Automate Threat Intelligence Analysis Workflows in Security Operation Centers
基本信息
原文作者:PeiYu Tseng, ZihDwo Yeh, Xushu Dai, Peng Liu
作者单位:Penn State University, State College, PA, 16801
关键词:LLMs, agent, threat intelligence analysis
原文链接:https://arxiv.org/pdf/2407.13093
开源代码:暂无
论文要点
论文简介:SIEM系统在安全运营中央(SOC)中扮演着关键角色,负责监控和分析网络威胁。然而,当前SIEM系统无法自动化处置惩罚自然语言编写的网络威胁情报(CTI)报告,导致分析师必须花费大量时间举行手动分析。本文提出了一种利用大语言模型(LLMs,如GPT-4)的AI智能体,以自动化处置惩罚CTI报告中的重复性任务。该智能体通过四步过滤过程,生成准确的正则表达式,并提供关系图,帮助SOC分析师更快、更准确地相应威胁。这一创新显著减轻了分析师的工作负担,进步了SOC的效率和相应速度。
研究目的:本文旨在办理当前SIEM系统无法自动化处置惩罚自然语言编写的网络威胁情报(CTI)报告的问题。通过开辟一种利用大语言模型(LLMs,如GPT-4)的AI智能体,自动执行CTI报告的分析任务,以减轻分析师的工作负担。该智能体通过提取重要信息、生成正则表达式,并构建威胁情报关系图,帮助安全运营中央(SOC)进步效率,加速对网络攻击的相应速度。
研究贡献
1. 提出了一种新的AI智能体,用于自动提取CTI报告中的重要信息并生成正则表达式(Regex)。
2. 为确保生成的Regex的准确性,研究者采用了四步过滤过程,清除潜在的假阳性和假阴性。
3. 该AI智能体还能提供关系图,描绘CTI报告中不同威胁情报之间的联系。
4. 本项目初次提出一种无需任何人工干预的AI智能体,利用LLMs的革命性能力,使CTI分析工作流实现高度自动化。
引言
网络犯罪每年给全球造成巨大的经济损失,仅在2023年,美国的斲丧者和企业就损失了凌驾125亿美元。为了应对这些威胁,企业越来越依赖安全运营中央(SOC),其中SIEM系统成为其核心工具。SIEM系统通过及时关联引擎帮助检测攻击,但面对自然语言编写的网络威胁情报(CTI)报告,SIEM系统仍需依赖分析师举行大量手动分析。这一过程不仅耗时,还增加了对攻击的相应时间。
只管已有一些研究利用机器学习技术从安全文档中自动提取信息,但这些领域特定的AI模型在处置惩罚多样化和不断厘革的攻击技术时表现有限。因此,本文提出了一种AI智能体,利用大语言模型(如GPT-4),自动化处置惩罚CTI报告中的重复性任务,从而进步SOC的效率,减轻分析师的工作负担。
研究方法
本文提出的AI智能体通过八个步骤自动化处置惩罚网络威胁情报(CTI)报告。
起首,将CTI报告按段落分割,并利用大语言模型(LLMs)提取每段中的攻击指标(IOCs)。
其次,采用多次运行LLMs并举行投票机制,联合检索增强过滤,净化提取结果。然后,通过检索增强匹配机制区分捕获组和非捕获组,生成正则表达式(Regex)。
第三,利用LLMs识别IOCs之间的依赖关系,分类并验证每个依赖关系。
最后,构建威胁情报关系图,表现IOCs之间的联系。通过这些步骤,AI智能体能够自动提取CTI报告中的关键信息,生成准确的Regex,并提供关系图,帮助安全运营中央(SOC)快速、高效地应对网络威胁。
AI智能体概述
研究者的AI智能体工作流程分为两部门。起首,研究者将CTI报告分段,利用LLM(如GPT-4)提取每段中的攻击指标(IOC)。其次,通过多次运行LLM和检索增强过滤净化相应。第三,研究者区分IOC字符串中的捕获组和非捕获组,并生成用于SIEM规则的正则表达式(Regex),通过Regex测试器验证其准确性。之后,研究者识别IOC之间的依赖关系,对其举行分类和验证。最后,研究者构建关系图,表现IOC之间的联系。该流程有效办理了自动化处置惩罚CTI报告中的多个技术挑战,进步了SOC的效率和准确性。
研究评估
研究者在50多份网络威胁情报(CTI)报告上对AI智能体举行了测试,结果表明该智能体能够有效识别和处置惩罚大量的攻击指标(IOCs)。在实行中,LLMs识别了凌驾2900个潜在的IOCs,通过净化后确定了约2300个有效IOCs,包括文件名、域名、哈希值、IP地点、下令行和注册表键值。
研究者发现,AI智能体生成了约2200个正则表达式(Regex),并成功构建了威胁情报关系图。相比手动识别的真真相况,AI智能体仅遗漏了3%的IOCs。这些结果表明,AI智能体不仅显著进步了CTI报告处置惩罚的效率,还大幅减少了分析师的工作负担,有助于安全运营中央(SOC)更快速地相应网络攻击。
论文结论
本文提出了一种创新的AI智能体,旨在自动化处置惩罚网络威胁情报(CTI)报告中的重复性任务。通过利用大语言模型(LLMs,如GPT-4)的强大能力,该智能体能够准确提取CTI报告中的重要信息,生成正则表达式(Regex),并构建威胁情报关系图。这不仅减轻了安全分析师的工作负担,还显著进步了安全运营中央(SOC)的效率和相应速度。
实行结果表明,该AI智能体在识别和处置惩罚攻击指标(IOCs)方面具有高效性和准确性。总体而言,本文的研究为自动化CTI分析工作流提供了一种有效的办理方案,具有广泛的应用前景。
原作者:论文解读智能体
校对:小椰风
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
