会员服务
事件 · 上下文 · 端到端 · 攻击 · 系统 ·
2 月 13 日
In-Context Autonomous Network Incident Response: An End-to-End Large Language Model Agent Approach
翻译:基于上下文学习的自主网络事件响应:一种端到端大语言模型智能体方法
Yiran Gao,Kim Hammar,Tao Li
Yiran Gao,Kim Hammar,Tao Li
from arxiv, 2026 AAAI Summer Symposium on Human-Aware AI Agents for the Cyber Battlefield

Rapidly evolving cyberattacks demand incident response systems that can autonomously learn and adapt to changing threats. Prior work has extensively explored the reinforcement learning approach, which involves learning response strategies through extensive simulation of the incident. While this approach can be effective, it requires handcrafted modeling of the simulator and suppresses useful semantics from raw system logs and alerts. To address these limitations, we propose to leverage large language models' (LLM) pre-trained security knowledge and in-context learning to create an end-to-end agentic solution for incident response planning. Specifically, our agent integrates four functionalities, perception, reasoning, planning, and action, into one lightweight LLM (14b model). Through fine-tuning and chain-of-thought reasoning, our LLM agent is capable of processing system logs and inferring the underlying network state (perception), updating its conjecture of attack models (reasoning), simulating consequences under different response strategies (planning), and generating an effective response (action). By comparing LLM-simulated outcomes with actual observations, the LLM agent repeatedly refines its attack conjecture and corresponding response, thereby demonstrating in-context adaptation. Our agentic approach is free of modeling and can run on commodity hardware. When evaluated on incident logs reported in the literature, our agent achieves recovery up to 23% faster than those of frontier LLMs.


翻译:快速演变的网络攻击要求事件响应系统能够自主学习并适应不断变化的威胁。先前研究广泛探索了强化学习方法,该方法通过大量模拟事件来学习响应策略。尽管该方法可能有效,但需要手工构建模拟器模型,并抑制了原始系统日志和告警中的有用语义信息。为应对这些局限性,我们提出利用大语言模型(LLM)预训练的安全知识与上下文学习能力,构建端到端的智能体解决方案以实现事件响应规划。具体而言,我们的智能体将感知、推理、规划与执行四项功能集成于一个轻量化LLM(140亿参数模型)中。通过微调与思维链推理,该LLM智能体能够处理系统日志并推断底层网络状态(感知),更新其对攻击模型的推测(推理),模拟不同响应策略下的后果(规划),并生成有效响应(执行)。通过对比LLM模拟结果与实际观测数据,该智能体持续优化其攻击推测与对应响应策略,从而展现上下文自适应能力。我们的智能体方法无需建模过程,可在商用硬件上运行。基于文献报道的事件日志进行评估,该智能体实现恢复速度比前沿LLM快达23%。
0
下载
关闭预览

相关内容

《面向军事网络的下一代云事件响应》
《面向军事网络的下一代云事件响应》
专知会员服务
12+阅读 · 2025年11月2日
探索大型语言模型在网络安全中的作用:一项系统综述
探索大型语言模型在网络安全中的作用:一项系统综述
专知会员服务
20+阅读 · 2025年4月27日
大型语言模型网络安全综述
大型语言模型网络安全综述
专知会员服务
67+阅读 · 2024年5月12日
【AAAI2024】基于对比上下文学习的自定义语言模型响应
【AAAI2024】基于对比上下文学习的自定义语言模型响应
专知会员服务
26+阅读 · 2024年2月1日
《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文
《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文
专知会员服务
32+阅读 · 2023年5月14日
【AI+军事】附论文 《敏感还是不敏感?如何攻击和捍卫文件安全分类模型》
【AI+军事】附论文 《敏感还是不敏感?如何攻击和捍卫文件安全分类模型》
专知会员服务
18+阅读 · 2022年4月26日
纽约大学等《网络、博弈和学习的融合:网络上多智能体决策的博弈论框架》,60页pdf
纽约大学等《网络、博弈和学习的融合:网络上多智能体决策的博弈论框架》,60页pdf
专知会员服务
134+阅读 · 2022年4月3日
对抗机器学习在网络入侵检测领域的应用
对抗机器学习在网络入侵检测领域的应用
专知会员服务
35+阅读 · 2022年1月4日
【论文推荐】基于机器学习的5G网络异常检测,Machine Learning based Anomaly Detection for 5G Networks
【论文推荐】基于机器学习的5G网络异常检测,Machine Learning based Anomaly Detection for 5G Networks
专知会员服务
36+阅读 · 2020年3月12日
【元学习 | 论文】元学习与动态记忆为基础的原型网络的小样本突发事件检测,浙江大学,阿里巴巴
【元学习 | 论文】元学习与动态记忆为基础的原型网络的小样本突发事件检测,浙江大学,阿里巴巴
专知会员服务
57+阅读 · 2019年11月21日
多模态怎么用自监督?爱丁堡等最新《自监督多模态学习》综述,详述目标函数、数据对齐和模型架构
多模态怎么用自监督?爱丁堡等最新《自监督多模态学习》综述,详述目标函数、数据对齐和模型架构
专知
10+阅读 · 2023年4月6日
「基于通信的多智能体强化学习」 进展综述
「基于通信的多智能体强化学习」 进展综述
专知
32+阅读 · 2022年11月12日
【牛津大学博士论文】强化学习系统的数据高效部署,165页pdf
【牛津大学博士论文】强化学习系统的数据高效部署,165页pdf
专知
14+阅读 · 2022年10月15日
【牛津大学博士论文】元强化学习的快速自适应,217页pdf
【牛津大学博士论文】元强化学习的快速自适应,217页pdf
专知
29+阅读 · 2022年9月19日
【AI与军事】机器学习的军事应用,一种文献计量视角
【AI与军事】机器学习的军事应用,一种文献计量视角
专知
54+阅读 · 2022年4月25日
最新最全《深度元学习》2021综述论文,68页pdf,A Survey of Deep Meta-Learning
最新最全《深度元学习》2021综述论文,68页pdf,A Survey of Deep Meta-Learning
专知
11+阅读 · 2021年4月23日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
论文浅尝 | 基于动态记忆的原型网络进行元学习以实现少样本事件探测
论文浅尝 | 基于动态记忆的原型网络进行元学习以实现少样本事件探测
开放知识图谱
37+阅读 · 2019年12月3日
最新《深度神经网络自监督视觉特征学习综述》论文(附24页全文下载)
最新《深度神经网络自监督视觉特征学习综述》论文(附24页全文下载)
专知
36+阅读 · 2019年2月20日
自然语言处理中的自注意力机制(Self-Attention Mechanism)
自然语言处理中的自注意力机制(Self-Attention Mechanism)
PaperWeekly
22+阅读 · 2018年3月28日
针对大规模环境下复杂任务的策略搜索强化学习方法研究
国家自然科学基金
42+阅读 · 2015年12月31日
面向多主体的应急预案体系语义模型研究
国家自然科学基金
1+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
面向大数据的安全迁移学习方法
国家自然科学基金
31+阅读 · 2015年12月31日
面向主体行为网的自适应作战机理研究
国家自然科学基金
24+阅读 · 2014年12月31日
群体性突发事件预警的超网络方法研究
国家自然科学基金
2+阅读 · 2014年12月31日
社交网络环境下基于协同过滤的上下文感知推荐系统研究
国家自然科学基金
6+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
大数据环境下多媒体网络舆情信息的语义识别与危机响应研究
国家自然科学基金
4+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
From Prompts to Protection: Large Language Model-Enabled In-Context Learning for Smart Public Safety UAV
Arxiv
0+阅读 · 2月17日
Agentic AI for Cybersecurity: A Meta-Cognitive Architecture for Governable Autonomy
Arxiv
0+阅读 · 2月16日
Towards Production-Worthy Simulation for Autonomous Cyber Operations
Arxiv
0+阅读 · 2月13日
Large Language Model Integration with Reinforcement Learning to Augment Decision-Making in Autonomous Cyber Operations
Arxiv
0+阅读 · 2月13日
Deep Learning for Contextualized NetFlow-Based Network Intrusion Detection: Methods, Data, Evaluation and Deployment
Arxiv
0+阅读 · 2月13日
Unknown Attack Detection in IoT Networks using Large Language Models: A Robust, Data-efficient Approach
Arxiv
0+阅读 · 2月12日
Agentic Knowledge Distillation: Autonomous Training of Small Language Models for SMS Threat Detection
Arxiv
0+阅读 · 2月11日
Uncovering Vulnerabilities of LLM-Assisted Cyber Threat Intelligence
Arxiv
0+阅读 · 2月6日
Adaptive Constraint Propagation: Scaling Structured Inference for Large Language Models via Meta-Reinforcement Learning
Arxiv
0+阅读 · 1月25日
Context-aware Learned Mesh-based Simulation via Trajectory-Level Meta-Learning
Arxiv
0+阅读 · 1月21日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
事件
上下文
端到端
攻击
系统
相关VIP内容
《面向军事网络的下一代云事件响应》
《面向军事网络的下一代云事件响应》
专知会员服务
12+阅读 · 2025年11月2日
探索大型语言模型在网络安全中的作用:一项系统综述
探索大型语言模型在网络安全中的作用:一项系统综述
专知会员服务
20+阅读 · 2025年4月27日
大型语言模型网络安全综述
大型语言模型网络安全综述
专知会员服务
67+阅读 · 2024年5月12日
【AAAI2024】基于对比上下文学习的自定义语言模型响应
【AAAI2024】基于对比上下文学习的自定义语言模型响应
专知会员服务
26+阅读 · 2024年2月1日
《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文
《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文
专知会员服务
32+阅读 · 2023年5月14日
【AI+军事】附论文 《敏感还是不敏感?如何攻击和捍卫文件安全分类模型》
【AI+军事】附论文 《敏感还是不敏感?如何攻击和捍卫文件安全分类模型》
专知会员服务
18+阅读 · 2022年4月26日
纽约大学等《网络、博弈和学习的融合:网络上多智能体决策的博弈论框架》,60页pdf
纽约大学等《网络、博弈和学习的融合:网络上多智能体决策的博弈论框架》,60页pdf
专知会员服务
134+阅读 · 2022年4月3日
对抗机器学习在网络入侵检测领域的应用
对抗机器学习在网络入侵检测领域的应用
专知会员服务
35+阅读 · 2022年1月4日
【论文推荐】基于机器学习的5G网络异常检测,Machine Learning based Anomaly Detection for 5G Networks
【论文推荐】基于机器学习的5G网络异常检测,Machine Learning based Anomaly Detection for 5G Networks
专知会员服务
36+阅读 · 2020年3月12日
【元学习 | 论文】元学习与动态记忆为基础的原型网络的小样本突发事件检测,浙江大学,阿里巴巴
【元学习 | 论文】元学习与动态记忆为基础的原型网络的小样本突发事件检测,浙江大学,阿里巴巴
专知会员服务
57+阅读 · 2019年11月21日
热门VIP内容
相关资讯
多模态怎么用自监督?爱丁堡等最新《自监督多模态学习》综述,详述目标函数、数据对齐和模型架构
多模态怎么用自监督?爱丁堡等最新《自监督多模态学习》综述,详述目标函数、数据对齐和模型架构
专知
10+阅读 · 2023年4月6日
「基于通信的多智能体强化学习」 进展综述
「基于通信的多智能体强化学习」 进展综述
专知
32+阅读 · 2022年11月12日
【牛津大学博士论文】强化学习系统的数据高效部署,165页pdf
【牛津大学博士论文】强化学习系统的数据高效部署,165页pdf
专知
14+阅读 · 2022年10月15日
【牛津大学博士论文】元强化学习的快速自适应,217页pdf
【牛津大学博士论文】元强化学习的快速自适应,217页pdf
专知
29+阅读 · 2022年9月19日
【AI与军事】机器学习的军事应用,一种文献计量视角
【AI与军事】机器学习的军事应用,一种文献计量视角
专知
54+阅读 · 2022年4月25日
最新最全《深度元学习》2021综述论文,68页pdf,A Survey of Deep Meta-Learning
最新最全《深度元学习》2021综述论文,68页pdf,A Survey of Deep Meta-Learning
专知
11+阅读 · 2021年4月23日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
论文浅尝 | 基于动态记忆的原型网络进行元学习以实现少样本事件探测
论文浅尝 | 基于动态记忆的原型网络进行元学习以实现少样本事件探测
开放知识图谱
37+阅读 · 2019年12月3日
最新《深度神经网络自监督视觉特征学习综述》论文(附24页全文下载)
最新《深度神经网络自监督视觉特征学习综述》论文(附24页全文下载)
专知
36+阅读 · 2019年2月20日
自然语言处理中的自注意力机制(Self-Attention Mechanism)
自然语言处理中的自注意力机制(Self-Attention Mechanism)
PaperWeekly
22+阅读 · 2018年3月28日
相关论文
From Prompts to Protection: Large Language Model-Enabled In-Context Learning for Smart Public Safety UAV
Arxiv
0+阅读 · 2月17日
Agentic AI for Cybersecurity: A Meta-Cognitive Architecture for Governable Autonomy
Arxiv
0+阅读 · 2月16日
Towards Production-Worthy Simulation for Autonomous Cyber Operations
Arxiv
0+阅读 · 2月13日
Large Language Model Integration with Reinforcement Learning to Augment Decision-Making in Autonomous Cyber Operations
Arxiv
0+阅读 · 2月13日
Deep Learning for Contextualized NetFlow-Based Network Intrusion Detection: Methods, Data, Evaluation and Deployment
Arxiv
0+阅读 · 2月13日
Unknown Attack Detection in IoT Networks using Large Language Models: A Robust, Data-efficient Approach
Arxiv
0+阅读 · 2月12日
Agentic Knowledge Distillation: Autonomous Training of Small Language Models for SMS Threat Detection
Arxiv
0+阅读 · 2月11日
Uncovering Vulnerabilities of LLM-Assisted Cyber Threat Intelligence
Arxiv
0+阅读 · 2月6日
Adaptive Constraint Propagation: Scaling Structured Inference for Large Language Models via Meta-Reinforcement Learning
Arxiv
0+阅读 · 1月25日
Context-aware Learned Mesh-based Simulation via Trajectory-Level Meta-Learning
Arxiv
0+阅读 · 1月21日
相关基金
针对大规模环境下复杂任务的策略搜索强化学习方法研究
国家自然科学基金
42+阅读 · 2015年12月31日
面向多主体的应急预案体系语义模型研究
国家自然科学基金
1+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
面向大数据的安全迁移学习方法
国家自然科学基金
31+阅读 · 2015年12月31日
面向主体行为网的自适应作战机理研究
国家自然科学基金
24+阅读 · 2014年12月31日
群体性突发事件预警的超网络方法研究
国家自然科学基金
2+阅读 · 2014年12月31日
社交网络环境下基于协同过滤的上下文感知推荐系统研究
国家自然科学基金
6+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
大数据环境下多媒体网络舆情信息的语义识别与危机响应研究
国家自然科学基金
4+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top