Retrieval-Augmented LLMs for Security Incident Analysis - 专知论文

会员服务 ·

0

事件 · 分析 · 语言模型 · 事件分析 · 系统 ·

Retrieval-Augmented LLMs for Security Incident Analysis

翻译：面向安全事件分析的检索增强大语言模型

Xavier Cadet,Aditya Vikram Singh,Harsh Mamania,Edward Koh,Alex Fitts,Dirk Van Bruggen,Simona Boboila,Peter Chin,Alina Oprea

from arxiv, In ACM Conference on AI and Agentic Systems, CAIS 2026, San Jose, CA, USA

Investigating cybersecurity incidents requires collecting and analyzing evidence from multiple log sources, including intrusion detection alerts, network traffic records, and authentication events. This process is labor-intensive: analysts must sift through large volumes of data to identify relevant indicators and piece together what happened. We present a RAG-based system that performs security incident analysis through targeted query-based filtering and LLM semantic reasoning. The system uses a query library with associated MITRE ATT&CK techniques to extract indicators from raw logs, then retrieves relevant context to answer forensic questions and reconstruct attack sequences. We evaluate the system with eight LLM configurations on malware traffic incidents and a multi-stage Active Directory attack. We find that LLMs have different performance and tradeoffs, with Claude Sonnet 4 achieving 94% and DeepSeek V3 achieving 89% average recall across 17 malware scenarios, while DeepSeek costs 15$\times$ less than Claude per analysis, and locally-deployed Llama 3.1:70b achieves 81% recall at zero per-query cost. Attack step detection on the Active Directory scenario reaches 100% precision and up to 96% recall with an enumeration prompt. These results demonstrate that combining targeted query-based filtering with RAG-based retrieval -- confirmed essential by ablation studies -- enables accurate, cost-effective security analysis within LLM context limits.

翻译：调查网络安全事件需要收集并分析来自多个日志源的证据，包括入侵检测告警、网络流量记录以及认证事件。这一过程劳动密集：分析师必须筛选大量数据以识别相关指标并还原事件全貌。我们提出一个基于检索增强生成（RAG）的系统，通过目标化查询过滤与大语言模型语义推理执行安全事件分析。该系统利用包含关联MITRE ATT&CK技术的查询库从原始日志中提取指标，随后检索相关上下文以回答取证问题并重构攻击序列。我们采用八种大语言模型配置在恶意软件流量事件及多阶段活动目录攻击场景下评估系统。研究发现，不同大语言模型在性能与权衡方面存在差异：Claude Sonnet 4在17个恶意软件场景中平均召回率达94%，DeepSeek V3达89%，但DeepSeek单次分析成本仅为Claude的1/15，而本地部署的Llama 3.1:70b在零单次查询成本下实现81%召回率。在活动目录场景的攻击步骤检测中，通过枚举提示达到100%精确率与最高96%召回率。这些结果表明，将目标化查询过滤与基于RAG的检索相结合（消融实验证实其必要性）能在LLM上下文长度限制内实现准确、成本可控的安全分析。

0

相关内容

探索大型语言模型在网络安全中的作用：一项系统综述

探索大型语言模型在网络安全中的作用：一项系统综述

专知会员服务

21+阅读 · 2025年4月27日

迈向可信的检索增强生成：大语言模型综述

迈向可信的检索增强生成：大语言模型综述

专知会员服务

30+阅读 · 2025年2月12日

定制化大型语言模型的图检索增强生成综述

定制化大型语言模型的图检索增强生成综述

专知会员服务

38+阅读 · 2025年1月28日

【书籍】检索增强生成（RAG）在大规模语言模型（LLM）应用中的应用

【书籍】检索增强生成（RAG）在大规模语言模型（LLM）应用中的应用

专知会员服务

71+阅读 · 2024年10月7日

【KDD2024教程】RAG遇上LLMs：迈向检索增强的大语言模型

【KDD2024教程】RAG遇上LLMs：迈向检索增强的大语言模型

专知会员服务

68+阅读 · 2024年9月7日

《使用大语言模型（LLM）对安全作战中心的威胁情报分析工作流程实现自动化》

《使用大语言模型（LLM）对安全作战中心的威胁情报分析工作流程实现自动化》

专知会员服务

33+阅读 · 2024年8月2日

RAG 与 LLMs 的结合 - 迈向检索增强的大型语言模型综述

RAG 与 LLMs 的结合 - 迈向检索增强的大型语言模型综述

专知会员服务

101+阅读 · 2024年5月13日

大型语言模型网络安全综述

大型语言模型网络安全综述

专知会员服务

68+阅读 · 2024年5月12日

【WWW2024】元认知检索-增强大型语言模型

【WWW2024】元认知检索-增强大型语言模型

专知会员服务

50+阅读 · 2024年2月26日

RAG+LLM=？同济大学等最新《大型语言模型的检索增强生成》综述

RAG+LLM=？同济大学等最新《大型语言模型的检索增强生成》综述

专知会员服务

111+阅读 · 2023年12月19日

《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告

《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告

专知

11+阅读 · 2022年10月28日

【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告，附中文版pdf

【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告，附中文版pdf

专知

91+阅读 · 2022年4月17日

NLP 事件抽取综述（中）—— 模型篇

NLP 事件抽取综述（中）—— 模型篇

深度学习自然语言处理

21+阅读 · 2020年12月28日

论文浅尝 | 探索将预训练语言模型用于事件抽取和事件生成

论文浅尝 | 探索将预训练语言模型用于事件抽取和事件生成

开放知识图谱

26+阅读 · 2019年11月8日

视频分析/多模态学习论文、代码、数据集大列表

视频分析/多模态学习论文、代码、数据集大列表

专知

57+阅读 · 2019年7月13日

大数据安全技术浅析

大数据安全技术浅析

计算机与网络安全

15+阅读 · 2019年4月24日

【大数据】海量数据分析能力形成和大数据关键技术

【大数据】海量数据分析能力形成和大数据关键技术

产业智能官

17+阅读 · 2018年10月29日

NetworkMiner - 网络取证分析工具

NetworkMiner - 网络取证分析工具

黑白之道

16+阅读 · 2018年6月29日

网络安全态势感知浅析

网络安全态势感知浅析

计算机与网络安全

18+阅读 · 2017年10月13日

福利 | 最全面超大规模数据集下载链接汇总

福利 | 最全面超大规模数据集下载链接汇总

AI研习社

26+阅读 · 2017年9月7日

网络安全威胁踪源分析方法研究

国家自然科学基金

19+阅读 · 2015年12月31日

面向社交大数据的热点事件预测

国家自然科学基金

11+阅读 · 2015年12月31日

基于大数据分析的犯罪模式挖掘与犯罪预测研究

国家自然科学基金

7+阅读 · 2015年12月31日

面向微博数据的位置相关事件检测和时空异常聚类模式挖掘研究

国家自然科学基金

0+阅读 · 2014年12月31日

面向事件分析的信息意图检测、建模与群体意图推理技术研究

国家自然科学基金

12+阅读 · 2014年12月31日

复杂需求场景驱动的软件安全防护模型检测技术研究

国家自然科学基金

0+阅读 · 2014年12月31日

基于自适应模型检测的安全协议自动建模与设计研究

国家自然科学基金

1+阅读 · 2014年12月31日

大数据环境下多媒体网络舆情信息的语义识别与危机响应研究

国家自然科学基金

4+阅读 · 2014年12月31日

多域网络安全的异构策略语义形态与验证机制

国家自然科学基金

0+阅读 · 2014年12月31日

多语言大数据环境下的复杂网络行为分析、预测和干预

国家自然科学基金

4+阅读 · 2014年12月31日

LTRR: Learning To Rank Retrievers for LLMs

Arxiv

0+阅读 · 4月18日

Towards Secure Retrieval-Augmented Generation: A Comprehensive Review of Threats, Defenses and Benchmarks

Arxiv

0+阅读 · 3月23日

Retrieval-Augmented LLMs for Security Incident Analysis

Arxiv

0+阅读 · 3月20日

RESCUE: Retrieval Augmented Secure Code Generation

Arxiv

0+阅读 · 3月16日

RedSage: A Cybersecurity Generalist LLM

Arxiv

0+阅读 · 3月9日

Before You Hand Over the Wheel: Evaluating LLMs for Security Incident Analysis

Arxiv

0+阅读 · 3月6日

Multi-Head RAG: Solving Multi-Aspect Problems with LLMs

Arxiv

0+阅读 · 2月25日

LLM Scalability Risk for Agentic-AI and Model Supply Chain Security

Arxiv

0+阅读 · 2月22日

A Survey on RAG Meets LLMs: Towards Retrieval-Augmented Large Language Models

Arxiv

15+阅读 · 2024年5月10日

A Survey on Retrieval-Augmented Text Generation for Large Language Models

Arxiv

17+阅读 · 2024年4月17日

VIP会员

文章信息

相关主题

最新内容

美国军方使用的10种反无人机武器（2026年更新）

美国军方使用的10种反无人机武器（2026年更新）

专知会员服务

3+阅读 · 今天4:07

智能技术在战场指挥控制系统中的应用（附中英文版下载）

智能技术在战场指挥控制系统中的应用（附中英文版下载）

专知会员服务

1+阅读 · 今天3:21

北约《俄乌战争经验教训课程指南：25份课程计划》150页

北约《俄乌战争经验教训课程指南：25份课程计划》150页

专知会员服务

4+阅读 · 今天3:03

《不确定性环境下基于智能体框架中实时多机器人任务分配的贝叶斯网络》博士论文

《不确定性环境下基于智能体框架中实时多机器人任务分配的贝叶斯网络》博士论文

专知会员服务

2+阅读 · 今天2:59

首场人工智能战争——俄乌战争（中文版、原文下载）

首场人工智能战争——俄乌战争（中文版、原文下载）

专知会员服务

10+阅读 · 今天1:52

《提升战术级作战规划水平：城市进攻作战中的机动样式研究》

《提升战术级作战规划水平：城市进攻作战中的机动样式研究》

专知会员服务

3+阅读 · 今天1:36

《人员配置对陆军突击清障车与联合突击桥战备状态的影响研究》

《人员配置对陆军突击清障车与联合突击桥战备状态的影响研究》

专知会员服务

2+阅读 · 今天1:28

管理咨询报告：美国国防部量子技术开发与实施评估（译文）

管理咨询报告：美国国防部量子技术开发与实施评估（译文）

专知会员服务

1+阅读 · 今天1:16

【博士论文】可解释人工智能的数学基础与 Bandit 优化的研究进展

【博士论文】可解释人工智能的数学基础与 Bandit 优化的研究进展

专知会员服务

6+阅读 · 5月8日

生成-过滤-控制-重放：LLM强化学习中Rollout策略的全面综述

生成-过滤-控制-重放：LLM强化学习中Rollout策略的全面综述

专知会员服务

3+阅读 · 5月8日

认知战与交战性质的改变：神经战略视角

认知战与交战性质的改变：神经战略视角

专知会员服务

5+阅读 · 5月8日

美国《国防授权法案》指令要求界定“认知战”：区分相关概念

美国《国防授权法案》指令要求界定“认知战”：区分相关概念

专知会员服务

4+阅读 · 5月8日

人工智能对特定国防资源管理流程的影响（万字长文）

人工智能对特定国防资源管理流程的影响（万字长文）

专知会员服务

5+阅读 · 5月8日

《多域作战概念实证检验：美军“史诗怒火”行动中跨域协同的地理空间混合方法分析研究》245页报告

《多域作战概念实证检验：美军“史诗怒火”行动中跨域协同的地理空间混合方法分析研究》245页报告

专知会员服务

9+阅读 · 5月8日

《预设时间的单次协同估计、制导与控制框架：实现同时目标拦截》2026最新40页报告

《预设时间的单次协同估计、制导与控制框架：实现同时目标拦截》2026最新40页报告

专知会员服务

10+阅读 · 5月8日

相关VIP内容

探索大型语言模型在网络安全中的作用：一项系统综述

探索大型语言模型在网络安全中的作用：一项系统综述

专知会员服务

21+阅读 · 2025年4月27日

迈向可信的检索增强生成：大语言模型综述

迈向可信的检索增强生成：大语言模型综述

专知会员服务

30+阅读 · 2025年2月12日

定制化大型语言模型的图检索增强生成综述

定制化大型语言模型的图检索增强生成综述

专知会员服务

38+阅读 · 2025年1月28日

【书籍】检索增强生成（RAG）在大规模语言模型（LLM）应用中的应用

【书籍】检索增强生成（RAG）在大规模语言模型（LLM）应用中的应用

专知会员服务

71+阅读 · 2024年10月7日

【KDD2024教程】RAG遇上LLMs：迈向检索增强的大语言模型

【KDD2024教程】RAG遇上LLMs：迈向检索增强的大语言模型

专知会员服务

68+阅读 · 2024年9月7日

《使用大语言模型（LLM）对安全作战中心的威胁情报分析工作流程实现自动化》

《使用大语言模型（LLM）对安全作战中心的威胁情报分析工作流程实现自动化》

专知会员服务

33+阅读 · 2024年8月2日

RAG 与 LLMs 的结合 - 迈向检索增强的大型语言模型综述

RAG 与 LLMs 的结合 - 迈向检索增强的大型语言模型综述

专知会员服务

101+阅读 · 2024年5月13日

大型语言模型网络安全综述

大型语言模型网络安全综述

专知会员服务

68+阅读 · 2024年5月12日

【WWW2024】元认知检索-增强大型语言模型

【WWW2024】元认知检索-增强大型语言模型

专知会员服务

50+阅读 · 2024年2月26日

RAG+LLM=？同济大学等最新《大型语言模型的检索增强生成》综述

RAG+LLM=？同济大学等最新《大型语言模型的检索增强生成》综述

专知会员服务

111+阅读 · 2023年12月19日

热门VIP内容

开通专知VIP会员享更多权益服务

智能技术在战场指挥控制系统中的应用（附中英文版下载）

《不确定性环境下基于智能体框架中实时多机器人任务分配的贝叶斯网络》博士论文

美国军方使用的10种反无人机武器（2026年更新）

北约《俄乌战争经验教训课程指南：25份课程计划》150页

相关资讯

《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告

《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告

专知

11+阅读 · 2022年10月28日

【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告，附中文版pdf

【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告，附中文版pdf

专知

91+阅读 · 2022年4月17日

NLP 事件抽取综述（中）—— 模型篇

NLP 事件抽取综述（中）—— 模型篇

深度学习自然语言处理

21+阅读 · 2020年12月28日

论文浅尝 | 探索将预训练语言模型用于事件抽取和事件生成

论文浅尝 | 探索将预训练语言模型用于事件抽取和事件生成

开放知识图谱

26+阅读 · 2019年11月8日

视频分析/多模态学习论文、代码、数据集大列表

视频分析/多模态学习论文、代码、数据集大列表

专知

57+阅读 · 2019年7月13日

大数据安全技术浅析

大数据安全技术浅析

计算机与网络安全

15+阅读 · 2019年4月24日

【大数据】海量数据分析能力形成和大数据关键技术

【大数据】海量数据分析能力形成和大数据关键技术

产业智能官

17+阅读 · 2018年10月29日

NetworkMiner - 网络取证分析工具

NetworkMiner - 网络取证分析工具

黑白之道

16+阅读 · 2018年6月29日

网络安全态势感知浅析

网络安全态势感知浅析

计算机与网络安全

18+阅读 · 2017年10月13日

福利 | 最全面超大规模数据集下载链接汇总

福利 | 最全面超大规模数据集下载链接汇总

AI研习社

26+阅读 · 2017年9月7日

相关论文

LTRR: Learning To Rank Retrievers for LLMs

Arxiv

0+阅读 · 4月18日

Towards Secure Retrieval-Augmented Generation: A Comprehensive Review of Threats, Defenses and Benchmarks

Arxiv

0+阅读 · 3月23日

Retrieval-Augmented LLMs for Security Incident Analysis

Arxiv

0+阅读 · 3月20日

RESCUE: Retrieval Augmented Secure Code Generation

Arxiv

0+阅读 · 3月16日

RedSage: A Cybersecurity Generalist LLM

Arxiv

0+阅读 · 3月9日

Before You Hand Over the Wheel: Evaluating LLMs for Security Incident Analysis

Arxiv

0+阅读 · 3月6日

Multi-Head RAG: Solving Multi-Aspect Problems with LLMs

Arxiv

0+阅读 · 2月25日

LLM Scalability Risk for Agentic-AI and Model Supply Chain Security

Arxiv

0+阅读 · 2月22日

A Survey on RAG Meets LLMs: Towards Retrieval-Augmented Large Language Models

Arxiv

15+阅读 · 2024年5月10日

A Survey on Retrieval-Augmented Text Generation for Large Language Models

Arxiv

17+阅读 · 2024年4月17日

相关基金

网络安全威胁踪源分析方法研究

国家自然科学基金

19+阅读 · 2015年12月31日

面向社交大数据的热点事件预测

国家自然科学基金

11+阅读 · 2015年12月31日

基于大数据分析的犯罪模式挖掘与犯罪预测研究

国家自然科学基金

7+阅读 · 2015年12月31日

面向微博数据的位置相关事件检测和时空异常聚类模式挖掘研究

国家自然科学基金

0+阅读 · 2014年12月31日

面向事件分析的信息意图检测、建模与群体意图推理技术研究

国家自然科学基金

12+阅读 · 2014年12月31日

复杂需求场景驱动的软件安全防护模型检测技术研究

国家自然科学基金

0+阅读 · 2014年12月31日

基于自适应模型检测的安全协议自动建模与设计研究

国家自然科学基金

1+阅读 · 2014年12月31日

大数据环境下多媒体网络舆情信息的语义识别与危机响应研究

国家自然科学基金

4+阅读 · 2014年12月31日

多域网络安全的异构策略语义形态与验证机制

国家自然科学基金

0+阅读 · 2014年12月31日

多语言大数据环境下的复杂网络行为分析、预测和干预

国家自然科学基金

4+阅读 · 2014年12月31日

微信扫码咨询专知VIP会员