会员服务
控制器 · 可辨认的 · Automator · 声明 · 讲稿 ·
5 月 8 日
An Automated Framework for Cybersecurity Policy Compliance Assessment Against Security Control Standards
翻译:面向安全控制标准的网络安全策略合规性评估自动化框架
Bikash Saha,Sandeep Kumar Shukla
Bikash Saha,Sandeep Kumar Shukla

Organizational cybersecurity policies are often examined to determine whether they adequately comply standard security controls. This task is difficult because control statements are abstract, whereas policy documents describe governance practices in varied natural language. As a result, policy-based control assessment is time-consuming, difficult to standardize, and often difficult to document in a traceable manner. To address this gap, we present PROPARAG, an audit support approach for evaluating organizational cybersecurity policies against security controls autonomously. For each control, the approach retrieves relevant policy evidence, assesses coverage, identifies missing elements, and generates supporting explanations and recommendations. We evaluate PROPARAG on two real-world organizational policy corpora using 1,007 NIST SP 800-53 controls across both closed-source and open-source large language models (LLMs). The framework achieves F1 scores of 88.54 on OrgA and 82.31 on OrgB. The evaluation also shows that PROPARAG identifies relevant gaps in documented organizational policies and generates grounded recommendations for each identified gap. This research provides foundation for LLM-powered autonomous control-level assessment of organizational cybersecurity policies.


翻译:组织网络安全策略常被审查,以确定其是否充分符合标准安全控制措施。由于控制语句具有抽象性,而策略文档以多样化的自然语言描述治理实践,这一任务极具挑战性。因此,基于策略的控制评估既耗时费力、难以标准化,且往往难以形成可追溯的文档记录。为弥合这一差距,我们提出PROPARAG——一种用于自主评估组织网络安全策略对安全控制措施合规性的审计辅助方法。针对每项控制,该方法可检索相关策略证据、评估覆盖范围、识别缺失要素,并生成支持性解释与改进建议。我们在两个真实组织策略语料库上,采用涵盖闭源与开源大语言模型的1,007项NIST SP 800-53控制措施对PROPARAG进行评估。该框架在OrgA与OrgB上分别取得88.54与82.31的F1分数。评估结果同时表明,PROPARAG能识别文档化组织策略中的相关漏洞,并为每个识别漏洞生成基于证据的改进建议。本研究为基于大语言模型的自主化组织网络安全策略控制级评估奠定了基础。
0
下载
关闭预览

相关内容

《军事任务为中心网络安全风险评估中的不确定性》
《军事任务为中心网络安全风险评估中的不确定性》
专知会员服务
10+阅读 · 5月18日
《基于深度学习的软件定义网络模型用于物联网网络威胁检测》
《基于深度学习的软件定义网络模型用于物联网网络威胁检测》
专知会员服务
11+阅读 · 3月16日
《军事领域人工智能网络安全的数字主权控制框架》
《军事领域人工智能网络安全的数字主权控制框架》
专知会员服务
21+阅读 · 2025年9月20日
《人工智能安全标准体系(V1.0)》(征求意见稿)
《人工智能安全标准体系(V1.0)》(征求意见稿)
专知会员服务
29+阅读 · 2025年3月23日
重磅!国家标准《信息安全技术数据安全风险评估方法》(征求意见稿)发布
重磅!国家标准《信息安全技术数据安全风险评估方法》(征求意见稿)发布
专知会员服务
29+阅读 · 2023年9月3日
《自动化的网络防御:综述》2023最新32页长综述
《自动化的网络防御:综述》2023最新32页长综述
专知会员服务
34+阅读 · 2023年6月19日
重磅!国家标准《人工智能计算平台安全框架》征求意见稿发布,38页pdf详细规定AI计算安全框架
重磅!国家标准《人工智能计算平台安全框架》征求意见稿发布,38页pdf详细规定AI计算安全框架
专知会员服务
75+阅读 · 2023年6月12日
《信息安全技术 区块链技术安全框架》国家标准意见稿,27页pdf
《信息安全技术 区块链技术安全框架》国家标准意见稿,27页pdf
专知会员服务
45+阅读 · 2022年3月7日
《信息安全技术 机器学习算法安全评估规范》国家标准意见稿,33页pdf
《信息安全技术 机器学习算法安全评估规范》国家标准意见稿,33页pdf
专知会员服务
74+阅读 · 2022年2月26日
人工智能安全框架
专知会员服务
64+阅读 · 2021年7月5日
【博士论文】《安全博弈中的分层规划:战略、战术和行动决策的博弈论方法》南加州大学
【博士论文】《安全博弈中的分层规划:战略、战术和行动决策的博弈论方法》南加州大学
专知
24+阅读 · 2022年9月25日
国家标准《信息技术 大数据 数据资产价值评估》(征求意见稿)
国家标准《信息技术 大数据 数据资产价值评估》(征求意见稿)
专知
18+阅读 · 2022年9月9日
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
专知
43+阅读 · 2022年7月27日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
92+阅读 · 2022年4月17日
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
专知
17+阅读 · 2022年4月16日
《人工智能安全测评白皮书》,99页pdf
《人工智能安全测评白皮书》,99页pdf
专知
36+阅读 · 2022年2月26日
重磅!国家标准《信息技术人工智能知识图谱技术框架》征求意见稿发布,35页pdf详细规定知识图谱技术框架
重磅!国家标准《信息技术人工智能知识图谱技术框架》征求意见稿发布,35页pdf详细规定知识图谱技术框架
专知
11+阅读 · 2022年2月19日
图神经网络开发必备组件,NetworkX、稀疏矩阵、稀疏Tensor等
图神经网络开发必备组件,NetworkX、稀疏矩阵、稀疏Tensor等
专知
48+阅读 · 2019年5月10日
专栏 | 神经网络架构搜索(NAS)综述(附AutoML资料推荐)
专栏 | 神经网络架构搜索(NAS)综述(附AutoML资料推荐)
机器之心
13+阅读 · 2018年9月1日
推荐系统、风控模型、知识图谱,竟然都可以用网络挖掘来实现
推荐系统、风控模型、知识图谱,竟然都可以用网络挖掘来实现
数据分析
13+阅读 · 2018年8月15日
面向网络系统的一致性安全隐私分析与防护机制设计
国家自然科学基金
2+阅读 · 2017年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
网络空间安全关键技术研究
国家自然科学基金
20+阅读 · 2015年12月31日
基于调度采样的网络化系统分布式控制策略研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
网络化控制系统安全理论与关键技术
国家自然科学基金
1+阅读 · 2014年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
A data-driven security quantification framework for IoT-based systems
Arxiv
0+阅读 · 6月15日
Certifiable Safe RLHF: Semantic Grounding and Fixed Penalty Constraint Optimization for Safer LLM Alignment
Arxiv
0+阅读 · 6月10日
AgentCanary: A Security Evaluation Framework for Autonomous AI Agents in Real Executable Environments
Arxiv
0+阅读 · 6月9日
Automated Framework to Evaluate and Harden LLM System Instructions against Encoding Attacks
Arxiv
0+阅读 · 6月5日
Explainable AI-Driven Cyber Risk Analytics and Model Reliability Assessment for Intelligent Governance of U.S. Critical Infrastructure: An XGBoost and SHAP-Based Intrusion Detection Framework
Arxiv
0+阅读 · 6月4日
STRIDE-AI: A Threat Modeling Framework for Generative AI Security Assessment
Arxiv
0+阅读 · 5月16日
An Agentic Retrieval Framework for Autonomous Context-Aware Data Quality Assessment
Arxiv
0+阅读 · 5月15日
TSAssistant: A Human-in-the-Loop Agentic Framework for Automated Target Safety Assessment
Arxiv
0+阅读 · 5月8日
Gaming the Metric, Not the Harm: Certifying Safety Audits against Strategic Platform Manipulation
Arxiv
0+阅读 · 5月7日
Automated Cyber Defence: A Review
Arxiv
23+阅读 · 2023年3月8日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
控制器
可辨认的
Automator
声明
讲稿
最新内容
ICML 2026 | CFPO:用反事实策略优化提升多模态推理
ICML 2026 | CFPO:用反事实策略优化提升多模态推理
专知会员服务
1+阅读 · 24分钟前
综述 | 世界动作模型:少做梦,多行动
综述 | 世界动作模型:少做梦,多行动
专知会员服务
1+阅读 · 26分钟前
美以伊冲突:无人机与人工智能的运用
美以伊冲突:无人机与人工智能的运用
专知会员服务
2+阅读 · 38分钟前
《战时图神经网络:整合以色列-伊朗冲突中的网络安全与无人机智能》最新50页文献
《战时图神经网络:整合以色列-伊朗冲突中的网络安全与无人机智能》最新50页文献
专知会员服务
3+阅读 · 49分钟前
《特种部队在透明战场中的生存力》最新报告
《特种部队在透明战场中的生存力》最新报告
专知会员服务
2+阅读 · 58分钟前
《自主无人机蜂群协同与控制系统:人工智能赋能的战场协同与自主任务编排平台》
《自主无人机蜂群协同与控制系统:人工智能赋能的战场协同与自主任务编排平台》
专知会员服务
2+阅读 · 今天14:07
《人工智能生成的零日漏洞:对未来作战的影响》
《人工智能生成的零日漏洞:对未来作战的影响》
专知会员服务
3+阅读 · 今天14:03
《理解伙伴国在防务能力选择中的偏好:探索美国解决方案的替代选择》美智库200页报告
《理解伙伴国在防务能力选择中的偏好:探索美国解决方案的替代选择》美智库200页报告
专知会员服务
2+阅读 · 今天13:59
ICML 2026 | 边界嵌入塑形:用自适应对比学习破解图结构纠缠
ICML 2026 | 边界嵌入塑形:用自适应对比学习破解图结构纠缠
专知会员服务
5+阅读 · 6月22日
综述 | 3D场景图:开放挑战与未来方向
综述 | 3D场景图:开放挑战与未来方向
专知会员服务
8+阅读 · 6月22日
《国防工业6.0:全自主作战系统、量子-人工智能融合与新一代战略威慑》
《国防工业6.0:全自主作战系统、量子-人工智能融合与新一代战略威慑》
专知会员服务
7+阅读 · 6月22日
21世纪的无人机战争
21世纪的无人机战争
专知会员服务
4+阅读 · 6月22日
《伊朗与以色列-美国热战及其对数字技术的影响》
《伊朗与以色列-美国热战及其对数字技术的影响》
专知会员服务
5+阅读 · 6月22日
《量子技术的军事任务技术适配与利用》
《量子技术的军事任务技术适配与利用》
专知会员服务
5+阅读 · 6月22日
《美国陆军军官学校(西点军校)本科生科研中生成式人工智能的使用》
《美国陆军军官学校(西点军校)本科生科研中生成式人工智能的使用》
专知会员服务
8+阅读 · 6月22日
相关VIP内容
《军事任务为中心网络安全风险评估中的不确定性》
《军事任务为中心网络安全风险评估中的不确定性》
专知会员服务
10+阅读 · 5月18日
《基于深度学习的软件定义网络模型用于物联网网络威胁检测》
《基于深度学习的软件定义网络模型用于物联网网络威胁检测》
专知会员服务
11+阅读 · 3月16日
《军事领域人工智能网络安全的数字主权控制框架》
《军事领域人工智能网络安全的数字主权控制框架》
专知会员服务
21+阅读 · 2025年9月20日
《人工智能安全标准体系(V1.0)》(征求意见稿)
《人工智能安全标准体系(V1.0)》(征求意见稿)
专知会员服务
29+阅读 · 2025年3月23日
重磅!国家标准《信息安全技术数据安全风险评估方法》(征求意见稿)发布
重磅!国家标准《信息安全技术数据安全风险评估方法》(征求意见稿)发布
专知会员服务
29+阅读 · 2023年9月3日
《自动化的网络防御:综述》2023最新32页长综述
《自动化的网络防御:综述》2023最新32页长综述
专知会员服务
34+阅读 · 2023年6月19日
重磅!国家标准《人工智能计算平台安全框架》征求意见稿发布,38页pdf详细规定AI计算安全框架
重磅!国家标准《人工智能计算平台安全框架》征求意见稿发布,38页pdf详细规定AI计算安全框架
专知会员服务
75+阅读 · 2023年6月12日
《信息安全技术 区块链技术安全框架》国家标准意见稿,27页pdf
《信息安全技术 区块链技术安全框架》国家标准意见稿,27页pdf
专知会员服务
45+阅读 · 2022年3月7日
《信息安全技术 机器学习算法安全评估规范》国家标准意见稿,33页pdf
《信息安全技术 机器学习算法安全评估规范》国家标准意见稿,33页pdf
专知会员服务
74+阅读 · 2022年2月26日
人工智能安全框架
专知会员服务
64+阅读 · 2021年7月5日
热门VIP内容
相关资讯
【博士论文】《安全博弈中的分层规划:战略、战术和行动决策的博弈论方法》南加州大学
【博士论文】《安全博弈中的分层规划:战略、战术和行动决策的博弈论方法》南加州大学
专知
24+阅读 · 2022年9月25日
国家标准《信息技术 大数据 数据资产价值评估》(征求意见稿)
国家标准《信息技术 大数据 数据资产价值评估》(征求意见稿)
专知
18+阅读 · 2022年9月9日
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
专知
43+阅读 · 2022年7月27日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
92+阅读 · 2022年4月17日
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
专知
17+阅读 · 2022年4月16日
《人工智能安全测评白皮书》,99页pdf
《人工智能安全测评白皮书》,99页pdf
专知
36+阅读 · 2022年2月26日
重磅!国家标准《信息技术人工智能知识图谱技术框架》征求意见稿发布,35页pdf详细规定知识图谱技术框架
重磅!国家标准《信息技术人工智能知识图谱技术框架》征求意见稿发布,35页pdf详细规定知识图谱技术框架
专知
11+阅读 · 2022年2月19日
图神经网络开发必备组件,NetworkX、稀疏矩阵、稀疏Tensor等
图神经网络开发必备组件,NetworkX、稀疏矩阵、稀疏Tensor等
专知
48+阅读 · 2019年5月10日
专栏 | 神经网络架构搜索(NAS)综述(附AutoML资料推荐)
专栏 | 神经网络架构搜索(NAS)综述(附AutoML资料推荐)
机器之心
13+阅读 · 2018年9月1日
推荐系统、风控模型、知识图谱,竟然都可以用网络挖掘来实现
推荐系统、风控模型、知识图谱,竟然都可以用网络挖掘来实现
数据分析
13+阅读 · 2018年8月15日
相关论文
A data-driven security quantification framework for IoT-based systems
Arxiv
0+阅读 · 6月15日
Certifiable Safe RLHF: Semantic Grounding and Fixed Penalty Constraint Optimization for Safer LLM Alignment
Arxiv
0+阅读 · 6月10日
AgentCanary: A Security Evaluation Framework for Autonomous AI Agents in Real Executable Environments
Arxiv
0+阅读 · 6月9日
Automated Framework to Evaluate and Harden LLM System Instructions against Encoding Attacks
Arxiv
0+阅读 · 6月5日
Explainable AI-Driven Cyber Risk Analytics and Model Reliability Assessment for Intelligent Governance of U.S. Critical Infrastructure: An XGBoost and SHAP-Based Intrusion Detection Framework
Arxiv
0+阅读 · 6月4日
STRIDE-AI: A Threat Modeling Framework for Generative AI Security Assessment
Arxiv
0+阅读 · 5月16日
An Agentic Retrieval Framework for Autonomous Context-Aware Data Quality Assessment
Arxiv
0+阅读 · 5月15日
TSAssistant: A Human-in-the-Loop Agentic Framework for Automated Target Safety Assessment
Arxiv
0+阅读 · 5月8日
Gaming the Metric, Not the Harm: Certifying Safety Audits against Strategic Platform Manipulation
Arxiv
0+阅读 · 5月7日
Automated Cyber Defence: A Review
Arxiv
23+阅读 · 2023年3月8日
相关基金
面向网络系统的一致性安全隐私分析与防护机制设计
国家自然科学基金
2+阅读 · 2017年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
网络空间安全关键技术研究
国家自然科学基金
20+阅读 · 2015年12月31日
基于调度采样的网络化系统分布式控制策略研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
网络化控制系统安全理论与关键技术
国家自然科学基金
1+阅读 · 2014年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top