会员服务
事件 · 分析 · 攻击 · 语言模型 · 事件分析 ·
3 月 20 日
Retrieval-Augmented LLMs for Security Incident Analysis
翻译:面向安全事件分析的检索增强型大语言模型
Xavier Cadet,Aditya Vikram Singh,Harsh Mamania,Edward Koh,Alex Fitts,Dirk Van Bruggen,Simona Boboila,Peter Chin,Alina Oprea
Xavier Cadet,Aditya Vikram Singh,Harsh Mamania,Edward Koh,Alex Fitts,Dirk Van Bruggen,Simona Boboila,Peter Chin,Alina Oprea

Investigating cybersecurity incidents requires collecting and analyzing evidence from multiple log sources, including intrusion detection alerts, network traffic records, and authentication events. This process is labor-intensive: analysts must sift through large volumes of data to identify relevant indicators and piece together what happened. We present a RAG-based system that performs security incident analysis through targeted query-based filtering and LLM semantic reasoning. The system uses a query library with associated MITRE ATT&CK techniques to extract indicators from raw logs, then retrieves relevant context to answer forensic questions and reconstruct attack sequences. We evaluate the system with five LLM providers on malware traffic incidents and multi-stage Active Directory attacks. We find that LLM models have different performance and tradeoffs, with Claude Sonnet 4 and DeepSeek V3 achieving 100% recall across all four malware scenarios, while DeepSeek costs 15 times less ($0.008 vs. $0.12 per analysis). Attack step detection on Active Directory scenarios reaches 100% precision and 82% recall. Ablation studies confirm that a RAG architecture is essential: LLM baselines without RAG-enhanced context correctly identify victim hosts but miss all attack infrastructure including malicious domains and command-and-control servers. These results demonstrate that combining targeted query-based filtering with RAG-based retrieval enables accurate, cost-effective security analysis within LLM context limits.


翻译:调查网络安全事件需要从多个日志来源收集和分析证据,包括入侵检测告警、网络流量记录和身份验证事件。这一过程劳动密集:分析师必须筛选大量数据以识别相关指标并拼凑出事件全貌。我们提出了一种基于RAG的系统,通过目标驱动的查询过滤和大语言模型语义推理进行安全事件分析。该系统利用关联MITRE ATT&CK技术的查询库从原始日志中提取指标,随后检索相关上下文以回答取证问题并重建攻击序列。我们使用五个大语言模型提供商对恶意软件流量事件和多阶段Active Directory攻击进行了系统评估。研究发现,不同大语言模型在性能与权衡方面存在差异:Claude Sonnet 4和DeepSeek V3在所有四个恶意软件场景中均实现100%召回率,而DeepSeek成本降低15倍(每次分析0.008美元 vs 0.12美元)。在Active Directory场景的攻击步骤检测中,达到了100%精确率和82%召回率。消融研究证实RAG架构至关重要:未使用RAG增强上下文的基线大语言模型虽能正确识别受害主机,但会遗漏所有攻击基础设施(包括恶意域名和命令控制服务器)。这些结果表明,将目标驱动的查询过滤与基于RAG的检索相结合,可在Llm上下文限制内实现准确且经济高效的安全分析。
0
下载
关闭预览

相关内容

基于大型语言模型的网络威胁情报:利用LLM提取MITRE ATT&CK技术 | 最新文献
基于大型语言模型的网络威胁情报:利用LLM提取MITRE ATT&CK技术 | 最新文献
专知会员服务
24+阅读 · 2025年10月22日
探索大型语言模型在网络安全中的作用:一项系统综述
探索大型语言模型在网络安全中的作用:一项系统综述
专知会员服务
21+阅读 · 2025年4月27日
定制化大型语言模型的图检索增强生成综述
定制化大型语言模型的图检索增强生成综述
专知会员服务
38+阅读 · 2025年1月28日
【书籍】检索增强生成(RAG)在大规模语言模型(LLM)应用中的应用
【书籍】检索增强生成(RAG)在大规模语言模型(LLM)应用中的应用
专知会员服务
71+阅读 · 2024年10月7日
《使用大语言模型(LLM)对安全作战中心的威胁情报分析工作流程实现自动化》
《使用大语言模型(LLM)对安全作战中心的威胁情报分析工作流程实现自动化》
专知会员服务
33+阅读 · 2024年8月2日
RAG 与 LLMs 的结合 - 迈向检索增强的大型语言模型综述
RAG 与 LLMs 的结合 - 迈向检索增强的大型语言模型综述
专知会员服务
101+阅读 · 2024年5月13日
大型语言模型网络安全综述
大型语言模型网络安全综述
专知会员服务
68+阅读 · 2024年5月12日
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
专知会员服务
49+阅读 · 2024年1月17日
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
专知会员服务
111+阅读 · 2023年12月19日
情报分析《微调多语言模型以剪切自动事件数据》2023最新73页论文
情报分析《微调多语言模型以剪切自动事件数据》2023最新73页论文
专知会员服务
46+阅读 · 2023年8月27日
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
专知
11+阅读 · 2022年10月28日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
91+阅读 · 2022年4月17日
NLP 事件抽取综述(中)—— 模型篇
NLP 事件抽取综述(中)—— 模型篇
深度学习自然语言处理
21+阅读 · 2020年12月28日
论文浅尝 | 探索将预训练语言模型用于事件抽取和事件生成
论文浅尝 | 探索将预训练语言模型用于事件抽取和事件生成
开放知识图谱
26+阅读 · 2019年11月8日
视频分析/多模态学习论文、代码、数据集大列表
视频分析/多模态学习论文、代码、数据集大列表
专知
57+阅读 · 2019年7月13日
大数据安全技术浅析
大数据安全技术浅析
计算机与网络安全
15+阅读 · 2019年4月24日
【大数据】海量数据分析能力形成和大数据关键技术
【大数据】海量数据分析能力形成和大数据关键技术
产业智能官
17+阅读 · 2018年10月29日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
网络安全态势感知浅析
网络安全态势感知浅析
计算机与网络安全
18+阅读 · 2017年10月13日
福利 | 最全面超大规模数据集下载链接汇总
福利 | 最全面超大规模数据集下载链接汇总
AI研习社
26+阅读 · 2017年9月7日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
面向社交大数据的热点事件预测
国家自然科学基金
11+阅读 · 2015年12月31日
基于大数据分析的犯罪模式挖掘与犯罪预测研究
国家自然科学基金
7+阅读 · 2015年12月31日
面向微博数据的位置相关事件检测和时空异常聚类模式挖掘研究
国家自然科学基金
0+阅读 · 2014年12月31日
面向事件分析的信息意图检测、建模与群体意图推理技术研究
国家自然科学基金
12+阅读 · 2014年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
大数据环境下多媒体网络舆情信息的语义识别与危机响应研究
国家自然科学基金
4+阅读 · 2014年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
Retrieval-Augmented LLMs for Security Incident Analysis
Arxiv
0+阅读 · 5月4日
LTRR: Learning To Rank Retrievers for LLMs
Arxiv
0+阅读 · 4月18日
KRONE: Scalable LLM-Augmented Log Anomaly Detection via Hierarchical Abstraction
Arxiv
0+阅读 · 4月17日
Multimodal Reasoning with LLM for Encrypted Traffic Interpretation: A Benchmark
Arxiv
0+阅读 · 4月9日
LLM-based Schema-Guided Extraction and Validation of Missing-Person Intelligence from Heterogeneous Data Sources
Arxiv
0+阅读 · 4月8日
Towards Secure Retrieval-Augmented Generation: A Comprehensive Review of Threats, Defenses and Benchmarks
Arxiv
0+阅读 · 3月23日
RedSage: A Cybersecurity Generalist LLM
Arxiv
0+阅读 · 3月9日
Before You Hand Over the Wheel: Evaluating LLMs for Security Incident Analysis
Arxiv
0+阅读 · 3月6日
CAM-LDS: Cyber Attack Manifestations for Automatic Interpretation of System Logs and Security Alerts
Arxiv
0+阅读 · 3月4日
LLM Scalability Risk for Agentic-AI and Model Supply Chain Security
Arxiv
0+阅读 · 2月22日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
事件
分析
攻击
语言模型
事件分析
最新内容
美国军方使用的10种反无人机武器(2026年更新)
美国军方使用的10种反无人机武器(2026年更新)
专知会员服务
4+阅读 · 今天4:07
智能技术在战场指挥控制系统中的应用(附中英文版下载)
智能技术在战场指挥控制系统中的应用(附中英文版下载)
专知会员服务
2+阅读 · 今天3:21
北约《俄乌战争经验教训课程指南:25份课程计划》150页
北约《俄乌战争经验教训课程指南:25份课程计划》150页
专知会员服务
5+阅读 · 今天3:03
《不确定性环境下基于智能体框架中实时多机器人任务分配的贝叶斯网络》博士论文
《不确定性环境下基于智能体框架中实时多机器人任务分配的贝叶斯网络》博士论文
专知会员服务
3+阅读 · 今天2:59
首场人工智能战争——俄乌战争(中文版、原文下载)
首场人工智能战争——俄乌战争(中文版、原文下载)
专知会员服务
16+阅读 · 今天1:52
《提升战术级作战规划水平:城市进攻作战中的机动样式研究》
《提升战术级作战规划水平:城市进攻作战中的机动样式研究》
专知会员服务
4+阅读 · 今天1:36
《人员配置对陆军突击清障车与联合突击桥战备状态的影响研究》
《人员配置对陆军突击清障车与联合突击桥战备状态的影响研究》
专知会员服务
2+阅读 · 今天1:28
管理咨询报告:美国国防部量子技术开发与实施评估(译文)
管理咨询报告:美国国防部量子技术开发与实施评估(译文)
专知会员服务
1+阅读 · 今天1:16
【博士论文】可解释人工智能的数学基础与 Bandit 优化的研究进展
【博士论文】可解释人工智能的数学基础与 Bandit 优化的研究进展
专知会员服务
6+阅读 · 5月8日
生成-过滤-控制-重放:LLM强化学习中Rollout策略的全面综述
生成-过滤-控制-重放:LLM强化学习中Rollout策略的全面综述
专知会员服务
3+阅读 · 5月8日
认知战与交战性质的改变:神经战略视角
认知战与交战性质的改变:神经战略视角
专知会员服务
5+阅读 · 5月8日
美国《国防授权法案》指令要求界定“认知战”:区分相关概念
美国《国防授权法案》指令要求界定“认知战”:区分相关概念
专知会员服务
5+阅读 · 5月8日
人工智能对特定国防资源管理流程的影响(万字长文)
人工智能对特定国防资源管理流程的影响(万字长文)
专知会员服务
6+阅读 · 5月8日
《多域作战概念实证检验:美军“史诗怒火”行动中跨域协同的地理空间混合方法分析研究》245页报告
《多域作战概念实证检验:美军“史诗怒火”行动中跨域协同的地理空间混合方法分析研究》245页报告
专知会员服务
10+阅读 · 5月8日
《预设时间的单次协同估计、制导与控制框架:实现同时目标拦截》2026最新40页报告
《预设时间的单次协同估计、制导与控制框架:实现同时目标拦截》2026最新40页报告
专知会员服务
10+阅读 · 5月8日
相关VIP内容
基于大型语言模型的网络威胁情报:利用LLM提取MITRE ATT&CK技术 | 最新文献
基于大型语言模型的网络威胁情报:利用LLM提取MITRE ATT&CK技术 | 最新文献
专知会员服务
24+阅读 · 2025年10月22日
探索大型语言模型在网络安全中的作用:一项系统综述
探索大型语言模型在网络安全中的作用:一项系统综述
专知会员服务
21+阅读 · 2025年4月27日
定制化大型语言模型的图检索增强生成综述
定制化大型语言模型的图检索增强生成综述
专知会员服务
38+阅读 · 2025年1月28日
【书籍】检索增强生成(RAG)在大规模语言模型(LLM)应用中的应用
【书籍】检索增强生成(RAG)在大规模语言模型(LLM)应用中的应用
专知会员服务
71+阅读 · 2024年10月7日
《使用大语言模型(LLM)对安全作战中心的威胁情报分析工作流程实现自动化》
《使用大语言模型(LLM)对安全作战中心的威胁情报分析工作流程实现自动化》
专知会员服务
33+阅读 · 2024年8月2日
RAG 与 LLMs 的结合 - 迈向检索增强的大型语言模型综述
RAG 与 LLMs 的结合 - 迈向检索增强的大型语言模型综述
专知会员服务
101+阅读 · 2024年5月13日
大型语言模型网络安全综述
大型语言模型网络安全综述
专知会员服务
68+阅读 · 2024年5月12日
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
专知会员服务
49+阅读 · 2024年1月17日
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
专知会员服务
111+阅读 · 2023年12月19日
情报分析《微调多语言模型以剪切自动事件数据》2023最新73页论文
情报分析《微调多语言模型以剪切自动事件数据》2023最新73页论文
专知会员服务
46+阅读 · 2023年8月27日
热门VIP内容
相关资讯
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
专知
11+阅读 · 2022年10月28日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
91+阅读 · 2022年4月17日
NLP 事件抽取综述(中)—— 模型篇
NLP 事件抽取综述(中)—— 模型篇
深度学习自然语言处理
21+阅读 · 2020年12月28日
论文浅尝 | 探索将预训练语言模型用于事件抽取和事件生成
论文浅尝 | 探索将预训练语言模型用于事件抽取和事件生成
开放知识图谱
26+阅读 · 2019年11月8日
视频分析/多模态学习论文、代码、数据集大列表
视频分析/多模态学习论文、代码、数据集大列表
专知
57+阅读 · 2019年7月13日
大数据安全技术浅析
大数据安全技术浅析
计算机与网络安全
15+阅读 · 2019年4月24日
【大数据】海量数据分析能力形成和大数据关键技术
【大数据】海量数据分析能力形成和大数据关键技术
产业智能官
17+阅读 · 2018年10月29日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
网络安全态势感知浅析
网络安全态势感知浅析
计算机与网络安全
18+阅读 · 2017年10月13日
福利 | 最全面超大规模数据集下载链接汇总
福利 | 最全面超大规模数据集下载链接汇总
AI研习社
26+阅读 · 2017年9月7日
相关论文
Retrieval-Augmented LLMs for Security Incident Analysis
Arxiv
0+阅读 · 5月4日
LTRR: Learning To Rank Retrievers for LLMs
Arxiv
0+阅读 · 4月18日
KRONE: Scalable LLM-Augmented Log Anomaly Detection via Hierarchical Abstraction
Arxiv
0+阅读 · 4月17日
Multimodal Reasoning with LLM for Encrypted Traffic Interpretation: A Benchmark
Arxiv
0+阅读 · 4月9日
LLM-based Schema-Guided Extraction and Validation of Missing-Person Intelligence from Heterogeneous Data Sources
Arxiv
0+阅读 · 4月8日
Towards Secure Retrieval-Augmented Generation: A Comprehensive Review of Threats, Defenses and Benchmarks
Arxiv
0+阅读 · 3月23日
RedSage: A Cybersecurity Generalist LLM
Arxiv
0+阅读 · 3月9日
Before You Hand Over the Wheel: Evaluating LLMs for Security Incident Analysis
Arxiv
0+阅读 · 3月6日
CAM-LDS: Cyber Attack Manifestations for Automatic Interpretation of System Logs and Security Alerts
Arxiv
0+阅读 · 3月4日
LLM Scalability Risk for Agentic-AI and Model Supply Chain Security
Arxiv
0+阅读 · 2月22日
相关基金
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
面向社交大数据的热点事件预测
国家自然科学基金
11+阅读 · 2015年12月31日
基于大数据分析的犯罪模式挖掘与犯罪预测研究
国家自然科学基金
7+阅读 · 2015年12月31日
面向微博数据的位置相关事件检测和时空异常聚类模式挖掘研究
国家自然科学基金
0+阅读 · 2014年12月31日
面向事件分析的信息意图检测、建模与群体意图推理技术研究
国家自然科学基金
12+阅读 · 2014年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
大数据环境下多媒体网络舆情信息的语义识别与危机响应研究
国家自然科学基金
4+阅读 · 2014年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top