摘要
随着网络攻击的快速演变,需要能够自主学习和适应威胁的事件响应系统。以往的研究主要依赖强化学习方法,但该方法需要人工构建模拟器,并且会削弱原始系统日志和警报中的语义信息。为解决这些问题,本文提出利用大语言模型(LLM)的预训练安全知识和上下文学习能力,构建一个端到端的代理解决方案用于事件响应规划。具体而言,该代理整合了感知、推理、规划和行动四个功能模块,集成于一个轻量级的LLM中。通过微调和思维链推理,该代理能够处理系统日志并推断网络状态(感知),更新其对攻击模型的推测(推理),模拟不同响应策略的后果(规划),并生成有效的响应(行动)。通过将LLM模拟结果与实际观察进行比较,代理不断优化其攻击推测和响应策略,从而实现上下文自适应。该方法无需建模,可在普通硬件上运行。在文献中报告的事件日志上的评估表明,该代理比前沿LLM的恢复速度提高了23%。
AI 推荐理由
论文核心围绕Agent的规划能力,包括任务分解、策略模拟与响应生成。
论文信息