摘要
随着网络攻击的快速演变,需要能够自主学习和适应威胁的事件响应系统。先前的研究主要依赖强化学习方法,但该方法需要人工构建模拟器,并且会抑制原始系统日志和警报中的有用语义。为了解决这些问题,本文提出利用大型语言模型(LLM)的预训练安全知识和上下文学习能力,构建一个端到端的代理解决方案用于事件响应规划。具体而言,该代理集成了感知、推理、规划和行动四个功能模块,整合于一个轻量级的LLM(14b模型)中。通过微调和链式推理,该LLM代理能够处理系统日志并推断底层网络状态(感知),更新其对攻击模型的推测(推理),模拟不同响应策略下的后果(规划),并生成有效的响应(行动)。通过将LLM模拟结果与实际观测进行比较,代理不断优化其攻击推测和相应响应,从而实现上下文自适应。该代理方法无需建模,可在普通硬件上运行。在文献中报告的事件日志上的评估表明,该代理的恢复速度比前沿LLM快23%。
AI 推荐理由
论文涉及LLM代理在网络安全中的应用,包含感知、推理、规划和行动模块,与记忆机制相关但非核心。
论文信息