摘要
本文介绍了动态威胁检测代理(DTDA),这是一种始终在线的自适应代理,旨在通过调查安全事件来发现隐藏威胁。DTDA 整合了统一的活动时间线、版本化的 LLM 提示契约以及关键的“规划器 - 执行器”调查循环。该循环能生成针对攻击的假设,主动收集支持与反驳证据,从而填补攻击故事缺口并生成可解释的检测警报。在微软安全副驾驶中的大规模部署显示,该代理能以高精度识别被遗漏的恶意活动,证明了自主代理在生产环境中的有效性。
AI 推荐理由
论文核心提出规划 - 执行循环,生成假设并收集证据,属于典型的任务规划机制。
研究机构
Microsoft Security Research, Arizona, USA
Microsoft Security Research, Toronto, Canada
论文信息