Advancing Autonomous Incident Response: Leveraging LLMs and Cyber Threat Intelligence
2508.10677v1
cs.CR, cs.LG
2025-08-16
Авторы:
Amine Tellache, Abdelaziz Amara Korba, Amdjed Mokhtari, Horea Moldovan, Yacine Ghamri-Doudane
Резюме на русском
## Контекст
В современной киберсистеме, эффективное управление кибербезопасностью требует эффективного реагирования на инциденты (Incident Response, IR). Однако, существующие системы часто сталкиваются с проблемами, такими как высокий уровень сигналов-ложных срабатываний (alert fatigue), высокая доля ложноположительных результатов и огромный объем неструктурированных Cyber Threat Intelligence (CTI) документов. CTI, несмотря на его богатство информации, затрудняет процесс массового анализа и требует значительных ресурсов и времени для интеграции в IR-процессы. Таким образом, целесообразной является разработка методов, которые могут автоматизировать и оптимизировать анализ этой информации, уменьшив нагрузку на специалистов и повысив эффективность реагирования на киберугрозы.
## Метод
Для решения этих проблем, мы предлагаем новый фреймворк, основанный на Retrieval-Augmented Generation (RAG), который использует Large Language Models (LLMs) для автоматизации и улучшения процесса IR. Фреймворк использует два типа восстановления информации: внутреннее восстановление с использованием NLP-based similarity search внутри CTI-базы векторов и внешнее восстановление с использованием запросов к внешним CTI-платформам. Эта комбинация позволяет выполнять контекстуально обоснованные поисковые запросы. Затем, полученные данные используются для формирования конкретных и действительных стратегий реагирования на инциденты с помощью LLM-powered response generation module. Этот подход обеспечивает контекстуальную релевантность и точность в формировании решений, уменьшая время реагирования и нагрузку на специалистов.
## Результаты
Мы провести несколько экспериментов с использованием реальных и симулированных киберугроз. Наши результаты показывают, что фреймворк удачно объединяет внутренний и внешний поиск информации, значительно повышая точность и контекстуальную релевантность ответов. На основе данных, полученных в эксперименте, мы показали, что наш подход уменьшает время реагирования на инциденты и снижает нагрузку на специалистов. Была проведена двойная оценка: систематическая автоматическая оценка с использованием LLM и внешнее верифицирование результатов экспертами по кибербезопасности.
## Значимость
Мы видим применение этого подхода в различных областях, включая оперативное управление кибербезопасностью, а также в автоматическое создание отчетов и анализа киберугроз. Наш подход демонстрирует не только улучшение точности, но и повышение эффективности и уменьшение затрат времени на анализ CTI. Он также позволяет автоматизировать многие задачи, включая генерацию отчетов и формирование стратегий реа
Abstract
Effective incident response (IR) is critical for mitigating cyber threats,
yet security teams are overwhelmed by alert fatigue, high false-positive rates,
and the vast volume of unstructured Cyber Threat Intelligence (CTI) documents.
While CTI holds immense potential for enriching security operations, its
extensive and fragmented nature makes manual analysis time-consuming and
resource-intensive. To bridge this gap, we introduce a novel
Retrieval-Augmented Generation (RAG)-based framework that leverages Large
Language Models (LLMs) to automate and enhance IR by integrating dynamically
retrieved CTI. Our approach introduces a hybrid retrieval mechanism that
combines NLP-based similarity searches within a CTI vector database with
standardized queries to external CTI platforms, facilitating context-aware
enrichment of security alerts. The augmented intelligence is then leveraged by
an LLM-powered response generation module, which formulates precise,
actionable, and contextually relevant incident mitigation strategies. We
propose a dual evaluation paradigm, wherein automated assessment using an
auxiliary LLM is systematically cross-validated by cybersecurity experts.
Empirical validation on real-world and simulated alerts demonstrates that our
approach enhances the accuracy, contextualization, and efficiency of IR,
alleviating analyst workload and reducing response latency. This work
underscores the potential of LLM-driven CTI fusion in advancing autonomous
security operations and establishing a foundation for intelligent, adaptive
cybersecurity frameworks.
Ссылки и действия
Дополнительные ресурсы: