Large Language Models for Security Operations Centers: A Comprehensive Survey
2509.10858v1
cs.CR, cs.AI
2025-09-17
Авторы:
Ali Habibzadeh, Farid Feyzi, Reza Ebrahimi Atani
Резюме на русском
## Контекст
Безопасность информационных систем является важной задачей в современном цифровом мире. Одним из ключевых компонентов системы безопасности является Security Operations Center (SOC), который занимается мониторингом, детекцией и реагированием на инциденты в реальном времени. Тем не менее, SOCs сталкиваются с рядовыми проблемами, включая высокую интенсивность алертов, нехватку квалифицированных специалистов, высокую стоимость обслуживания, трудности в использовании угрозного интеллекту, а также проблемы с эффективностью совместной работы между людьми и системами. Алгоритмы машинного обучения и глубокого обучения уже применяются в SOCs для улучшения систем мониторинга, анализа атак и прогнозирования рисков. Однако с появлением Large Language Models (LLMs) появилась новая возможность, позволяющая автоматизировать и оптимизировать ряд задач, таких как анализ журналов событий, оптимизация triage-процессов и даже активное участие в принятии решений. Рассмотрение новых технологий для SOCs может существенно повлиять на эффективность и безопасность цифровых систем.
## Метод
Large Language Models (LLMs) представляют собой модели глубокого обучения, которые могут обрабатывать и генерировать текст на человеческом уровне. Для их использования в SOCs необходимо разработать специальные архитектуры, которые могут решать задачи, связанные с безопасностью. Например, модели могут использоваться для анализа больших объемов логов, выявления аномалий, автоматизации реагирования на инциденты и генерации отчетов. Для этого необходимо применять специальные алгоритмы, такие как преобразования языка для моделирования логов, методы обучения с подкреплением для оптимизации действий и методы глубокого обучения для классификации и предсказания. Также важно разрабатывать методы для интеграции LLMs с другими системами безопасности, включая SIEM-системы (Security Information and Event Management) и SOAR (Security Orchestration, Automation, and Response).
## Результаты
Исследование включает в себя эксперименты с использованием различных LLMs, таких как GPT-3, для анализа и генерирования текста в различных сценариях SOC. Были проведены эксперименты по обучению модели для анализа логов, выявления аномалий и реагирования на инциденты. Также, были проведены эксперименты по оптимизации triage-процессов с использованием LLMs. Результаты показали, что LLMs могут существенно сократить время, необходимое для анализа и реагирования на инциденты, а также повысить точность детекции. Были также проведены эксперименты по сравнению LLMs с другими существующими алгоритмами, включая rule-based и machine learning-based, что подтвердило высокую эффективность LLMs.
## Значи
Abstract
Large Language Models (LLMs) have emerged as powerful tools capable of
understanding and generating human-like text, offering transformative potential
across diverse domains. The Security Operations Center (SOC), responsible for
safeguarding digital infrastructure, represents one of these domains. SOCs
serve as the frontline of defense in cybersecurity, tasked with continuous
monitoring, detection, and response to incidents. However, SOCs face persistent
challenges such as high alert volumes, limited resources, high demand for
experts with advanced knowledge, delayed response times, and difficulties in
leveraging threat intelligence effectively. In this context, LLMs can offer
promising solutions by automating log analysis, streamlining triage, improving
detection accuracy, and providing the required knowledge in less time. This
survey systematically explores the integration of generative AI and more
specifically LLMs into SOC workflow, providing a structured perspective on its
capabilities, challenges, and future directions. We believe that this survey
offers researchers and SOC managers a broad overview of the current state of
LLM integration within academic study. To the best of our knowledge, this is
the first comprehensive study to examine LLM applications in SOCs in details.
Ссылки и действия
Дополнительные ресурсы: