Coherence-driven inference for cybersecurity

## Контекст Современные большие языковые модели (LLMs) начали играть важную роль в автоматизации различных задач, включая те, которые требуют логического анализа и вывода. Одной из таких задач является **coherence-driven inference (CDI)**, которая позволяет анализировать и выводить выводы на основе естественного языка. В области cybersecurity, где необходимо строить логические связи между данными, такие подходы могут существенно улучшить процессы принятия решений. Существуют проблемы с ручной обработкой больших объемов информации, а также с несогласованностью выводов в ходе кооперативных операций, таких как "красные" и "синие" команды. Эти проблемы могут привести к неточностям в оценке рисков и реагировании на угрозы. Автоматизация CDI может решить эти проблемы, давая более точные и оперативные решения. ## Метод Автор предлагает использовать LLM для создания весовых графов на основе естественного языка, которые, в свою очередь, позволяют выполнять автоматический вывод. Техническая архитектура предполагает использование методов глубокого обучения для построения графов, где узлы представляют сущности или высказывания, а дуги — взаимосвязи между ними. Веса на дугах вычисляются на основе семантической и контекстуальной схожести, что позволяет строить более точные выводы. Метод также включает в себя возможность обработки нескольких источников информации, чтобы обеспечить комплексный анализ. Это решение целесообразно для операций, таких как threat modeling и incident response. ## Результаты Исследования были проведены на реальных данных, включая логи действий злоумышленников, статические текстовые документы и данные сетевых атак. Эксперименты показали, что LLM способен эффективно построить достоверные графы и выполнять автоматический вывод с точностью более чем 90%. Например, в ходе эксперимента с данными о сетевой атаке, LLM удалось определить взаимосвязи между сущностями (например, IP-адресами и портами) и вывести, что определенный IP является целью атаки. Это позволило быстрее отреагировать и заблокировать угрозу. ## Значимость Результаты могут быть применены в различных областях, включая: - **Red team operations** — автоматизация поиска уязвимостей и оценки рисков. - **Blue team operations** — автоматическое мониторинге и реагировании на угрозы. - **Threat intelligence** — автоматическое синтезирование и анализ сведений об угрозах. Преимущества технологии включают ускорение процессов принятия решений, сокращение человеческого фактора, улучшение точности и повышение эффективности реагирования на угрозы. ## Выводы Автор демонстрирует, что автомати