【论文速读】| 人工智能驱动的网络威胁情报自动化
基本信息
原文标题:AI-Driven Cyber Threat Intelligence Automation
原文作者:Shrit Shah, Fatemeh Khoda Parast
作者单位:加拿大圭尔夫大学计算机科学学院
关键词:网络威胁情报,AI自动化,攻击技术和策略,持久性威胁
原文链接:https://arxiv.org/pdf/2410.20287
开源代码:暂无
论文要点
论文简介:本文提出了一种利用微软AI驱动的安全技术实现工业环境中网络威胁情报(CTI)自动化的新方法。传统CTI主要依赖手动方式来收集、分析和解释威胁情报,这不仅耗时且易出错,特别是在快速应对安全威胁的情况下效率低下。通过使用GPT-4o等大语言模型和一键微调技术,本研究构建了一种新的CTI自动化解决方案,可以在保持情报精度的同时减少人工操作。本方法不仅提升了CTI报告生成的速度和准确性,还减少了对专家的依赖,从而在当今动态的威胁环境中占据了重要优势。
研究目的:网络威胁情报(CTI)旨在收集、分析并传播有关当前和潜在网络威胁的信息,以识别威胁指标(IoC)和理解攻击者的战术、技术和程序(TTP)。尽管CTI对网络安全至关重要,但目前的情报生成方法仍主要依赖于手动分析和数据合成,这在面对庞大的数据量时极易出现瓶颈。本研究的目的在于探索现有手动CTI生成过程的局限性,提出一种基于AI的自动化方法,以提高报告的质量、速度和准确性。通过识别CTI过程中可自动化的部分,本研究旨在开发更先进的自动CTI系统,从而提升威胁应对效率。
引言
网络威胁情报(CTI)一直以来是网络安全防御的核心,依赖手动的数据收集与分析以识别潜在的威胁。然而,传统手动方法不仅费时费力,而且在快速应对复杂威胁方面存在效率低下的问题。例如,CTI分析员需要从大量的安全日志、威胁信息源等收集数据并手动提取攻击指标(IoC),这一过程往往耗费数天甚至数周的时间。此外,手动处理还增加了错过关键信息或引入错误的风险。不同分析员对威胁数据的解读可能存在差异,导致报告不一致,进而影响对威胁的快速反应。
为了解决这一问题,近年来一些学者提出了将AI和自动化技术应用于CTI的设想。尽管部分组织仍对完全依赖AI的CTI方法持怀疑态度,认为AI可能会带来误报或无法正确解读复杂威胁信息,但AI的应用确实为CTI报告生成提供了潜在的优势。本研究旨在探索这些AI驱动的自动化方案如何填补手动CTI生成的空白,并提出了一种结合微软安全工具的自动化框架,既能降低对人工的依赖,又能提升报告生成的速度与准确性。
当前趋势
近年来,AI在CTI自动化中的应用引起了学术界和工业界的广泛关注。多个研究团队提出了利用自然语言处理(NLP)、信息检索(IR)和机器学习(ML)方法自动提取CTI数据的模型。例如,Husari等人提出的TTPDrill模型通过NLP和IR技术从非结构化CTI报告中提取攻击模式,并将其映射到攻击链中。这种自动化工具显著提升了提取威胁技术的精度。而Zhao等人则提出了TIMiner框架,该框架利用卷积神经网络(CNN)从社交媒体数据中提取CTI信息并分类,用于不同领域的威胁检测。
这些AI驱动的CTI自动化技术主要关注快速、准确地从大量非结构化数据中提取有效的威胁信息,同时构建结构化威胁情报。然而,尽管这些方法在数据提取和处理上表现出色,它们仍然需要具备一定领域知识的专家来实施和调试,难以在没有专家资源的环境中推广应用。
研究方法
本研究设计了一种基于微软生态系统的全自动CTI生成方法,主要采用PowerShell脚本、Azure Logic Apps、Microsoft Copilot for Security(MCS)和Azure AI Studio等技术。整个自动化流程通过PowerShell脚本收集用户数据并启动工作流,Azure Logic Apps分段生成报告,MCS和Azure AI分别负责处理各部分内容。生成的CTI报告包括元数据、攻击概览、MITRE攻击技术摘要、数据提取、工具与恶意软件分析、防御建议和参考文献等七大部分。该框架的设计确保了报告生成的效率和可控性,每个部分内容均经过优化以适应自动化需求。
关键发现
实验评估表明,该自动化框架在生成速度和成本方面相较于手动生成有显著优势。在性能评估方面,研究选取了八种攻击活动并分别用手动和AI方法生成报告,通过BERT模型和余弦相似度等指标对比报告内容,发现AI生成的报告在一致性和精确度上与手动报告基本一致。此外,通过对攻击模式的提取准确性进行测试,结果显示AI模型的平均准确率达到了79%。
研究讨论
AI驱动的CTI自动化方案极大地加速了报告的生成过程,并显著降低了手动操作的需求,然而这一效率提升的同时也带来了成本上的增加,尤其是在计算资源的消耗方面。尽管AI生成的报告在一定程度上达到了手动生成报告的标准,但由于生成内容的不稳定性和轻微的不一致,仍需要人工干预来校正并完善报告内容。通过与工业合作伙伴的访谈发现,AI自动化使得原本需耗费8小时的手动报告编写工作减少至1-2小时,有效地提高了报告生成效率。
论文结论
本研究提出了一个基于AI的网络威胁情报自动化生成架构,成功实现了快速情报共享与提升攻击检测效率的目标。尽管AI在生成报告方面表现出色,复杂的技术报告部分仍然需要人工干预,以确保最终报告的精准度和有效性。未来工作将继续扩大数据集范围,以更全面地验证自动化效果,并探索其他威胁类型下的应用表现。同时,研究团队还计划开发一种集成多种AI方法与专有安全产品的混合模型,进一步提升CTI报告的质量和效率。
相关文章:

【论文速读】| 人工智能驱动的网络威胁情报自动化
基本信息 原文标题:AI-Driven Cyber Threat Intelligence Automation 原文作者:Shrit Shah, Fatemeh Khoda Parast 作者单位:加拿大圭尔夫大学计算机科学学院 关键词:网络威胁情报,AI自动化,攻击技术和…...
什么是域名监控?
域名监控是持续跟踪全球域名系统(DNS)中变化以发现恶意活动迹象的过程。组织可以对其拥有的域名进行监控,以判断是否有威胁行为者试图入侵其网络。他们还可以对客户的域名使用这种技术以执行类似的检查。 你可以将域名监控比作跟踪与自己实物…...

vue3 发送 axios 请求时没有接受到响应数据
<script setup> import Edit from ./components/Edit.vue import axios from axios import { onMounted,ref } from vue// TODO: 列表渲染 //装数据的列表 const list ref([]) const count ref(0) const getList async () > {//通过发送 /list 请求从后端拿到列表数…...
前端使用fontfaceobserver库实现字体设置
要使用FontFaceObserver来加载设置项目本地的字体,先确保字体文件位于项目中或者可以从服务端获取到,这样就可以使用FontFaceObserver来检测并加载这些字体 主要有以下几步: npm或者yarn安装引入fontfaceobserver字体资源引入和font-face配置…...
【人工智能】Python常用库-PyTorch常用方法教程
PyTorch 是一个强大的开源深度学习框架,以其灵活性和动态计算图而广受欢迎。以下是 PyTorch 的详细教程,涵盖从基础到实际应用的使用方法。 1. 安装与导入 1.1 安装 PyTorch 访问 PyTorch 官方网站,根据系统、Python 版本和 CUDA 支持选择安…...

Android Studio安装TalkX AI编程助手
文章目录 TalkX简介编程场景 TalkX安装TalkX编程使用ai编程助手相关文章 TalkX简介 TalkX是一款将OpenAI的GPT 3.5/4模型集成到IDE的AI编程插件。它免费提供特定场景的AI编程指导,帮助开发人员提高工作效率约38%,甚至在解决编程问题的效率上提升超过2倍…...

#渗透测试#红蓝攻防#HW#漏洞挖掘#漏洞复现02-永恒之蓝漏洞
免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停…...

gitlab自动打包python项目
现在新版的gitlab可以不用自己配置runner什么的了 直接写.gitlab-ci.yml文件就行,这里给出一个简单的依靠setup把python项目打包成whl文件的方法 首先写.gitlab-ci.yml文件,放到项目根目录里 stages: # List of stages for jobs, and their or…...

残差神经网络
目录 1. 梯度消失问题 2. 残差学习的引入 3. 跳跃连接(Shortcut Connections) 4. 恒等映射与维度匹配 5. 反向传播与梯度流 6. 网络深度与性能 总结 残差神经网络的原理是基于“残差学习”的概念,它旨在解决深度神经网络训练中的梯度消…...

mini-spring源码分析
IOC模块 关键解释 beanFactory:beanFactory是一个hashMap, key为beanName, Value为 beanDefination beanDefination: BeanDefinitionRegistry,BeanDefinition注册表接口,定义注册BeanDefinition的方法 beanReference:增加Bean…...

黑马程序员Java项目实战《苍穹外卖》Day01
苍穹外卖-day01 课程内容 软件开发整体介绍苍穹外卖项目介绍开发环境搭建导入接口文档Swagger 项目整体效果展示: 管理端-外卖商家使用 用户端-点餐用户使用 当我们完成该项目的学习,可以培养以下能力: 1. 软件开发整体介绍 作为一…...

uniapp开发支付宝小程序自定义tabbar样式异常
解决方案: 这个问题应该是支付宝基础库的问题,除了依赖于官方更新之外,开发者可以利用《自定义 tabBar》曲线救国 也就是创建一个空内容的自定义tabBar,这样即使 tabBar 被渲染出来,但从视觉上也不会有问题 1.官方文…...

python+django5.1+docker实现CICD自动化部署springboot 项目前后端分离vue-element
一、开发环境搭建和配置 # channels是一个用于在Django中实现WebSocket、HTTP/2和其他异步协议的库。 pip install channels#channels-redis是一个用于在Django Channels中使用Redis作为后台存储的库。它可以用于处理#WebSocket连接的持久化和消息传递。 pip install channels…...

python代码示例(读取excel文件,自动播放音频)
目录 python 操作excel 表结构 安装第三方库 代码 自动播放音频 介绍 安装第三方库 代码 python 操作excel 表结构 求出100班同学的平均分 安装第三方库 因为这里的表结构是.xlsx文件,需要使用openpyxl库 如果是.xls格式文件,需要使用xlrd库 pip install openpyxl /…...
【第十课】Rust并发编程(一)
目录 前言 Fork和Join 前言 本节会介绍Rust中的并发编程,并发编程在编程中是提升cpu使用率的一大利器,通过多线程技术提升效率,Rust的并发和其他编程语言的并发不同的地方在于,Rust号称无畏并发。更重要的一点是安全。Rust中所有…...
图形渲染性能优化
variable rate shading conditional render 设置可见性等, 不需要重新build command buffer indirect draw glMultiDraw* - 直接支持多次绘制glMultiDrawIndirect - 间接多次绘制multithreading 多线程录制 实例化渲染 lod texture array 小对象剔除 投影到…...

elasticsearch的索引模版使用方法
5 索引模版⭐️⭐️⭐️⭐️⭐️ 索引模板就是创建索引时要遵循的模板规则索引模板仅对新创建的索引有效,已经创建的索引并不受索引模板的影响 5.1 索引模版的基本使用 1.查看所有的索引模板 GET 10.0.0.91:9200/_index_template2.创建自定义索引模板 xixi &…...

论文学习——进化动态约束多目标优化:测试集和算法
论文题目:Evolutionary Dynamic Constrained Multiobjective Optimization: Test Suite and Algorithm 进化动态约束多目标优化:测试集和算法(Guoyu Chen ,YinanGuo , Member, IEEE, Yong Wang , Senior Member, IEEE, Jing Liang , Senior …...
C++中的volatile关键字
作用: 1.它用于修饰变量,告知编译器该变量的值可能会在程序的外部被改变,编译器不能对这个变量的访问进行优化。这是因为编译器通常会对代码进行优化,例如把变量的值缓存到寄存器中,但对于 volatile 变量,…...
linux桌面qt应用程序UI自动化实现之dogtail
1. 前言 Dogtail适用于Linux 系统上进行 GUI 自动化测试,利用 Accessibility 技术与桌面程序通信;Dogtail 包含一个名为 sniff 的组件,这是一个嗅探器,用于 GUI 程序追踪; 源码下载:dogtail PyPI 可通过sudo python setup.py install安装或sudo pip install dogt…...
后进先出(LIFO)详解
LIFO 是 Last In, First Out 的缩写,中文译为后进先出。这是一种数据结构的工作原则,类似于一摞盘子或一叠书本: 最后放进去的元素最先出来 -想象往筒状容器里放盘子: (1)你放进的最后一个盘子(…...
Leetcode 3576. Transform Array to All Equal Elements
Leetcode 3576. Transform Array to All Equal Elements 1. 解题思路2. 代码实现 题目链接:3576. Transform Array to All Equal Elements 1. 解题思路 这一题思路上就是分别考察一下是否能将其转化为全1或者全-1数组即可。 至于每一种情况是否可以达到…...

Docker 运行 Kafka 带 SASL 认证教程
Docker 运行 Kafka 带 SASL 认证教程 Docker 运行 Kafka 带 SASL 认证教程一、说明二、环境准备三、编写 Docker Compose 和 jaas文件docker-compose.yml代码说明:server_jaas.conf 四、启动服务五、验证服务六、连接kafka服务七、总结 Docker 运行 Kafka 带 SASL 认…...
线程与协程
1. 线程与协程 1.1. “函数调用级别”的切换、上下文切换 1. 函数调用级别的切换 “函数调用级别的切换”是指:像函数调用/返回一样轻量地完成任务切换。 举例说明: 当你在程序中写一个函数调用: funcA() 然后 funcA 执行完后返回&…...

关于nvm与node.js
1 安装nvm 安装过程中手动修改 nvm的安装路径, 以及修改 通过nvm安装node后正在使用的node的存放目录【这句话可能难以理解,但接着往下看你就了然了】 2 修改nvm中settings.txt文件配置 nvm安装成功后,通常在该文件中会出现以下配置&…...

定时器任务——若依源码分析
分析util包下面的工具类schedule utils: ScheduleUtils 是若依中用于与 Quartz 框架交互的工具类,封装了定时任务的 创建、更新、暂停、删除等核心逻辑。 createScheduleJob createScheduleJob 用于将任务注册到 Quartz,先构建任务的 JobD…...

【快手拥抱开源】通过快手团队开源的 KwaiCoder-AutoThink-preview 解锁大语言模型的潜力
引言: 在人工智能快速发展的浪潮中,快手Kwaipilot团队推出的 KwaiCoder-AutoThink-preview 具有里程碑意义——这是首个公开的AutoThink大语言模型(LLM)。该模型代表着该领域的重大突破,通过独特方式融合思考与非思考…...

MODBUS TCP转CANopen 技术赋能高效协同作业
在现代工业自动化领域,MODBUS TCP和CANopen两种通讯协议因其稳定性和高效性被广泛应用于各种设备和系统中。而随着科技的不断进步,这两种通讯协议也正在被逐步融合,形成了一种新型的通讯方式——开疆智能MODBUS TCP转CANopen网关KJ-TCPC-CANP…...

SpringBoot+uniapp 的 Champion 俱乐部微信小程序设计与实现,论文初版实现
摘要 本论文旨在设计并实现基于 SpringBoot 和 uniapp 的 Champion 俱乐部微信小程序,以满足俱乐部线上活动推广、会员管理、社交互动等需求。通过 SpringBoot 搭建后端服务,提供稳定高效的数据处理与业务逻辑支持;利用 uniapp 实现跨平台前…...

SAP学习笔记 - 开发26 - 前端Fiori开发 OData V2 和 V4 的差异 (Deepseek整理)
上一章用到了V2 的概念,其实 Fiori当中还有 V4,咱们这一章来总结一下 V2 和 V4。 SAP学习笔记 - 开发25 - 前端Fiori开发 Remote OData Service(使用远端Odata服务),代理中间件(ui5-middleware-simpleproxy)-CSDN博客…...