【论文速读】| 人工智能驱动的网络威胁情报自动化
基本信息
原文标题:AI-Driven Cyber Threat Intelligence Automation
原文作者:Shrit Shah, Fatemeh Khoda Parast
作者单位:加拿大圭尔夫大学计算机科学学院
关键词:网络威胁情报,AI自动化,攻击技术和策略,持久性威胁
原文链接:https://arxiv.org/pdf/2410.20287
开源代码:暂无
论文要点
论文简介:本文提出了一种利用微软AI驱动的安全技术实现工业环境中网络威胁情报(CTI)自动化的新方法。传统CTI主要依赖手动方式来收集、分析和解释威胁情报,这不仅耗时且易出错,特别是在快速应对安全威胁的情况下效率低下。通过使用GPT-4o等大语言模型和一键微调技术,本研究构建了一种新的CTI自动化解决方案,可以在保持情报精度的同时减少人工操作。本方法不仅提升了CTI报告生成的速度和准确性,还减少了对专家的依赖,从而在当今动态的威胁环境中占据了重要优势。
研究目的:网络威胁情报(CTI)旨在收集、分析并传播有关当前和潜在网络威胁的信息,以识别威胁指标(IoC)和理解攻击者的战术、技术和程序(TTP)。尽管CTI对网络安全至关重要,但目前的情报生成方法仍主要依赖于手动分析和数据合成,这在面对庞大的数据量时极易出现瓶颈。本研究的目的在于探索现有手动CTI生成过程的局限性,提出一种基于AI的自动化方法,以提高报告的质量、速度和准确性。通过识别CTI过程中可自动化的部分,本研究旨在开发更先进的自动CTI系统,从而提升威胁应对效率。
引言
网络威胁情报(CTI)一直以来是网络安全防御的核心,依赖手动的数据收集与分析以识别潜在的威胁。然而,传统手动方法不仅费时费力,而且在快速应对复杂威胁方面存在效率低下的问题。例如,CTI分析员需要从大量的安全日志、威胁信息源等收集数据并手动提取攻击指标(IoC),这一过程往往耗费数天甚至数周的时间。此外,手动处理还增加了错过关键信息或引入错误的风险。不同分析员对威胁数据的解读可能存在差异,导致报告不一致,进而影响对威胁的快速反应。
为了解决这一问题,近年来一些学者提出了将AI和自动化技术应用于CTI的设想。尽管部分组织仍对完全依赖AI的CTI方法持怀疑态度,认为AI可能会带来误报或无法正确解读复杂威胁信息,但AI的应用确实为CTI报告生成提供了潜在的优势。本研究旨在探索这些AI驱动的自动化方案如何填补手动CTI生成的空白,并提出了一种结合微软安全工具的自动化框架,既能降低对人工的依赖,又能提升报告生成的速度与准确性。
当前趋势
近年来,AI在CTI自动化中的应用引起了学术界和工业界的广泛关注。多个研究团队提出了利用自然语言处理(NLP)、信息检索(IR)和机器学习(ML)方法自动提取CTI数据的模型。例如,Husari等人提出的TTPDrill模型通过NLP和IR技术从非结构化CTI报告中提取攻击模式,并将其映射到攻击链中。这种自动化工具显著提升了提取威胁技术的精度。而Zhao等人则提出了TIMiner框架,该框架利用卷积神经网络(CNN)从社交媒体数据中提取CTI信息并分类,用于不同领域的威胁检测。
这些AI驱动的CTI自动化技术主要关注快速、准确地从大量非结构化数据中提取有效的威胁信息,同时构建结构化威胁情报。然而,尽管这些方法在数据提取和处理上表现出色,它们仍然需要具备一定领域知识的专家来实施和调试,难以在没有专家资源的环境中推广应用。
研究方法
本研究设计了一种基于微软生态系统的全自动CTI生成方法,主要采用PowerShell脚本、Azure Logic Apps、Microsoft Copilot for Security(MCS)和Azure AI Studio等技术。整个自动化流程通过PowerShell脚本收集用户数据并启动工作流,Azure Logic Apps分段生成报告,MCS和Azure AI分别负责处理各部分内容。生成的CTI报告包括元数据、攻击概览、MITRE攻击技术摘要、数据提取、工具与恶意软件分析、防御建议和参考文献等七大部分。该框架的设计确保了报告生成的效率和可控性,每个部分内容均经过优化以适应自动化需求。
关键发现
实验评估表明,该自动化框架在生成速度和成本方面相较于手动生成有显著优势。在性能评估方面,研究选取了八种攻击活动并分别用手动和AI方法生成报告,通过BERT模型和余弦相似度等指标对比报告内容,发现AI生成的报告在一致性和精确度上与手动报告基本一致。此外,通过对攻击模式的提取准确性进行测试,结果显示AI模型的平均准确率达到了79%。
研究讨论
AI驱动的CTI自动化方案极大地加速了报告的生成过程,并显著降低了手动操作的需求,然而这一效率提升的同时也带来了成本上的增加,尤其是在计算资源的消耗方面。尽管AI生成的报告在一定程度上达到了手动生成报告的标准,但由于生成内容的不稳定性和轻微的不一致,仍需要人工干预来校正并完善报告内容。通过与工业合作伙伴的访谈发现,AI自动化使得原本需耗费8小时的手动报告编写工作减少至1-2小时,有效地提高了报告生成效率。
论文结论
本研究提出了一个基于AI的网络威胁情报自动化生成架构,成功实现了快速情报共享与提升攻击检测效率的目标。尽管AI在生成报告方面表现出色,复杂的技术报告部分仍然需要人工干预,以确保最终报告的精准度和有效性。未来工作将继续扩大数据集范围,以更全面地验证自动化效果,并探索其他威胁类型下的应用表现。同时,研究团队还计划开发一种集成多种AI方法与专有安全产品的混合模型,进一步提升CTI报告的质量和效率。
相关文章:
【论文速读】| 人工智能驱动的网络威胁情报自动化
基本信息 原文标题:AI-Driven Cyber Threat Intelligence Automation 原文作者:Shrit Shah, Fatemeh Khoda Parast 作者单位:加拿大圭尔夫大学计算机科学学院 关键词:网络威胁情报,AI自动化,攻击技术和…...
什么是域名监控?
域名监控是持续跟踪全球域名系统(DNS)中变化以发现恶意活动迹象的过程。组织可以对其拥有的域名进行监控,以判断是否有威胁行为者试图入侵其网络。他们还可以对客户的域名使用这种技术以执行类似的检查。 你可以将域名监控比作跟踪与自己实物…...
vue3 发送 axios 请求时没有接受到响应数据
<script setup> import Edit from ./components/Edit.vue import axios from axios import { onMounted,ref } from vue// TODO: 列表渲染 //装数据的列表 const list ref([]) const count ref(0) const getList async () > {//通过发送 /list 请求从后端拿到列表数…...
前端使用fontfaceobserver库实现字体设置
要使用FontFaceObserver来加载设置项目本地的字体,先确保字体文件位于项目中或者可以从服务端获取到,这样就可以使用FontFaceObserver来检测并加载这些字体 主要有以下几步: npm或者yarn安装引入fontfaceobserver字体资源引入和font-face配置…...
【人工智能】Python常用库-PyTorch常用方法教程
PyTorch 是一个强大的开源深度学习框架,以其灵活性和动态计算图而广受欢迎。以下是 PyTorch 的详细教程,涵盖从基础到实际应用的使用方法。 1. 安装与导入 1.1 安装 PyTorch 访问 PyTorch 官方网站,根据系统、Python 版本和 CUDA 支持选择安…...
Android Studio安装TalkX AI编程助手
文章目录 TalkX简介编程场景 TalkX安装TalkX编程使用ai编程助手相关文章 TalkX简介 TalkX是一款将OpenAI的GPT 3.5/4模型集成到IDE的AI编程插件。它免费提供特定场景的AI编程指导,帮助开发人员提高工作效率约38%,甚至在解决编程问题的效率上提升超过2倍…...
#渗透测试#红蓝攻防#HW#漏洞挖掘#漏洞复现02-永恒之蓝漏洞
免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停…...
gitlab自动打包python项目
现在新版的gitlab可以不用自己配置runner什么的了 直接写.gitlab-ci.yml文件就行,这里给出一个简单的依靠setup把python项目打包成whl文件的方法 首先写.gitlab-ci.yml文件,放到项目根目录里 stages: # List of stages for jobs, and their or…...
残差神经网络
目录 1. 梯度消失问题 2. 残差学习的引入 3. 跳跃连接(Shortcut Connections) 4. 恒等映射与维度匹配 5. 反向传播与梯度流 6. 网络深度与性能 总结 残差神经网络的原理是基于“残差学习”的概念,它旨在解决深度神经网络训练中的梯度消…...
mini-spring源码分析
IOC模块 关键解释 beanFactory:beanFactory是一个hashMap, key为beanName, Value为 beanDefination beanDefination: BeanDefinitionRegistry,BeanDefinition注册表接口,定义注册BeanDefinition的方法 beanReference:增加Bean…...
黑马程序员Java项目实战《苍穹外卖》Day01
苍穹外卖-day01 课程内容 软件开发整体介绍苍穹外卖项目介绍开发环境搭建导入接口文档Swagger 项目整体效果展示: 管理端-外卖商家使用 用户端-点餐用户使用 当我们完成该项目的学习,可以培养以下能力: 1. 软件开发整体介绍 作为一…...
uniapp开发支付宝小程序自定义tabbar样式异常
解决方案: 这个问题应该是支付宝基础库的问题,除了依赖于官方更新之外,开发者可以利用《自定义 tabBar》曲线救国 也就是创建一个空内容的自定义tabBar,这样即使 tabBar 被渲染出来,但从视觉上也不会有问题 1.官方文…...
python+django5.1+docker实现CICD自动化部署springboot 项目前后端分离vue-element
一、开发环境搭建和配置 # channels是一个用于在Django中实现WebSocket、HTTP/2和其他异步协议的库。 pip install channels#channels-redis是一个用于在Django Channels中使用Redis作为后台存储的库。它可以用于处理#WebSocket连接的持久化和消息传递。 pip install channels…...
python代码示例(读取excel文件,自动播放音频)
目录 python 操作excel 表结构 安装第三方库 代码 自动播放音频 介绍 安装第三方库 代码 python 操作excel 表结构 求出100班同学的平均分 安装第三方库 因为这里的表结构是.xlsx文件,需要使用openpyxl库 如果是.xls格式文件,需要使用xlrd库 pip install openpyxl /…...
)
【第十课】Rust并发编程(一)
目录 前言 Fork和Join 前言 本节会介绍Rust中的并发编程,并发编程在编程中是提升cpu使用率的一大利器,通过多线程技术提升效率,Rust的并发和其他编程语言的并发不同的地方在于,Rust号称无畏并发。更重要的一点是安全。Rust中所有…...
图形渲染性能优化
variable rate shading conditional render 设置可见性等, 不需要重新build command buffer indirect draw glMultiDraw* - 直接支持多次绘制glMultiDrawIndirect - 间接多次绘制multithreading 多线程录制 实例化渲染 lod texture array 小对象剔除 投影到…...
elasticsearch的索引模版使用方法
5 索引模版⭐️⭐️⭐️⭐️⭐️ 索引模板就是创建索引时要遵循的模板规则索引模板仅对新创建的索引有效,已经创建的索引并不受索引模板的影响 5.1 索引模版的基本使用 1.查看所有的索引模板 GET 10.0.0.91:9200/_index_template2.创建自定义索引模板 xixi &…...
论文学习——进化动态约束多目标优化:测试集和算法
论文题目:Evolutionary Dynamic Constrained Multiobjective Optimization: Test Suite and Algorithm 进化动态约束多目标优化:测试集和算法(Guoyu Chen ,YinanGuo , Member, IEEE, Yong Wang , Senior Member, IEEE, Jing Liang , Senior …...
C++中的volatile关键字
作用: 1.它用于修饰变量,告知编译器该变量的值可能会在程序的外部被改变,编译器不能对这个变量的访问进行优化。这是因为编译器通常会对代码进行优化,例如把变量的值缓存到寄存器中,但对于 volatile 变量,…...
linux桌面qt应用程序UI自动化实现之dogtail
1. 前言 Dogtail适用于Linux 系统上进行 GUI 自动化测试,利用 Accessibility 技术与桌面程序通信;Dogtail 包含一个名为 sniff 的组件,这是一个嗅探器,用于 GUI 程序追踪; 源码下载:dogtail PyPI 可通过sudo python setup.py install安装或sudo pip install dogt…...
k8s从入门到放弃之Ingress七层负载
k8s从入门到放弃之Ingress七层负载 在Kubernetes(简称K8s)中,Ingress是一个API对象,它允许你定义如何从集群外部访问集群内部的服务。Ingress可以提供负载均衡、SSL终结和基于名称的虚拟主机等功能。通过Ingress,你可…...
什么是EULA和DPA
文章目录 EULA(End User License Agreement)DPA(Data Protection Agreement)一、定义与背景二、核心内容三、法律效力与责任四、实际应用与意义 EULA(End User License Agreement) 定义: EULA即…...
【网络安全】开源系统getshell漏洞挖掘
审计过程: 在入口文件admin/index.php中: 用户可以通过m,c,a等参数控制加载的文件和方法,在app/system/entrance.php中存在重点代码: 当M_TYPE system并且M_MODULE include时,会设置常量PATH_OWN_FILE为PATH_APP.M_T…...
MySQL 索引底层结构揭秘:B-Tree 与 B+Tree 的区别与应用
文章目录 一、背景知识:什么是 B-Tree 和 BTree? B-Tree(平衡多路查找树) BTree(B-Tree 的变种) 二、结构对比:一张图看懂 三、为什么 MySQL InnoDB 选择 BTree? 1. 范围查询更快 2…...
永磁同步电机无速度算法--基于卡尔曼滤波器的滑模观测器
一、原理介绍 传统滑模观测器采用如下结构: 传统SMO中LPF会带来相位延迟和幅值衰减,并且需要额外的相位补偿。 采用扩展卡尔曼滤波器代替常用低通滤波器(LPF),可以去除高次谐波,并且不用相位补偿就可以获得一个误差较小的转子位…...
aardio 自动识别验证码输入
技术尝试 上周在发学习日志时有网友提议“在网页上识别验证码”,于是尝试整合图像识别与网页自动化技术,完成了这套模拟登录流程。核心思路是:截图验证码→OCR识别→自动填充表单→提交并验证结果。 代码在这里 import soImage; import we…...
解析“道作为序位生成器”的核心原理
解析“道作为序位生成器”的核心原理 以下完整展开道函数的零点调控机制,重点解析"道作为序位生成器"的核心原理与实现框架: 一、道函数的零点调控机制 1. 道作为序位生成器 道在认知坐标系$(x_{\text{物}}, y_{\text{意}}, z_{\text{文}}…...
Java后端检查空条件查询
通过抛出运行异常:throw new RuntimeException("请输入查询条件!");BranchWarehouseServiceImpl.java // 查询试剂交易(入库/出库)记录Overridepublic List<BranchWarehouseTransactions> queryForReagent(Branch…...
【iOS】 Block再学习
iOS Block再学习 文章目录 iOS Block再学习前言Block的三种类型__ NSGlobalBlock____ NSMallocBlock____ NSStackBlock__小结 Block底层分析Block的结构捕获自由变量捕获全局(静态)变量捕获静态变量__block修饰符forwarding指针 Block的copy时机block作为函数返回值将block赋给…...
如何通过git命令查看项目连接的仓库地址?
要通过 Git 命令查看项目连接的仓库地址,您可以使用以下几种方法: 1. 查看所有远程仓库地址 使用 git remote -v 命令,它会显示项目中配置的所有远程仓库及其对应的 URL: git remote -v输出示例: origin https://…...