Агенты кибербезопасности

Поскольку кибератаки быстро развиваются на уровнях коммуникаций, инфраструктуры и данных, традиционные решения безопасности, такие как системы обнаружения вторжений (IDS) на основе правил или антивирусные программы на основе сигнатур, эффективны в обнаружении известных угроз, но им часто не хватает контекстного понимания и семантической интерпретации, необходимых для обнаружения сложных или развивающихся атак. Например, фишинговые кампании, сложные постоянные угрозы (APT) и многоэтапные атаки часто не поддаются обнаружению из-за своей тонкой и контекстно-зависимой природы. Это ограничение создает критический пробел в обнаружении скоординированных или скрытых шаблонов атак, охватывающих несколько систем и доменов. Необходимость семантического понимания, кросс-доменной видимости и адаптивного обнаружения становится все более актуальной, особенно в связи с тем, что субъекты угроз используют полиморфные и основанные на искусственном интеллекте стратегии, которые традиционные системы не могут эффективно интерпретировать или коррелировать. В данной статье представлена модульная многоагентная архитектура, которая интегрирует известные инструменты анализа кибербезопасности с большими языковыми моделями (LLM) для достижения интеллектуального, объяснимого и высокоточного обнаружения угроз в различных типах данных. Три специализированных агента: 1) проверка электронной почты, 2) анализ журналов и 3) сканирование IP-адресов, каждый из которых работает независимо, используя адаптированные конвейеры обнаружения, которые сочетают в себе инструменты, специфичные для предметной области, и компоненты семантического анализа на основе LLM для выявления, характеристики и сообщения об угрозах, специфичных для его области. В основе системы лежит система контекстных рекомендаций, которая обрабатывает и перекрестно анализирует выходные данные всех специализированных агентов для обнаружения сложных шаблонов угроз, таких как многовекторные, временные или скрытые атаки, которые в противном случае не были бы обнаружены изолированными механизмами обнаружения. Оценка на эталонных наборах данных, включая CIC-IDS 2017, SpamAssassin и пользовательские смоделированные сетевые среды, демонстрирует точность обнаружения угроз 93,6%, точность многоагентной корреляции 87% и снижение ложноположительных срабатываний на 41,3% по сравнению с традиционными подходами. Использование LLM как для структурированных объяснений, так и для цепочек мыслей отчетов дополнительно повышает уверенность аналитиков и сокращает время сортировки. - A Multi-Agent System for Cybersecurity Threat Detection and Correlation Using Large Language Models

Хороший обзор использования LLM в кибербезопасности