LLM:er tolkar nu loggar från cyberattacker via CAM-LDS

Breaking News Teknik By James Lawson
A glowing blue neural network scanning digital code streams and isolating a bright red cyber attack anomaly.
4K Quality
Modern cybersäkerhet är beroende av analys av enorma mängder systemloggar, en uppgift som ofta överväldigar mänskliga experter och traditionella regelbaserade system. Forskare har introducerat CAM-LDS, en omfattande datamängd utformad för att träna storskaliga språkmodeller att semantiskt förstå och förklara digitala forensiska bevis i realtid.

Mer än chatbottar: Hur stora språkmodeller tolkar cyberattacksyttringar i systemloggar

Stora språkmodeller (LLM:er) revolutionerar cybersäkerheten genom ramverket CAM-LDS, en specialiserad datamängd utformad för automatisk tolkning av systemloggar och säkerhetsvarningar. Ramverket, som utvecklats av forskarna Max Landauer, Wolfgang Hotwagner och Thorina Boenke, adresserar det kritiska "semantiska gapet" inom digital forensik genom att tillhandahålla en etiketterad resurs som gör det möjligt för AI att förstå avsikten och mekaniken bakom yttringar av cyberattacker. Detta genombrott underlättar en övergång från enkel mönstermatchning till ett sofistikerat, människoliknande resonerande kring forensiska bevis.

Vad är CAM-LDS inom cybersäkerhet?

CAM-LDS är ett omfattande ramverk och en datamängd med titeln Cyber Attack Manifestations for Automatic Interpretation of Logs, utformat för att hjälpa stora språkmodeller att identifiera och förklara logghändelser som härrör från cyberattacker. Det omfattar sju attackscenarier som täcker 81 olika tekniker fördelade på 13 taktiker, insamlade från 18 olika källor i en reproducerbar miljö. Detta gör det möjligt för säkerhetsverktyg att gå bortom enkel detektering mot en semantisk förståelse av en inkräktares specifika handlingar.

Cyber Attack Manifestation Log Data Set skapades för att lösa bristen på högkvalitativ, etiketterad data som krävs för att träna AI för forensiska uppgifter. Genom att extrahera logghändelser som direkt härrör från attackutföranden har Landauer och hans team möjliggjort en djupare analys av kommando-observabilitet, händelsefrekvenser och prestandamått. Denna metodik tillåter en domänagnostisk tolkning av loggar, vilket innebär att AI:n kan analysera data från skilda programvaruekosystem utan att en människa behöver skriva anpassade regler för varje nytt verktyg eller operativsystem.

För att säkerställa hög precision använde forskarna en helt öppen och reproducerbar testmiljö. Denna miljö simulerar komplexa företagsnätverk, vilket möjliggör insamling av heterogen data inklusive systemanrop, nätverkstrafik och loggar på applikationsnivå. Datamängden CAM-LDS fokuserar specifikt på yttringar – de digitala fotspår som lämnas kvar under ett intrång – vilket gör det möjligt för stora språkmodeller att koppla samman till synes orelaterade loggposter till ett sammanhängande narrativ om en pågående attack.

Vilka är utmaningarna med manuell logganalys inom forensik?

Manuell logganalys inom digital forensik hindras främst av den enorma mängden ostrukturerad data och den stora variationen av händelseformat som snabbt överväldigar mänskliga experter. Analytiker måste ofta sålla igenom miljontals rader telemetri för att hitta ett enda skadligt kommando, en process som inte bara är tidskrävande utan också benägen för kritiska förbiseenden. Allteftersom företagssystem blir mer komplexa gör heterogeniteten i loggformaten det nästan omöjligt för en människa att upprätthålla expertis över alla datakällor.

”Flaskhalsen för loggdata” är ett väldokumenterat fenomen där hastigheten på datagenerering överstiger den mänskliga kapaciteten för tolkning. Inom modern cybersäkerhet kan intrångsdetekteringssystem (IDS) flagga tusentals varningar dagligen, varav många är falska positiva eller "brus". När ett verkligt intrång inträffar är bevisen ofta utspridda över flera källor, såsom:

  • Windows-händelseloggar och Linux Syslog-poster.
  • Nätverkstrafik (PCAP) och flödesdata.
  • Applikationsspecifika loggar från webbservrar eller databaser.
  • Varningar från säkerhetsorkestratorer som saknar djup kontextuell metadata.

Dessutom kräver manuell analys att disparata händelser kopplas till en enda tidslinje för intrånget. Detta kräver semantisk förståelse – att veta att en händelse för "fil skapad" i en logg och en händelse för "process startad" i en annan faktiskt är två delar av samma teknik för lateral förflyttning. Utan automatisering kämpar forensiska utredare med att uppnå den hastighet som krävs för att begränsa ett aktivt hot innan dataexfiltrering sker.

Hur fungerar automatiserad logganalys med stora språkmodeller?

Automatiserad logganalys som utnyttjar stora språkmodeller fungerar genom att behandla systemloggar som ett naturligt språk, vilket gör det möjligt för AI:n att tolka "betydelsen" av systemhändelser snarare än att bara matcha fördefinierade signaturer. Genom att använda datamängden CAM-LDS lär sig dessa modeller att extrahera relevanta yttringar och tillhandahålla kausala förklaringar till säkerhetsvarningar. Detta tillvägagångssätt möjliggör detektering av nya attackvariationer som traditionella regelbaserade system kan missa eftersom LLM:en förstår den underliggande logiken i attacktekniken.

Konventionell automatisering bygger ofta på handkodade logg-parsers och expertdefinierade detekteringsregler. Dessa system är i sig sköra; en liten ändring i en programvaruversion eller ett loggformat kan göra en detekteringsregel värdelös. I kontrast till detta erbjuder stora språkmodeller ett domänagnostiskt intelligenslager. De kräver inte manuell särdragsutveckling eftersom de kan ta in rå eller semistrukturerad text och använda sina interna lingvistiska vikter för att identifiera anomalier och skadlig avsikt över 13 olika MITRE ATT&CK-taktiker.

Effektiviteten i detta tillvägagångssätt demonstrerades i en fallstudie utförd av Landauer, Hotwagner och Boenke. Genom att tillämpa en LLM på CAM-LDS-data fann forskarna att:

  • Korrekta attacktekniker förutspåddes perfekt för cirka 33 % av attackstegen.
  • Förutsägelserna var "tillräckligt" exakta för ytterligare 33 %, genom att identifiera hotets allmänna kategori.
  • Modellen lyckades belysa kommando-observabilitet och visa vilka loggar som var mest användbara för forensisk rekonstruktion.

Den semantiska fördelen och AI:s framtid inom försvar

Den främsta fördelen med att integrera stora språkmodeller i SOC (Security Operations Center) är förmågan att tillhandahålla kausala förklaringar. Traditionella säkerhetsverktyg kan varna en analytiker om att en specifik IP-adress är misstänkt, men ett LLM-drivet system kan förklara *varför* den IP-adressen är farlig genom att korrelera dess aktivitet med specifika yttringar i systemloggarna. Detta minskar den kognitiva belastningen på analytiker och möjliggör snabbt, informerat beslutsfattande under en incidenthantering.

Framåtblickande betonar forskarna att CAM-LDS fungerar som en grundläggande resurs för att skala upp försvarsförmågan. Allteftersom cyberattacker blir mer sofistikerade och sker i flera steg, måste försvarssystem kunna följa "tråden" i en attack genom ett hav av digitalt brus. Framtiden för digital forensik ligger i denna synergi mellan högkvalitativa datamängder och resonemangsförmågan hos generativ AI, vilket för branschen mot en framtid där intrångsdetekteringssystem inte bara är reaktiva, utan interpretativa.

Nästa steg för denna forskning innebär att utöka CAM-LDS-datamängden till att inkludera ännu fler skilda miljöer, såsom molnbaserade arkitekturer och IoT-ekosystem. Genom att tillhandahålla en reproducerbar testbädd med öppen källkod har Landauer och hans kollegor bjudit in det globala cybersäkerhetscommunityt att förfina dessa stora språkmodeller ytterligare. Målet är att nå en nivå av automatisering där AI:n inte bara kan upptäcka och tolka en attack utan också rekommendera exakta åtgärdssteg i realtid, och därmed effektivt neutralisera hoten när de yttrar sig i loggarna.

James Lawson

James Lawson

Investigative science and tech reporter focusing on AI, space industry and quantum breakthroughs

University College London (UCL) • United Kingdom

Readers

Readers Questions Answered

Q Vad är CAM-LDS inom cybersäkerhet?
A CAM-LDS är ett ramverk kallat Cyber Attack Manifestations for Automatic Interpretation of Logs using Large Language Models, utformat för att extrahera logghändelser som är ett direkt resultat av cyberattacker. Det underlättar analys av attackmanifestationer i systemloggar genom att fokusera på kommando-observerbarhet för att stödja automatiserad tolkning med stora språkmodeller (LLM). Detta tillvägagångssätt går längre än traditionella chatbotar genom att möjliggöra exakt detektering och förståelse av cyberhot i loggdata.
Q Hur fungerar automatiserad logganalys?
A Automatiserad logganalys inom cybersäkerhet utnyttjar stora språkmodeller för att tolka systemloggar och identifiera manifestationer av cyberattacker genom att extrahera relevanta logghändelser kopplade till genomförda attacker. Den bearbetar stora mängder loggdata för att upptäcka mönster, anomalier och kommando-observerbarhet som indikerar hot, vilket förbättrar effektiviteten jämfört med manuella metoder. Verktyg som CAM-LDS förstärker detta genom att fokusera på händelser som är direkt relaterade till attacker för en noggrann och skalbar analys.
Q Vilka är utmaningarna med manuell logganalys inom forensik?
A Manuell logganalys inom digital forensik står inför utmaningar på grund av de enorma mängder loggar som genereras i moderna system, vilket gör grundlig genomgång tidskrävande och riskfylld för förbiseenden. Analytiker kämpar med att tolka komplexa, ostrukturerade data för att koppla händelser till specifika attacker, och missar ofta subtila manifestationer. Denna arbetsintensiva process fördröjer responstiden vid incidenter och ökar risken för ofullständiga utredningar.

Have a question about this article?

Questions are reviewed before publishing. We'll answer the best ones!

Comments

No comments yet. Be the first!