論文の概要: Automated Post-Incident Policy Gap Analysis via Threat-Informed Evidence Mapping using Large Language Models
- arxiv url: http://arxiv.org/abs/2601.03287v1
- Date: Sun, 04 Jan 2026 01:39:20 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-01-08 18:12:46.030432
- Title: Automated Post-Incident Policy Gap Analysis via Threat-Informed Evidence Mapping using Large Language Models
- Title(参考訳): 大規模言語モデルを用いた脅威インフォームドエビデンスマッピングによる事故後ポリシーギャップの自動解析
- Authors: Huan Lin Oh, Jay Yong Jun Jie, Mandy Lee Ling Siu, Jonathan Pan,
- Abstract要約: 本稿では,Large Language Models (LLMs) が,システム証拠を自律的に分析し,セキュリティポリシーのギャップを識別することによって,事故後のレビューを強化することができるかどうかを検討する。
我々は、ログデータを取り込み、観察された振る舞いをMITRE ATT&CKフレームワークにマップし、妥当性とコンプライアンスに関する組織的セキュリティポリシーを評価する脅威に富んだエージェント型フレームワークを提案する。
- 参考スコア(独自算出の注目度): 0.0
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Cybersecurity post-incident reviews are essential for identifying control failures and improving organisational resilience, yet they remain labour-intensive, time-consuming, and heavily reliant on expert judgment. This paper investigates whether Large Language Models (LLMs) can augment post-incident review workflows by autonomously analysing system evidence and identifying security policy gaps. We present a threat-informed, agentic framework that ingests log data, maps observed behaviours to the MITRE ATT&CK framework, and evaluates organisational security policies for adequacy and compliance. Using a simulated brute-force attack scenario against a Windows OpenSSH service (MITRE ATT&CK T1110), the system leverages GPT-4o for reasoning, LangGraph for multi-agent workflow orchestration, and LlamaIndex for traceable policy retrieval. Experimental results indicate that the LLM-based pipeline can interpret log-derived evidence, identify insufficient or missing policy controls, and generate actionable remediation recommendations with explicit evidence-to-policy traceability. Unlike prior work that treats log analysis and policy validation as isolated tasks, this study integrates both into a unified end-to-end proof-of-concept post-incident review framework. The findings suggest that LLM-assisted analysis has the potential to improve the efficiency, consistency, and auditability of post-incident evaluations, while highlighting the continued need for human oversight in high-stakes cybersecurity decision-making.
- Abstract(参考訳): サイバーセキュリティのポストインシデントレビューは、制御の失敗を特定し、組織のレジリエンスを改善するために不可欠である。
本稿では,Large Language Models (LLMs) が,システム証拠を自律的に分析し,セキュリティポリシーのギャップを識別することによって,事故後のレビューワークフローを増強できるかどうかを検討する。
我々は、ログデータを取り込み、観察された振る舞いをMITRE ATT&CKフレームワークにマップし、妥当性とコンプライアンスに関する組織的セキュリティポリシーを評価する脅威に富んだエージェント型フレームワークを提案する。
Windows OpenSSHサービス(MITRE ATT&CK T1110)に対するシミュレーションされたブルートフォース攻撃シナリオを使用して、システムは推論にGPT-4o、マルチエージェントワークフローオーケストレーションにLangGraph、トレース可能なポリシー検索にLlamaIndexを利用する。
実験結果から,LSMをベースとしたパイプラインは,ログ由来の証拠を解釈し,不十分あるいは欠落したポリシー制御を識別し,明確な証拠から政治へのトレーサビリティを備えた実用的な修正レコメンデーションを生成することが示唆された。
ログ分析とポリシー検証を独立したタスクとして扱う以前の作業とは異なり、本研究では、統合されたエンドツーエンドの概念実証後レビューフレームワークに統合する。
以上の結果から,LCM支援分析は事故後評価の効率性,一貫性,監査性を向上させる可能性があり,高いサイバーセキュリティ意思決定における人間の監視の継続の必要性が示唆された。
関連論文リスト
- GuardTrace-VL: Detecting Unsafe Multimodel Reasoning via Iterative Safety Supervision [47.99880677909197]
GuardTrace-VLは、共同画像テキスト分析を通じてQTAパイプライン全体を監視する、視覚対応の安全監査ツールである。
本研究では,データ修正プロセスと組み合わさった3段階のプログレッシブトレーニング手法を提案する。
提案したテストセットでは、ドメイン内シナリオとドメイン外シナリオの両方を対象として、安全でない推論検出タスクにおいて、GuardTrace-VLモデルがF1スコア93.1%を達成した。
論文 参考訳(メタデータ) (2025-11-26T02:49:51Z) - LLM-driven Provenance Forensics for Threat Investigation and Detection [12.388936704058521]
PROVSEEKは、証明駆動の法医学的分析と脅威情報抽出のためのエージェントフレームワークである。
ベクター化された脅威レポートの知識ベースとシステム前駆者データベースのデータとを融合させる、正確なコンテキスト対応クエリを生成する。
証明クエリを解決し、複数の役割特異的なエージェントを編成して幻覚を緩和し、構造化された、地味で検証可能な法医学的な要約を合成する。
論文 参考訳(メタデータ) (2025-08-29T04:39:52Z) - Improving LLM Reasoning for Vulnerability Detection via Group Relative Policy Optimization [45.799380822683034]
大規模言語モデル(LLM)のためのRLベースファインタニング技術の進歩を目的とした広範な研究を提案する。
一般的に採用されているLSMには,特定の脆弱性を過度に予測する傾向があり,他の脆弱性を検出できない,といった,重要な制限が強調される。
この課題に対処するために、構造化されたルールベースの報酬を通してLLMの振る舞いを導くための最近の政策段階的手法であるグループ相対政策最適化(GRPO)について検討する。
論文 参考訳(メタデータ) (2025-07-03T11:52:45Z) - A Survey on Model Extraction Attacks and Defenses for Large Language Models [55.60375624503877]
モデル抽出攻撃は、デプロイされた言語モデルに重大なセキュリティ脅威をもたらす。
この調査は、抽出攻撃と防御攻撃の包括的分類、機能抽出への攻撃の分類、データ抽出の訓練、およびプロンプトターゲット攻撃を提供する。
モデル保護,データプライバシ保護,迅速なターゲット戦略に編成された防御機構について検討し,その効果を異なる展開シナリオで評価する。
論文 参考訳(メタデータ) (2025-06-26T22:02:01Z) - ETrace:Event-Driven Vulnerability Detection in Smart Contracts via LLM-Based Trace Analysis [14.24781559851732]
本稿では,スマートコントラクトのためのイベント駆動型脆弱性検出フレームワークETraceを紹介する。
トランザクションログからきめ細かいイベントシーケンスを抽出することで、フレームワークは適応的なセマンティックインタプリタとしてLarge Language Models (LLM)を活用する。
ETraceはパターンマッチングを実装して、トランザクションの動作パターンと既知の攻撃行動の間に因果関係を確立する。
論文 参考訳(メタデータ) (2025-06-18T18:18:19Z) - LLM-Safety Evaluations Lack Robustness [58.334290876531036]
我々は、大規模言語モデルに対する現在の安全アライメント研究は、多くのノイズ源によって妨げられていると論じる。
本研究では,将来の攻撃・防衛用紙の評価において,ノイズやバイアスを低減させる一連のガイドラインを提案する。
論文 参考訳(メタデータ) (2025-03-04T12:55:07Z) - Exploring Answer Set Programming for Provenance Graph-Based Cyber Threat Detection: A Novel Approach [4.302577059401172]
プロヴァンスグラフは、サイバーセキュリティにおけるシステムレベルのアクティビティを表現するのに有用なツールである。
本稿では, ASP を用いてプロファイランスグラフをモデル化・解析する手法を提案する。
論文 参考訳(メタデータ) (2025-01-24T14:57:27Z) - It Is Time To Steer: A Scalable Framework for Analysis-driven Attack Graph Generation [50.06412862964449]
アタックグラフ(AG)は、コンピュータネットワークに対するマルチステップ攻撃に対するサイバーリスクアセスメントをサポートする最も適したソリューションである。
現在の解決策は、アルゴリズムの観点から生成問題に対処し、生成が完了した後のみ解析を仮定することである。
本稿では,アナリストがいつでもシステムに問い合わせることのできる新しいワークフローを通じて,従来のAG分析を再考する。
論文 参考訳(メタデータ) (2023-12-27T10:44:58Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。