論文の概要: Toward Autonomous SOC Operations: End-to-End LLM Framework for Threat Detection, Query Generation, and Resolution in Security Operations

• arxiv url: http://arxiv.org/abs/2604.27321v1
• Date: Thu, 30 Apr 2026 02:06:46 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-05-01 16:31:53.874054
• Title: Toward Autonomous SOC Operations: End-to-End LLM Framework for Threat Detection, Query Generation, and Resolution in Security Operations
• Title（参考訳）: 自律型 SOC 運用に向けて: 脅威検出,クエリ生成,セキュリティ操作の解決のためのエンドツーエンド LLM フレームワーク
• Authors: Md Hasan Saju, Akramul Azim,
• Abstract要約: セキュリティ・オペレーション・センター(SOC)は運用上の課題に直面している。 これらの課題は、脅威量の増加、異種SIEMプラットフォーム、時間を要する手作業によるトリアージなどである。 本稿では,アンサンブルに基づく検出,構文制約付きクエリ生成,検索強化型解決支援を統合したエンドツーエンドの脅威管理フレームワークを提案する。
• 参考スコア（独自算出の注目度）: 1.7102338932907293
• License: http://creativecommons.org/licenses/by-sa/4.0/
• Abstract: Security Operations Centers (SOCs) face mounting operational challenges. These challenges come from increasing threat volumes, heterogeneous SIEM platforms, and time-consuming manual triage workflows. We present an end-to-end threat management framework that integrates ensemble-based detection, syntax-constrained query generation, and retrieval-augmented resolution support to automate critical security workflows. Our detection module evaluates both traditional machine learning classifiers and large language models (LLMs), then combines the three best-performing LLMs to create an ensemble model, achieving 82.8% accuracy while maintaining 0.120 false positive rate on SIEM logs. We introduce the SQM (Syntax Query Metadata) architecture for automated evidence collection. It uses platform-specific syntax constraints, metadata-based retrieval, and documentation-grounded prompting to generate executable queries for IBM QRadar and Google SecOps. SQM achieves a BLEU score of 0.384 and a ROUGE-L score of 0.731. These results are more than twice as good as the baseline LLM performance. For incident resolution and recommendation generation, we demonstrate that integrating SQM-derived evidence improves resolution code prediction accuracy from 78.3% to 90.0%, with an overall recommendation quality score of 8.70. In production SOC environments, our framework reduces average incident triage time from hours to under 10 minutes. This work demonstrates that domain-constrained LLM architectures with retrieval augmentation can meet the strict reliability and efficiency requirements of operational security environments at scale.
• Abstract（参考訳）: セキュリティ・オペレーション・センター(SOC)は運用上の課題に直面している。 これらの課題は、脅威量の増加、異種SIEMプラットフォーム、時間を要する手作業によるトリアージワークフローなどにある。 本稿では、アンサンブルに基づく検出、構文制約付きクエリ生成、および重要なセキュリティワークフローを自動化するための検索強化解決サポートを統合したエンドツーエンドの脅威管理フレームワークを提案する。 我々の検出モジュールは、従来の機械学習分類器と大規模言語モデル(LLM)の両方を評価し、次に3つの最高の性能のLCMを組み合わせてアンサンブルモデルを作成し、SIEMログの0.120偽陽性率を維持しながら82.8%の精度を実現した。 自動エビデンス収集のためのSQM(Syntax Query Metadata)アーキテクチャを提案する。 プラットフォーム固有の構文制約、メタデータベースの検索、ドキュメントベースのプロンプトを使用して、IBM QRadarとGoogle SecOpsの実行可能なクエリを生成する。 SQMはBLEUスコア0.384、ROUGE-Lスコア0.731を達成する。 これらの結果は,LLMのベースライン性能の2倍以上に向上する。 インシデント解決とレコメンデーション生成において、SQM由来のエビデンスを統合することにより、全体的なレコメンデーション品質スコア8.70で、解像度コード予測精度が78.3%から90.0%に向上することを示した。 実運用環境では、我々のフレームワークは、平均的なインシデントトリアージ時間を数時間から10分未満に短縮する。 この研究は、ドメインに制約のあるLLMアーキテクチャが、大規模に運用するセキュリティ環境の厳密な信頼性と効率の要求を満たすことを実証している。

関連論文リスト

• DiscoUQ: Structured Disagreement Analysis for Uncertainty Quantification in LLM Agent Ensembles [5.647839536820347]
  著者間の不一致構造を抽出し活用し,信頼度を良好に推定するフレームワークであるDiscoUQを紹介する。 DiscoUQ-LLM の平均 AUROC は 0.802 であり、最高のベースラインを上回っている。 学習した機能は、ほぼゼロに近いパフォーマンス劣化を伴うベンチマークで一般化される。
  論文  参考訳（メタデータ） (2026-03-21T23:24:12Z)
• SWE-Universe: Scale Real-World Verifiable Environments to Millions [84.63665266236963]
  SWE-Universeは、GitHubのプルリクエスト(PR)から検証可能な環境を自動的に構築するフレームワークである。 本稿では, 自動建築の課題を克服するために, 効率的なカスタムトレーニングモデルを用いた建築エージェントを提案する。 大規模エージェントによる中等教育と強化学習を通じて,環境の重要さを実証する。
  論文  参考訳（メタデータ） (2026-02-02T17:20:30Z)
• MEnvAgent: Scalable Polyglot Environment Construction for Verifiable Software Engineering [54.236614097082395]
  本稿では,自動環境構築のためのフレームワークであるMEnvAgentを紹介する。 MEnvAgentは、建設失敗を自律的に解決するマルチエージェント計画実行検証アーキテクチャを採用している。 MEnvData-SWEは,これまでで最大の,現実的な検証可能なDocker環境のポリグロットデータセットである。
  論文  参考訳（メタデータ） (2026-01-30T11:36:10Z)
• Towards Compositional Generalization in LLMs for Smart Contract Security: A Case Study on Reentrancy Vulnerabilities [35.39583123277091]
  本稿では,原子タスクの分解と融合に基づくポストトレーニングアルゴリズムを提案する。 再帰的脆弱性検出タスクを4つの線形独立原子タスクに分解する。 合成データセットのトレーニングにより、3つのコンパイラ検証データセットを生成する。 次に、Slitherツールを使用して、制御フローグラフとデータフローグラフから構造情報を抽出する。
  論文  参考訳（メタデータ） (2026-01-11T13:52:07Z)
• Securing LLM-Generated Embedded Firmware through AI Agent-Driven Validation and Patching [0.9582466286528458]
  大規模言語モデル(LLM)は組み込みシステムのためのファームウェアの生成を約束するが、しばしばセキュリティ上の欠陥を導入し、リアルタイムのパフォーマンス制約を満たさない。 本稿では,LLMベースのファームウェア生成と自動セキュリティ検証,反復的改善を組み合わせた3段階手法を提案する。
  論文  参考訳（メタデータ） (2025-09-12T05:15:35Z)
• MCP-Universe: Benchmarking Large Language Models with Real-World Model Context Protocol Servers [86.00932417210477]
  MCP-Universeは,実世界のMPPサーバとのインタラクションを通じて,現実的かつ困難なタスクにおいてLLMを評価するために設計された,初めての総合ベンチマークである。 私たちのベンチマークでは、ロケーションナビゲーション、リポジトリ管理、財務分析、3Dデザイン、ブラウザ自動化、Web検索という、11の異なるMSPサーバにまたがる6つのコアドメインを網羅しています。 GPT-5 (43.72%) やGrok-4 (33.33%) やClaude-4.0-Sonnet (29.44%) のようなSOTAモデルでさえ、大幅な性能制限がある。
  論文  参考訳（メタデータ） (2025-08-20T13:28:58Z)
• Confident or Seek Stronger: Exploring Uncertainty-Based On-device LLM Routing From Benchmarking to Generalization [61.02719787737867]
  大規模言語モデル(LLM)はますますエッジデバイスにデプロイされ、民主化されている。 1つの有望な解決策は不確実性に基づくSLMルーティングであり、SLM上での低信頼応答が発生すると、高い要求を強いLCMにオフロードする。 我々は1500以上の設定でSLMからLLMへの不確実性駆動型ルーティング戦略のベンチマークと一般化を包括的に調査する。
  論文  参考訳（メタデータ） (2025-02-06T18:59:11Z)
• Evaluating and Improving the Robustness of Security Attack Detectors Generated by LLMs [6.517076600304129]
  大規模言語モデル(LLM)は、セキュリティ要件を実装するアタック検出器などの関数を生成するために、ソフトウェア開発でますます使われている。 本稿では,LLMパイプラインに検索拡張生成(RAG)とセルフランキングを統合するアプローチを提案する。 RAGは外部知識源を取り入れて出力の堅牢性を高める一方、自己整合性の概念にインスパイアされたセルフランキング技術は複数の推論経路を生成し、最も堅牢な検出器を選択するランクを生成する。
  論文  参考訳（メタデータ） (2024-11-27T10:48:37Z)
• Data-Efficient Massive Tool Retrieval: A Reinforcement Learning Approach for Query-Tool Alignment with Language Models [28.67532617021655]
  外部ツールやAPIと統合された大規模言語モデル(LLM)は、コンテキスト内学習や微調整によって複雑なタスクにうまく対応している。 この進歩にもかかわらず、厳密な入力長制約のため、ツール検索の大規模化は依然として困難である。 本稿では,大規模なツール検索(MTR)タスクとして,大規模リポジトリからの事前検索戦略を提案する。
  論文  参考訳（メタデータ） (2024-10-04T07:58:05Z)
• DS-Agent: Automated Data Science by Empowering Large Language Models with Case-Based Reasoning [56.887047551101574]
  大規模言語モデル(LLM)エージェントとケースベース推論(CBR)を利用した新しいフレームワークであるDS-Agentを提案する。 開発段階では、DS-AgentはCBRフレームワークに従い、自動イテレーションパイプラインを構築する。 デプロイメントの段階では、DS-Agentは、シンプルなCBRパラダイムで低リソースのデプロイメントステージを実装し、LCMの基本能力に対する需要を大幅に削減する。
  論文  参考訳（メタデータ） (2024-02-27T12:26:07Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。