:安全数据基座——当大模型遇见杀伤链与ATTCK)
文章目录
概要
整体架构流程
技术名词解释
技术细节
小结
概要
提示:这里可以添加技术概要
在网络安全运营中心(SOC)的日常工作中,最大的痛点并非缺乏数据,而是缺乏对数据的“认知”。传统的安全设备每天生成数以万计的离散告警(Alerts),如防火墙拒绝、异常进程启动等,但这些告警往往是孤立的。
大语言模型(LLM)的出现,为解决这一痛点提供了新的范式。本文的核心议题是:如何利用大模型作为“翻译官”,将底层的非结构化日志,映射到网络攻击杀伤链(Cyber Kill Chain)和 MITRE ATT&CK 这两大宏观战术框架中。
通过这种映射,大模型能够跨越“语义鸿沟”,不仅识别出单点威胁,更能基于时间维度(杀伤链)和空间维度(ATT&CK),自动构建出完整的攻击叙事(Attack Narrative),实现从“告警疲劳”到“态势感知”的跃迁。
整体架构流程
提示:这里可以添加技术整体架构
将大模型与安全框架结合的系统架构,本质上是一个检索增强(RAG)与语义推理的闭环流程。其核心流向如下:
数据摄入层(Input): 收集原始的异构数据,包括系统日志(Syslog)、终端检测响应日志(EDR)、流量包(PCAP)等。
向量化处理层(Embedding): 利用 Embedding 模型(如
