该论文提出一个端到端统一框架，弥合了威胁检测与可操作响应之间的鸿沟。系统由两个紧密耦合的阶段组成：首先，一个由三个独立训练的二元深度神经网络（DNN）组成的集成模型对网络流量进行分类，区分良性、拒绝服务（DoS）和分布式拒绝服务（DDoS）攻击，在CICIDS2018数据集上达到99.84%的准确率，在UNSW-NB15数据集上达到95.30%的准确率。其次，一个检索增强生成（RAG）管道从排名前五的异常特征构建解释感知的提示，从权威来源的知识库中检索语义和词汇最相关的指导，并引导本地部署的语言模型合成结构化、引用依据的缓解报告。实验表明，RAG增强的缓解报告在所有自动评估指标上均优于普通的大语言模型输出。该框架旨在直接回答安全分析师最关心的问题：下一步该怎么做？

该论文提出 SOCpilot 框架，旨在解决大语言模型（LLM）辅助的应急响应计划中的策略合规性问题。安全运营中心（SOC）开始使用 LLM 作为副驾驶来起草应急响应计划，但这些计划可能包含在目录中有效但违反强制性步骤、顺序要求或审批门控的策略。SOCpilot 在计划边界处使合规性可衡量：它固定了事件包、动作目录、策略规则、验证器和公共证据面，然后验证副驾驶建议的动作轨迹。在金融部门的案例研究中，使用来自匿名化生产 SOC 的 200 个真实事件，评估了两个 LLM 提供商（例如 OpenAI 和 Anthropic 的模型）。将他们的计划与来自同一 SOAR 案例的分析师撰写的参考计划进行比较。发现相同的策略内联文本使两个提供商的合规性表现相反方向变化。确定性验证器移除了 466 个不合规、需要审批的动作，且未降低基线任务召回率。在固定语料库的三次重复运行中，聚合率保持稳定。官方证据侧重于涉及恢复和遏制的审批门控决策。此外，该工件暴露了对强制性和顺序修复的零成本就绪检查。作者发布了可运行的工件，使独立评审者能够在不访问私有事件数据的情况下重新推导公开结果。论文的核心贡献包括：定义了 SOC 中 LLM 辅助应急响应计划的合规性问题；提出了 SOCpilot 框架及其实例化；通过真实世界案例研究证明了方法的有效性；并公开了可复现的工件。

本文提出一种利用轻量级大型语言模型（LLM）进行事件响应规划的新方法，旨在解决现有基于前沿LLM的提示工程方法成本高且易产生幻觉的问题。该方法包含三个步骤：微调、信息检索和前瞻规划。首先，通过微调使模型适应安全领域；其次，检索相关历史事件和响应知识；最后，采用前瞻规划算法生成响应计划。作者在理论上证明了该方法生成的响应计划具有有界的幻觉概率，且通过增加规划时间可以使该概率任意小。实验基于文献报道的真实安全事件日志进行评估，结果表明：与前沿LLM相比，该方法恢复时间缩短最多22%，并能泛化到多种事件类型和响应动作。此外，该方法轻量级，可在普通硬件上运行。本文适合安全运营团队、LLM应用开发者以及关注自动化事件响应的研究人员阅读。