本文提出 AIRTAG，一个基于无监督学习的自动化攻击调查框架，旨在从原始日志文本中自动识别攻击事件、生成语义标签并定位根因，无需依赖预定义的攻击知识库或规则。现有攻击调查方法通常需要人工定义攻击模式或依赖规则匹配，难以应对新型或变种攻击。AIRTAG 利用预训练语言模型（如 BERT）将日志消息编码为上下文感知的语义向量，通过无监督聚类算法（如 HDBSCAN）将日志分组为不同的事件簇，每个簇代表一个攻击步骤或原子行为。然后利用时间序列分析和图论方法构建事件之间的时序因果关系，最终生成攻击调查图并推断根因。实验在多个公开数据集（如 DARPA TC、OpenStack 日志）上评估，结果表明 AIRTAG 能够有效识别多步攻击链，在真实攻击场景下达到高准确率（F1 分数超过 0.9），并且比现有监督方法具有更好的可迁移性。该工作的主要贡献在于：1) 提出了完全无监督的日志语义理解框架；2) 结合预训练语言模型与聚类、时序推理，实现了对未知攻击的自动调查；3) 公开了原型系统和实验数据，为后续研究提供基准。

该论文提出了 OpenSOC-AI，一个轻量级的日志分析框架，旨在帮助中小型企业（SMBs）在没有完整安全运营中心（SOC）或企业级检测平台的情况下，利用大语言模型进行自动化威胁分析。框架基于参数量为 11 亿的 TinyLlama 模型，采用低秩适配（LoRA）技术进行参数高效微调，仅更新 1260 万个参数（约占基础模型参数的 1.13%）。在 450 条特定于 SOC 场景的日志样本上，使用单张 NVIDIA T4 GPU 在不到 5 分钟内完成微调。实验使用 50 条留出样本进行测试，结果显示：威胁分类准确率从微调前的 0% 提升至 68%，严重性评估准确率从 28% 提升至 58%，F1 分数达到 0.68，显著优于未微调的基线模型。此外，模型还能执行 MITRE ATT&CK 技术映射。作者公开了完整代码、适配器权重和数据集，以促进可复现性和社区扩展。这项工作的主要贡献在于证明了极小的训练成本和计算资源即可为 SMBs 提供可行的日志分析辅助工具，降低安全运营门槛。