本文提出 HySecTwin，一种面向网络物理系统（CPS）的知识驱动数字孪生框架，旨在解决现有数字孪生方法在网络安全建模中缺乏语义推理能力的问题。HySecTwin 将自动推理置于实时威胁检测的核心，通过语义建模将异构的 CPS 遥测数据、设备属性和操作关系转换为机器可解释的表示，并结合嵌入式推理引擎对上下文化的系统状态进行操作。与黑盒检测方法不同，该框架集成确定性规则推理与混合模糊推理，从实时设备遥测中生成明确、可解释且可审计的安全评估。实验使用代表性 CPS 测试平台和基于 MITRE ATT&CK 活动的攻击场景，结果表明：孪生同步延迟低于亚毫秒，与仅使用确定性推理相比，威胁检测速度提升高达 21.5%。研究显示，语义建模、语义丰富和混合推理在不增加系统开销的情况下提高了可解释性和弹性。HySecTwin 提供轻量级、容器化、可扩展的框架，适用于关键基础设施中安全设计的数字孪生部署。

该论文提出了一种面向安全运营中心（SOC）的端到端威胁管理框架，旨在解决威胁数量增长、SIEM平台异构以及人工分诊耗时的运营挑战。框架包含三个核心模块：基于集成学习的检测模块、语法约束的查询生成模块（SQM）以及检索增强的响应支持模块。检测模块评估了传统机器学习分类器和多种大语言模型（LLM），并选择三个性能最佳的LLM构建集成模型，在SIEM日志上达到82.8%的准确率和0.120的假阳性率。SQM架构通过平台特定的语法约束、元数据检索和文档驱动的提示生成可执行查询，支持IBM QRadar和Google SecOps，BLEU得分为0.384，ROUGE-L得分为0.731，比基线LLM性能提升两倍以上。在事件响应方面，集成SQM证据将解决代码预测准确率从78.3%提升至90.0%，总体推荐质量评分达8.70。在生产SOC环境中，该框架将平均事件分诊时间从数小时降至10分钟以内。研究证明，结合检索增强的领域约束LLM架构能够满足运营安全环境对可靠性和效率的严格要求。