Large Language Models for Security Operations Centers: A Comprehensive Survey

📄 arXiv: 2509.10858v2 📥 PDF

作者: Ali Habibzadeh, Farid Feyzi, Reza Ebrahimi Atani

分类: cs.CR, cs.AI

发布日期: 2025-09-13 (更新: 2025-09-19)

💡 一句话要点

综述:大型语言模型在安全运营中心的应用

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 大型语言模型 安全运营中心 网络安全 威胁情报 自动化

📋 核心要点

  1. 安全运营中心面临海量警报、资源不足、专家短缺等挑战,导致响应延迟和威胁情报利用不足。
  2. 利用大型语言模型(LLM)自动化日志分析、简化警报分类、提升检测精度,并加速知识获取,从而应对上述挑战。
  3. 该综述系统性地探讨了LLM在SOC工作流程中的集成,分析了其能力、挑战和未来发展方向,为研究人员和管理者提供参考。

📝 摘要(中文)

大型语言模型(LLM)已经成为强大的工具,能够理解和生成类人文本,为各个领域带来变革性潜力。安全运营中心(SOC)是负责保护数字基础设施的领域之一。SOC是网络安全的第一道防线,负责持续监控、检测和响应事件。然而,SOC面临着持续的挑战,例如高警报量、有限的资源、对具有高级知识的专家的高需求、延迟的响应时间以及难以有效利用威胁情报。在这种背景下,LLM可以通过自动化日志分析、简化分类、提高检测准确性并在更短的时间内提供所需的知识来提供有希望的解决方案。本综述系统地探讨了生成式AI,更具体地说是LLM,集成到SOC工作流程中,对其能力、挑战和未来方向提供了结构化的视角。我们相信,本综述为研究人员和SOC经理提供了LLM集成在学术研究中的现状的广泛概述。据我们所知,这是第一个详细检查LLM在SOC中应用的综合研究。

🔬 方法详解

问题定义:安全运营中心(SOC)面临着海量安全警报、有限的资源、对专业知识的高需求、响应时间延迟以及威胁情报利用不足等问题。现有方法难以有效应对这些挑战,导致安全事件处理效率低下,风险暴露增加。

核心思路:论文的核心思路是探索和总结大型语言模型(LLM)在解决SOC面临的各种挑战方面的潜力。通过将LLM集成到SOC工作流程中,可以实现自动化、智能化和高效化的安全运营。

技术框架:该论文是一篇综述,因此没有提出新的技术框架。它主要分析了现有研究中LLM在SOC中的应用,并将其归纳为不同的模块和阶段,例如日志分析、警报分类、威胁情报分析和事件响应。论文对这些应用进行了分类和总结,并讨论了其优缺点。

关键创新:该论文的主要创新在于它是第一个全面综述LLM在SOC应用的研究。它系统地整理了现有文献,并对LLM在SOC中的潜力进行了深入分析。这为研究人员和从业者提供了一个全面的视角,帮助他们了解LLM在安全运营领域的最新进展和未来方向。

关键设计:由于是综述文章,没有具体的参数设置、损失函数或网络结构等技术细节。论文主要关注的是对现有研究的整理和分析,并对LLM在SOC中的应用进行了分类和总结。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

该论文是首个全面综述大型语言模型在安全运营中心应用的研究,系统地整理了现有文献,并对LLM在SOC中的潜力进行了深入分析。为研究人员和从业者提供了一个全面的视角,帮助他们了解LLM在安全运营领域的最新进展和未来方向。

🎯 应用场景

该研究成果可应用于提升安全运营中心的效率和效果,例如自动化日志分析、加速威胁检测和响应、增强威胁情报利用等。通过集成LLM,SOC可以更有效地应对日益复杂的网络安全威胁,降低安全风险,保护关键基础设施。

📄 摘要(原文)

Large Language Models (LLMs) have emerged as powerful tools capable of understanding and generating human-like text, offering transformative potential across diverse domains. The Security Operations Center (SOC), responsible for safeguarding digital infrastructure, represents one of these domains. SOCs serve as the frontline of defense in cybersecurity, tasked with continuous monitoring, detection, and response to incidents. However, SOCs face persistent challenges such as high alert volumes, limited resources, high demand for experts with advanced knowledge, delayed response times, and difficulties in leveraging threat intelligence effectively. In this context, LLMs can offer promising solutions by automating log analysis, streamlining triage, improving detection accuracy, and providing the required knowledge in less time. This survey systematically explores the integration of generative AI and more specifically LLMs into SOC workflow, providing a structured perspective on its capabilities, challenges, and future directions. We believe that this survey offers researchers and SOC managers a broad overview of the current state of LLM integration within academic study. To the best of our knowledge, this is the first comprehensive study to examine LLM applications in SOCs in details.