Policy-Guided Threat Hunting: An LLM enabled Framework with Splunk SOC Triage
作者: Rishikesh Sahay, Bell Eapen, Weizhi Meng, Md Rasel Al Mamun, Nikhil Kumar Dora, Manjusha Sumasadan, Sumit Kumar Tetarave, Rod Soto
分类: cs.CR, cs.AI
发布日期: 2026-03-25
💡 一句话要点
提出基于策略引导的威胁狩猎框架,利用LLM和Splunk SOC实现自动化威胁分析。
🎯 匹配领域: 支柱二:RL算法与架构 (RL & Architecture) 支柱九:具身大模型 (Embodied Foundation Models)
关键词: 威胁狩猎 安全运营中心 高级持续性威胁 深度强化学习 大型语言模型 异常检测 自动化分析 Splunk
📋 核心要点
- 传统安全解决方案难以应对不断演变的APT攻击,SOC分析师面临海量日志分析的挑战。
- 该框架集成Agentic AI与Splunk,利用自编码器、DRL和LLM实现自动化威胁狩猎和风险优先级排序。
- 实验结果表明,该框架能有效适应SOC目标,自主识别可疑流量,辅助安全决策。
📝 摘要(中文)
本文提出了一种自动化和动态的威胁狩猎框架,旨在应对网络空间中频繁演变的高级持续性威胁(APT)。该框架通过集成Agentic AI与成熟的SIEM平台Splunk,系统地整合了从流量摄取到异常评估的各个模块。具体而言,框架利用基于重构的自编码器进行异常检测,采用双层深度强化学习(DRL)进行初步分类,并使用大型语言模型(LLM)进行上下文分析。实验结果表明,该框架能够有效适应不同的SOC目标,自主识别可疑和恶意流量,从而增强运营效率,辅助SOC分析师进行决策,提升网络安全和威胁狩猎能力。
🔬 方法详解
问题定义:当前网络安全领域面临高级持续性威胁(APT)不断演变的挑战,传统的安全解决方案已经不足以应对。安全运营中心(SOC)的分析师需要处理来自各种设备的大量日志,这使得威胁狩猎过程变得繁琐且效率低下。现有的方法难以快速、准确地识别和应对新型威胁,需要更智能、自动化的解决方案。
核心思路:本文的核心思路是构建一个自动化和动态的威胁狩猎框架,该框架能够自主适应不断变化的网络环境和威胁态势。通过集成Agentic AI技术,框架能够模拟安全分析师的思维过程,自动执行威胁狩猎任务,并根据风险优先级进行排序,从而减轻SOC分析师的负担,提高威胁检测和响应的速度。
技术框架:该框架主要包含以下几个模块:1)流量摄取:从网络设备和安全设备收集流量数据。2)异常评估:使用基于重构的自编码器检测网络流量中的异常行为。3)初步分类:采用双层深度强化学习(DRL)对异常流量进行初步分类,判断其是否为可疑或恶意流量。4)上下文分析:利用大型语言模型(LLM)对可疑流量进行上下文分析,提取相关信息,辅助安全分析师进行决策。5)策略引导:根据SOC的目标和策略,动态调整各个模块的参数和行为,以实现最佳的威胁狩猎效果。
关键创新:该框架的关键创新在于将Agentic AI技术与Splunk等SIEM平台集成,实现自动化和动态的威胁狩猎。与传统的基于规则或签名的威胁检测方法不同,该框架能够自主学习和适应新的威胁模式,并利用LLM进行上下文分析,从而提高威胁检测的准确性和效率。此外,该框架还采用了双层DRL结构,能够更有效地对异常流量进行分类。
关键设计:在自编码器方面,采用了基于重构误差的异常检测方法,通过最小化输入和重构输出之间的差异来学习正常流量的模式。在DRL方面,采用了双层结构,第一层用于初步分类,第二层用于细粒度分类。LLM则用于提取可疑流量的上下文信息,例如源IP地址、目标IP地址、协议类型等,并生成自然语言描述,辅助安全分析师进行决策。
🖼️ 关键图片
📊 实验亮点
该框架在公开数据集和模拟数据集上进行了评估,实验结果表明,该框架能够有效适应不同的SOC目标,自主识别可疑和恶意流量。具体性能数据未知,但论文强调该框架能够增强运营效率,辅助SOC分析师进行决策,提升网络安全和威胁狩猎能力。
🎯 应用场景
该研究成果可应用于各种规模的企业和组织,帮助其构建更强大的网络安全防御体系。通过自动化威胁狩猎过程,该框架能够显著提高SOC的运营效率,减少人工干预,并更快地识别和响应潜在的安全威胁。此外,该框架还可以用于安全事件响应、漏洞管理和风险评估等领域,具有广泛的应用前景。
📄 摘要(原文)
With frequently evolving Advanced Persistent Threats (APTs) in cyberspace, traditional security solutions approaches have become inadequate for threat hunting for organizations. Moreover, SOC (Security Operation Centers) analysts are often overwhelmed and struggle to analyze the huge volume of logs received from diverse devices in organizations. To address these challenges, we propose an automated and dynamic threat hunting framework for monitoring evolving threats, adapting to changing network conditions, and performing risk-based prioritization for the mitigation of suspicious and malicious traffic. By integrating Agentic AI with Splunk, an established SIEM platform, we developed a unique threat hunting framework. The framework systematically and seamlessly integrates different threat hunting modules together, ranging from traffic ingestion to anomaly assessment using a reconstruction-based autoencoder, deep reinforcement learning (DRL) with two layers for initial triage, and a large language model (LLM) for contextual analysis. We evaluated the framework against a publicly available benchmark dataset, as well as against a simulated dataset. The experimental results show that the framework can effectively adapt to different SOC objectives autonomously and identify suspicious and malicious traffic. The framework enhances operational effectiveness by supporting SOC analysts in their decision-making to block, allow, or monitor network traffic. This study thus enhances cybersecurity and threat hunting literature by presenting the novel threat hunting framework for security decision- making, as well as promoting cumulative research efforts to develop more effective frameworks to battle continuously evolving cyber threats.