From Incomplete Architecture to Quantified Risk: Multimodal LLM-Driven Security Assessment for Cyber-Physical Systems

📄 arXiv: 2604.05674v1 📥 PDF

作者: Shaofei Huang, Christopher M. Poskitt, Lwin Khin Shar

分类: cs.CR, cs.AI

发布日期: 2026-04-07

备注: Under submission

💡 一句话要点

ASTRAL:利用多模态LLM进行网络物理系统架构驱动的安全风险评估

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 网络物理系统安全 多模态LLM 架构驱动安全评估 威胁识别 风险评估 少样本学习 提示链

📋 核心要点

  1. 现有网络物理系统安全评估面临架构文档不完整或过时的挑战,导致难以识别系统依赖、攻击面和风险传播路径。
  2. ASTRAL利用多模态LLM,通过提示链、少样本学习和架构推理,从分散的数据源重建和分析CPS架构。
  3. 实验结果表明,ASTRAL能够有效支持架构中心的安全评估,并为网络风险管理提供更明智的决策依据。

📝 摘要(中文)

本文提出了一种名为ASTRAL(Architecture-Centric Security Threat Risk Assessment using LLMs)的架构中心安全评估技术,该技术使用多模态LLM驱动的原型工具。针对网络物理系统架构文档不完整或信息过时的问题,ASTRAL旨在帮助从业者重建和分析CPS架构。通过利用提示链、少样本学习和架构推理,ASTRAL从不同的数据源提取和综合系统表示。通过将LLM推理与架构建模相结合,该方法支持网络物理系统的自适应威胁识别和定量风险估计。通过多个CPS案例研究的消融实验和包含14名经验丰富的网络安全从业人员的专家评估,验证了该方法的有效性。从业者的反馈表明,ASTRAL对于支持以架构为中心的安全评估是有用且可靠的。总体而言,结果表明该方法可以支持更明智的网络风险管理决策。

🔬 方法详解

问题定义:论文旨在解决网络物理系统(CPS)安全评估中因架构文档不完整或过时而导致的安全风险识别困难问题。现有方法依赖于完整且准确的架构信息,但在实际应用中,由于技术遗留、知识管理缺失以及系统复杂性,CPS的架构文档往往存在缺失或不准确,这严重阻碍了安全评估的有效性。

核心思路:论文的核心思路是利用多模态大型语言模型(LLM)的强大推理和学习能力,从各种不完整的数据源中提取和综合系统架构信息,从而重建CPS的架构表示。通过将LLM的推理能力与架构建模相结合,实现自适应的威胁识别和定量风险评估。

技术框架:ASTRAL的技术框架主要包含以下几个阶段:1) 数据收集:从各种来源收集关于CPS的信息,包括文档、日志、代码等。2) 架构提取:利用多模态LLM,通过提示链和少样本学习,从收集到的数据中提取系统组件、连接关系等架构信息。3) 架构建模:将提取的架构信息转化为形式化的架构模型。4) 威胁识别:基于架构模型,利用LLM进行威胁识别,识别潜在的攻击面和风险传播路径。5) 风险评估:对识别出的威胁进行定量风险评估,为安全决策提供依据。

关键创新:ASTRAL的关键创新在于将多模态LLM应用于CPS的架构重建和安全评估。与传统方法相比,ASTRAL能够处理不完整和异构的数据源,自动提取和综合架构信息,并进行自适应的威胁识别和风险评估。这大大提高了CPS安全评估的效率和准确性。

关键设计:ASTRAL的关键设计包括:1) 提示链的设计,用于引导LLM逐步提取架构信息。2) 少样本学习策略,用于提高LLM在特定CPS领域的适应性。3) 架构推理模块,用于基于架构模型进行威胁识别和风险评估。具体参数设置和网络结构等细节在论文中未详细说明,属于未知信息。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

论文通过消融实验和专家评估验证了ASTRAL的有效性。专家评估结果表明,ASTRAL对于支持架构中心的安全评估是有用且可靠的。虽然论文中没有提供具体的性能数据和提升幅度,但从业者的积极反馈表明ASTRAL在实际应用中具有显著的价值。

🎯 应用场景

ASTRAL可应用于各种网络物理系统的安全评估,例如智能电网、工业控制系统、智能交通系统等。该研究的实际价值在于能够提高CPS安全评估的效率和准确性,帮助企业和组织更好地管理网络风险,保障关键基础设施的安全稳定运行。未来,ASTRAL有望成为CPS安全评估的重要工具,并促进CPS安全技术的进一步发展。

📄 摘要(原文)

Cyber-physical systems often contend with incomplete architectural documentation or outdated information resulting from legacy technologies, knowledge management gaps, and the complexity of integrating diverse subsystems over extended operational lifecycles. This architectural incompleteness impedes reliable security assessment, as inaccurate or missing architectural knowledge limits the identification of system dependencies, attack surfaces, and risk propagation pathways. To address this foundational challenge, this paper introduces ASTRAL (Architecture-Centric Security Threat Risk Assessment using LLMs), an architecture-centric security assessment technique implemented in a prototype tool powered by multimodal LLMs. The proposed approach assists practitioners in reconstructing and analysing CPS architectures when documentation is fragmented or absent. By leveraging prompt chaining, few-shot learning, and architectural reasoning, ASTRAL extracts and synthesises system representations from disparate data sources. By integrating LLM reasoning with architectural modelling, our approach supports adaptive threat identification and quantitative risk estimation for cyber-physical systems. We evaluated the approach through an ablation study across multiple CPS case studies and an expert evaluation involving 14 experienced cybersecurity practitioners. Practitioner feedback suggests that ASTRAL is useful and reliable for supporting architecture-centric security assessment. Overall, the results indicate that the approach can support more informed cyber risk management decisions.