SentinelSphere: Integrating AI-Powered Real-Time Threat Detection with Cybersecurity Awareness Training

📄 arXiv: 2604.06900v1 📥 PDF

作者: Nikolaos D. Tantaroudas, Ilias Karachalios, Andrew J. McCracken

分类: cs.CE, cs.AI, cs.CR, cs.CY

发布日期: 2026-04-08

备注: 21

💡 一句话要点

SentinelSphere:融合AI威胁检测与网络安全意识培训,提升整体防御能力

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 网络安全 威胁检测 深度学习 大型语言模型 安全意识培训 人工智能 HTTP特征工程

📋 核心要点

  1. 现有网络安全防御体系在专业人员短缺和人为因素漏洞方面存在明显不足,导致安全事件频发。
  2. SentinelSphere平台融合了AI驱动的威胁检测和LLM驱动的安全培训,旨在提升整体网络安全防御能力。
  3. 实验表明,增强型DNN在威胁检测方面表现出色,且集成的AI助手和可视化系统易于非技术人员使用。

📝 摘要(中文)

网络安全领域面临两大挑战:合格从业人员的全球性短缺以及导致大部分安全事件的人为因素弱点。为了解决这些问题,我们提出了SentinelSphere,一个由人工智能驱动的平台,它将基于机器学习的威胁识别与由大型语言模型(LLM)驱动的安全培训相结合。检测模块使用增强型深度神经网络(DNN),该网络在CIC-IDS2017和CIC-DDoS2019基准数据集上训练,并结合了新型HTTP层特征工程,以捕获应用层攻击签名。在教育组件方面,我们部署了Phi-4模型(Q4_K_M)的量化变体,针对网络安全领域进行了微调,使其能够在仅需16 GB RAM且无需专用GPU资源的通用硬件上部署。实验结果表明,增强型DNN在实现高检测精度的同时,相对于基线模型显著降低了误报率,并在DDoS、暴力破解和基于Web的漏洞利用等关键攻击类别中保持了强大的召回率。包含行业专业人士和大学生的验证研讨会证实,交通灯可视化系统和对话式AI助手对于没有技术背景的用户来说既直观又有效。SentinelSphere表明,将智能威胁检测与自适应的、LLM驱动的安全教育相结合,可以在一个统一的框架内有意义地解决技术和人为因素的网络安全漏洞。

🔬 方法详解

问题定义:当前网络安全防御体系面临两大难题:一是缺乏足够的网络安全专业人员;二是人为因素导致的漏洞,例如钓鱼攻击、弱密码等,这些漏洞往往是安全事件的主要原因。现有方法难以同时解决这两个问题,通常侧重于技术层面的防御,而忽略了对用户安全意识的培养。

核心思路:SentinelSphere的核心思路是将AI驱动的实时威胁检测与LLM驱动的自适应安全意识培训相结合。通过AI实时识别潜在威胁,并利用LLM为用户提供个性化的安全培训,从而提高用户的安全意识和应对能力,形成一个闭环的防御体系。

技术框架:SentinelSphere平台包含两个主要模块:威胁检测模块和安全培训模块。威胁检测模块使用增强型深度神经网络(DNN)对网络流量进行分析,识别恶意行为。安全培训模块则利用量化的Phi-4模型,根据用户的行为和知识水平,提供定制化的安全培训内容。平台还包含一个交通灯可视化系统,用于直观地展示网络安全状态。

关键创新:该论文的关键创新在于将AI驱动的威胁检测与LLM驱动的安全培训有机结合。传统的安全培训往往是静态的、通用的,而SentinelSphere能够根据用户的实际情况提供个性化的培训,从而提高培训效果。此外,该平台还采用了新型HTTP层特征工程,能够更有效地捕获应用层攻击签名。

关键设计:威胁检测模块的DNN在CIC-IDS2017和CIC-DDoS2019数据集上进行训练,并针对HTTP层攻击进行了优化。安全培训模块使用了Phi-4模型的量化变体(Q4_K_M),以降低计算资源需求,使其能够在通用硬件上运行。量化过程可能涉及权重量化和激活量化,具体参数未知。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,增强型DNN在威胁检测方面表现出色,在保持高召回率的同时,显著降低了误报率。与基线模型相比,SentinelSphere在DDoS、暴力破解和Web攻击等关键攻击类别中表现更佳。用户验证研讨会也表明,交通灯可视化系统和对话式AI助手易于使用,能够有效提高用户的安全意识。

🎯 应用场景

SentinelSphere平台可应用于企业、教育机构等各种场景,用于提升整体网络安全防御能力。通过实时威胁检测和个性化安全培训,该平台能够帮助组织机构减少安全事件的发生,降低安全风险。未来,该平台还可以扩展到个人用户,提供更加全面的安全保护。

📄 摘要(原文)

The field of cybersecurity is confronted with two interrelated challenges: a worldwide deficit of qualified practitioners and ongoing human-factor weaknesses that account for the bulk of security incidents. To tackle these issues, we present SentinelSphere, a platform driven by artificial intelligence that unifies machine learning-based threat identification with security training powered by a Large Language Model (LLM). The detection module uses an Enhanced Deep Neural Network (DNN) trained on the CIC-IDS2017 and CIC-DDoS2019 benchmark datasets, enriched with novel HTTP-layer feature engineering that captures application level attack signatures. For the educational component, we deploy a quantised variant of Phi-4 model (Q4_K_M), fine-tuned for the cybersecurity domain, enabling deployment on commodity hardware requiring only 16 GB of RAM without dedicated GPU resources. Experimental results show that the Enhanced DNN attains high detection accuracy while substantially lowering false positives relative to baseline models, and maintains strong recall across critical attack categories such as DDoS, brute force, and web-based exploits. Validation workshops involving industry professionals and university students confirmed that the Traffic Light visualisation system and conversational AI assistant are both intuitive and effective for users without technical backgrounds. SentinelSphere illustrates that coupling intelligent threat detection with adaptive, LLM-driven security education can meaningfully address both technical and human-factor cybersecurity vulnerabilities within a single, cohesive framework.