LLM2D
基于规则的 AI 和大型语言模型推动网络事件时间线分析发展
Advancing Cyber Incident Timeline Analysis Through Rule Based AI and Large Language Models
作者: Fatma Yasmine Loumachi, Mohamed Chahine Ghanem
发布日期: 9/26/2024
arXiv ID: oai:arXiv.org:2409.02572v3

摘要

时间线分析(TA)在数字取证(DF)领域的时间线取证(TF)中起着至关重要的作用。它侧重于检查和分析基于时间点的数字文物,例如从事件日志、文件元数据和其他相关数据中提取的时间戳,以关联与网络事件相关的事件并重建其时间顺序。传统的工具通常难以有效地处理 DF 调查和事件响应 (IR) 过程中产生的海量且种类繁多的数据。本文介绍了一个新颖的框架 GenDFIR,它将基于规则的人工智能 (R-BAI) 算法与大型语言模型 (LLM) 相结合,以增强和自动化 TA 流程。该方法包括两个关键阶段:(1)R-BAI 用于根据预定义规则识别和选择异常数字文物。(2)然后,选定的文物被转换为嵌入,以便在检索增强生成 (RAG) 代理的帮助下由 LLM 处理。LLM 利用其功能对文物进行自动 TA 并预测潜在的事件结果。为了验证该框架,我们评估了其性能、效率和可靠性。将几个指标应用于模拟的网络事件场景,这些场景以取证案例文件的形式呈现。我们的发现表明,将 R-BAI 和 LLM 集成到 TA 中的巨大潜力。这种创新方法强调了生成式 AI (GenAI),特别是 LLM 的力量,并为先进的威胁检测和事件重建开辟了新的可能性,标志着该领域的一项重大进步。