arXiv:2401.10036v2 宣告类型: 替换-跨领域 摘要: 安全运营中心(SoC)分析师从广泛可访问的全球威胁库中收集威胁报告，并根据其组织的需求定制信息，例如开发威胁情报和安全政策。他们还依赖于组织内部的仓库，这些仓库充当私有的本地知识数据库。这些本地知识数据库存储着可靠的网络威胁情报、关键的操作和基础设施细节。SoC需要进行一项耗时的劳动密集型任务，利用这些全球威胁库和本地知识数据库来创建针对组织特定的威胁情报和缓解策略。最近，大型语言模型(LLMs)展示了有效处理各种知识来源的能力。我们利用这一能力来自动化生成组织特定的威胁情报。我们提出了一个名为LocalIntel的新型自动化威胁情报上下文框架，该框架可以从全球威胁库检索零日漏洞报告，并利用其本地知识数据库来确定影响和缓解策略，以提醒和协助SoC分析师。LocalIntel包含两个关键阶段：知识检索和上下文化。定量和定性评估表明，它可以生成高达93%准确的组织威胁情报，且同行评估的一致性达到64%。