arXiv:2503.03108v2 入侵检测类型: 替换交叉 摘要：最近，基于来源（provenance）的入侵检测系统（PIDSes）被广泛提议用于端点威胁分析。然而，由于缺乏系统性的知识整合和利用，现有的PIDSes仍然需要大量的手动干预才能进行实际部署，使得全面自动化变得颇具挑战。本文通过将PIDSes根据其使用的知识类型进行分类，提出了一种颠覆性的创新。针对现有研究中普遍存在的“知识孤岛问题”，我们引入了一种由大语言模型（LLMs）驱动的新型基于来源的入侵检测框架。我们还提出了基于此框架构建的最佳实践系统OmniSec。通过集成攻击表示知识、威胁情报知识和良性行为知识，OmniSec在公共基准数据集上优于现有的方法。OmniSec可在以下网址在线获取：https://anonymous.4open.science/r/PIDS-with-LLM-613B。