Enhancing Structured Cyber Threat Intelligence Extraction with Local Large Language Models and Retrieval-Augmented Generation

Abstract

Οι Κυβερνοαπειλές εξελίσσονται συνεχώς. Η εξαγωγή αξιοποιήσιμων δεδομένων από μη δομημένα δεδομένα που αφορούν Πληροφορίες Κυβερνοαπειλών (Cyber Threat Intelligence, CTI) είναι απαραίτητη για τη λήψη τεκμηριωμένων αποφάσεων για την διαφύλαξη των ψηφιακών υποδομών και την άμυνα έναντι εξελιγμένων κυβερνοαπειλών. Οι πρόσφατες εξελίξεις στα Μεγάλα Γλωσσικά Μοντέλα (Large Language Models, LLMs) έχουν προκαλέσει ένα κύμα ερευνών πάνω στη χρήση τους για αυτοματοποίηση της εξαγωγής CTI πληροφορίας. Ωστόσο, τα LLMs είναι επιρρεπή σε ψευδαισθήσεις, οι οποίες μπορεί να οδηγήσουν σε ανακρίβειες ή αναξιόπιστες πληροφορίες, ένας κίνδυνος που δεν είναι αποδεκτός σε κρίσιμα σενάρια Κυβερνοασφάλειας. Για να αντιμετωπιστούν αυτές οι προκλήσεις, η παρούσα διατριβή προτείνει μια νέα προσέγγιση που χρησιμοποιεί μια διάταξη Επαυξημένης με Ανάκτηση Παραγωγής (Retrieval-Augmented Generation, RAG) σε πλήρως τοπικό περιβάλλον, η οποία ενισχύει την εξαγωγή CTI παρέχοντας σχετικές με το περιεχόμενο πληροφορίες στο LLM. Η γνώση εξάγεται δομημένη σε STIX 2.1 bundles, επιτρέποντας την απερίσπαστη συμμόρφωση με τα πρότυπα της Κυβερνοασφάλειας. Το τοπικό περιβάλλον χρησιμοποιείται για την διασφάλιση του απορρήτου των δεδομένων και τη μείωση της εξάρτησης από υπηρεσίες υπολογιστικού νέφους, ένας παράγοντας σημαντικός για τους οργανισμούς που χειρίζονται ευαίσθητα δεδομένα. Επιπλέον, η παρούσα μελέτη αξιολογεί τις επιδόσεις διάφορων κορυφαίων τοπικών LLMs πάνω στη συγκεκριμένη εργασία, ενώ παράλληλα διερευνά τεχνικές για την βελτίωση της ακρίβειας και τον μετριασμό των ψευδαισθήσεων. Τα πειραματικά αποτελέσματα καταδεικνύουν ότι οι τεχνικές αυτές βελτιώνουν σημαντικά την συνάφεια των παραγόμενων αποτελεσμάτων και αναδεικνύουν τις δυνατότητες της εφαρμογής του RAG στα LLMs στην αντιμετώπιση των περιορισμών στην αυτοματοποιημένη εξαγωγή CTI.