LOCALINTEL: Generating Organizational Threat Intelligence from Global and Local Cyber Knowledge

安全运营中心（SoC）分析师从公开可访问的全球威胁数据库中收集威胁报告，并手动定制它们以适应特定组织的需求。这些分析师还依赖于内部知识库，它们是组织的私有本地知识数据库。这些本地知识数据库存储可信的网络情报、关键的操作细节和相关的组织信息。分析师通过利用这些全球和本地知识数据库进行劳动密集型的任务，手动创建组织独特的威胁响应和缓解策略。最近，大型语言模型（LLMs）已经展示了高效处理大量多样化知识来源的能力。我们利用这种能力来处理全球和本地知识数据库，自动化生成组织特定的威胁情报。在这项工作中，我们提出了LOCALINTEL，一种新颖的自动化知识上下文化系统，它在提示后从全球威胁库检索威胁报告，并使用其本地知识数据库为特定组织进行上下文化。LOCALINTEL包括三个关键阶段：全球威胁情报检索、本地知识检索和上下文完成生成。前者从全球威胁库中检索情报，而后者从本地知识数据库中检索相关知识。最后，这些知识来源的融合通过生成器进行编排，以产生上下文化的完成。

LOCALINTEL试图解决SoC分析师需要手动从全球威胁数据库和本地知识库中定制威胁响应和缓解策略的问题。该论文提出了一种自动化生成组织特定威胁情报的解决方案。

LOCALINTEL是一种自动化的知识上下文化系统，它从全球威胁库中检索情报，从本地知识库中检索相关知识，并通过生成器协调这些知识源来生成上下文化的完成。

论文使用大型语言模型（LLMs）自动化生成组织特定威胁情报。LOCALINTEL包括三个关键阶段：全球威胁情报检索、本地知识检索和上下文化完成生成。该论文的亮点包括使用LLMs处理大量不同的知识来源、自动化生成组织特定的威胁情报以及提高SoC分析师的效率。

最近在这个领域中，一些相关的研究包括：《使用深度学习技术进行网络安全威胁情报分析》、《基于机器学习的网络安全威胁情报自动化处理方法》、《使用自然语言处理技术进行网络安全威胁情报分析》等。