RedChronos: A Large Language Model-Based Log Analysis System for Insider Threat Detection in Enterprises

要約

内部の脅威検出は、膨大な量のログ内で潜在的またはすでに発生している悪意のある脅威を特定することにより、組織または企業内のセキュリティの脅威に対処することを目的としています。
組織または企業には、これらのログのレビューを担当する専用の担当者がいますが、すべてのログを完全に手動で調べることは不可能です。
膨大な数のログに応じて、大規模な言語モデルベースのログ分析システムであるRedChronosと呼ばれるシステムを提案します。
このシステムには、クエリ認識の加重投票とLLM駆動型変異を備えたセマンティック拡張ベースの遺伝的アルゴリズムを採用することにより、以前の研究よりも革新的な改善が組み込まれています。
パブリックデータセットCERT 4.2および5.2では、RedChronosは、精度、精度、および検出率の観点から既存のアプローチを上回るか、一致させます。
さらに、レッドクロノスは、Xiaohongshu Socでセキュリティログレビューへの手動介入の必要性を90 \％減少させます。
したがって、当社のRedchronosシステムは、内部脅威検出（IDT）タスクの処理において並外れたパフォーマンスを示し、これらの課題に革新的なソリューションを提供します。
将来の研究は、IDTタスクでのシステムのパフォーマンスを引き続き強化すると同時に、内部リスクイベントへの応答時間を短縮できると考えています。

要約(オリジナル)

Internal threat detection aims to address security threats within organizations or enterprises by identifying potential or already occurring malicious threats within vast amounts of logs. Although organizations or enterprises have dedicated personnel responsible for reviewing these logs, it is impossible to manually examine all logs entirely. In response to the vast number of logs, we propose a system called RedChronos, which is a Large Language Model-Based Log Analysis System. This system incorporates innovative improvements over previous research by employing Query-Aware Weighted Voting and a Semantic Expansion-based Genetic Algorithm with LLM-driven Mutations. On the public datasets CERT 4.2 and 5.2, RedChronos outperforms or matches existing approaches in terms of accuracy, precision, and detection rate. Moreover, RedChronos reduces the need for manual intervention in security log reviews by 90\% in the Xiaohongshu SOC. Therefore, our RedChronos system demonstrates exceptional performance in handling Internal Threat Detection (IDT) tasks, providing innovative solutions for these challenges. We believe that future research can continue to enhance the system’s performance in IDT tasks while also reducing the response time to internal risk events.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google