事件响应规划使用轻量级大语言模型并减少幻觉

及时有效的事件响应是管理日益增长的网络攻击频率的关键。然而，为复杂系统确定正确的响应行动是一个重大的技术挑战。缓解这一挑战的一个有前景的方法是利用大语言模型（LLMs）中嵌入的安全知识，在事件处理过程中协助安全操作员。最近的研究证明了这种方法的潜力，但当前的方法主要基于前沿LLMs的提示工程，这种方法成本高昂且容易产生幻觉。

我们通过提出一种使用LLM进行事件响应规划的新方法来解决这些限制，该方法减少了幻觉现象。我们的方法包括三个步骤：微调、信息检索和前瞻规划。我们证明了我们的方法生成响应计划的幻觉概率是有界的，并且在某些假设下，可以通过增加规划时间来使这个概率任意小。此外，我们展示了我们的方法是轻量级的，可以在普通硬件上运行。

我们在文献中报告的事件日志上评估了我们的方法。实验结果表明，我们的方法a) 比前沿LLMs实现了高达22%的缩短恢复时间，b) 能够泛化到广泛的事件类型和响应行动。