Security Logs to ATT&CK Insights 論文閱讀分析：當防守方真正想看懂攻擊者意圖，可能得先把 IDS Log 重新翻譯成人話

論文基本資訊

• 論文標題：Security Logs to ATT&CK Insights: Leveraging LLMs for High-Level Threat Understanding and Cognitive Trait Inference
• 來源：arXiv
• 年份：2025
• 作者：Soham Hans、Stacy Marsella、Sofia Hirschmann、Nikolos Gurney
• 論文連結：https://arxiv.org/abs/2510.20930
• 主題：CTI、IDS、Suricata、MITRE ATT&CK、LLM、Threat Understanding、Cognitive Cybersecurity

Security Logs to ATT&CK Insights 這篇論文處理的是一個很值得注意、但也很容易被講得太玄的問題：能不能從低階網路遙測與 IDS log，往上推回攻擊者正在做什麼、甚至他現在是怎麼想的？

作者的切入點不是再做一次傳統 alert triage，而是想把 Suricata IDS logs 這種偏底層、碎片化、事件導向的資料，經由 LLM 重新整理成 ATT&CK technique、攻擊階段、策略切換與可能的行為動機。這讓它和一般從 threat report 做 ATT&CK mapping 的論文不太一樣：前者是把已經被人整理過的高階敘述結構化，這篇則是反過來，試圖從尚未被解釋的原始安全訊號，往上還原出高階威脅理解。

研究問題

這篇論文真正想回答的問題，大概可以拆成三層：

1. LLM 能不能把 IDS / network telemetry 這種低階事件，轉成 MITRE ATT&CK technique 層級的高階描述？
2. 如果把一串 logs 切成行為階段，模型能不能辨認出攻擊者何時在探索、何時在轉向、何時在持續推進目標？
3. 這些行為切換，是否能再往上推論出較接近「認知風格」的訊號，例如風險容忍、目標持續性、損失規避之類的傾向？

前兩層還算是資安分析可接受的延伸；第三層則是這篇論文最有野心、也最需要保留懷疑的地方。作者的主張不是說他們已經能精準讀心，而是提出一個框架：若攻擊者的工具切換、協定轉換、pivot pattern 與行動節奏會反映決策風格，那麼 LLM 或許能把這些技術行為重新描述成更高層的攻擊策略訊號。

這篇論文在做什麼，不在做什麼

這裡先釐清一件事很重要。這篇論文不是在做傳統 malware detection，也不是在做單點 anomaly score 預測。它比較像是在做下面這件事：

Suricata IDS logs
  ↓
依行為脈絡切段
  ↓
用 LLM 產生每段的高階行為描述
  ↓
映射到 MITRE ATT&CK technique / strategy
  ↓
再往上推估攻擊節奏與可能的決策風格

換句話說，作者真正想補的不是「看見更多 alert」，而是縮短 packet-level evidence 與 analyst-level interpretation 之間的語意距離。

方法核心：Strategy-Driven Prompting

從摘要可知，論文的關鍵設計是 strategy-driven prompt system。它不是把所有 logs 一次塞給模型，而是先把大量 network logs 依照行為脈絡切成多個 distinct behavioral phases，再讓 LLM 對每個階段做高階解讀。

這個設計很合理，因為 IDS logs 最大的問題之一不是訊號太少，而是訊號太碎。若不先做階段化整理，模型看到的通常只是一串 disconnected alerts，很難判斷哪些事件其實是在同一個攻擊企圖裡。

作者的邏輯大概是：

• 先找出可視為同一行為段落的 log sequence
• 讓模型對該段序列產生 strategy-level description
• 再把該描述對應到 ATT&CK techniques
• 最後觀察階段之間的切換，推估攻擊策略與行為偏好

這裡最有意思的不是單次 ATT&CK 標註，而是phase segmentation 這一步。因為很多安全資料真正缺的，不是單點 detection，而是把一堆事件串成同一條攻擊敘事的能力。

為什麼 Suricata logs 是關鍵場景？

論文選 Suricata 並不奇怪。因為 Suricata 這類 IDS 既有實務採用基礎，也很容易出現下面這種分析摩擦：

• alert 很多，但高階脈絡很少
• 同一名攻擊者的連續動作，可能散落在不同規則命中之間
• 從 log 看得出封包與協定異常，不一定看得出攻擊意圖
• 分析師得靠經驗把這些碎片重新拼成 campaign-level 理解

這篇論文的價值，就在於它把 LLM 用在這個「重新拼脈絡」的位置，而不是只把它當更會寫摘要的聊天模型。

ATT&CK 在這篇論文中的角色

MITRE ATT&CK 在這裡不是單純的標籤庫，而是把低階事件往上抽象成可操作威脅語言的中介層。

這很重要，因為如果模型只輸出自由文字敘述，雖然看起來聰明，但很難接進既有 CTI、detections、hunt hypothesis 或 control coverage 分析流程。相反地，若能把 Suricata event sequence 收斂到 ATT&CK technique 或 tactic，結果就比較容易被資安團隊拿去做：

• alert grouping 與 investigation prioritization
• 威脅狩獵假設整理
• 攻擊鏈重建
• control coverage gap 分析

所以這篇論文真正有意思的地方，不是「LLM 看懂 log」這麼空泛，而是它想把 log interpretation 直接對齊到 ATT&CK 這種 defender already speaks 的語言。

最特別的一層：從策略理解走向認知特徵推估

這篇最有辨識度的地方，是它不是停在 technique mapping，而是再往上拉到 cognitive trait inference。作者認為，攻擊者在工具切換、協定轉換、pivot 選擇與攻擊持續性上的模式，可能反映某些決策傾向，例如：

• risk tolerance：是否願意採取更高暴露風險的行動
• goal persistence：遇到阻礙後是否持續沿既定目標推進
• loss aversion：是否在受阻或暴露後轉向保守策略

這個想法很有想像力，也確實比一般 ATT&CK mapping 更往前一步。但老實說，這也是整篇最需要小心的地方：從行為軌跡推到心理特徵，中間隔著很長的因果距離。 同樣的 protocol transition，可能來自攻擊者風格，也可能只是工具限制、環境阻擋、模擬資料設定，甚至單純是測試流程所致。

也因此，我會把這篇最合理的閱讀方式理解成：它先提供了一個把「行為變化」系統化描述的框架；至於認知偏差推估，現階段比較像研究假說，而不是可以直接落地的 SOC 事實欄位。

這篇論文最值得看的主線

如果把整篇濃縮成一句話，我覺得它真正的主線不是「LLM 幫你讀心」，而是：

在 real-time defense 裡，真正缺的往往不是更多 alerts，而是把底層 telemetry 重新組織成能支撐高階威脅理解的語意層。

這條線其實很值得 sectools.tw 讀者注意，因為它把 CTI 與 detection engineering 之間那條常被切開的界線重新接起來了。傳統 CTI 偏高階敘述、攻擊者輪廓與 campaign 脈絡；傳統 IDS 則偏規則、事件與封包異常。這篇試圖做的，就是讓兩者中間多一層能互相翻譯的結構。

實務價值在哪裡？

若先不碰最冒險的 cognitive inference，只看比較務實的一層，這篇研究至少指出三個很有價值的方向：

• 從低階 logs 到高階 ATT&CK 的語意壓縮：降低 analyst 自己手動重建攻擊脈絡的成本
• phase-based interpretation：比單條 alert classification 更接近真實攻擊行為分析
• 把 network telemetry 接回 CTI 語言：讓 log analysis 的輸出更容易和 hunt、knowledge base、threat reporting 對接

如果這條路走得穩，未來最合理的應用其實不是「自動判斷攻擊者人格」，而是：

• 幫分析師產生更像樣的 investigation narrative
• 把多段 Suricata alerts 自動串成 ATT&CK-aligned activity chain
• 在 SOC 中做更高階的 escalation explanation
• 作為 adaptive detection 與 response orchestration 的上游語意層

它和最近幾篇文章的關係

若把它放回今天那條主線，這篇剛好接在 746–750 的 vulnerability intelligence / ATT&CK mapping 之後，但角度完全不同。前幾篇是在處理 CVE、CAPEC、CWE、產品脈絡與 technique mapping；這篇則是把 ATT&CK 映射往更即時、更靠近偵測現場的 security telemetry 拉。

也就是說，它不是再問「漏洞敘述對應哪個 technique」，而是改問：當攻擊行為已經開始出現在 IDS logs 裡，我們能不能更快把碎片訊號整理成可供人理解的攻擊意圖？

我的看法

我會把這篇分成兩半來看。

前半段，也就是把 Suricata log sequences 分段、對應 ATT&CK、重建高階威脅敘事，我覺得很有意思，而且方向是對的。這比很多只證明模型會回答安全題目的 paper 更接近真實現場痛點。

後半段，也就是從技術行為往上推 cognitive biases，我會保留很多保留。不是因為它一定錯，而是因為這層推論太容易被資料場景、規則設計、模擬環境與 analyst 解讀方式影響。若未來沒有更扎實的 validation，這一層目前比較像有啟發性的 research framing，而不是可以直接 operationalize 的 SOC signal。

但即使如此，這篇還是有價值。因為它提醒了一件事：真正成熟的 cyber AI，不只是在更多表格欄位裡分類，而是要能把低階證據重新整理成決策者能用的行為語言。

重點整理

• 這篇論文聚焦把 Suricata IDS logs 映射到 MITRE ATT&CK 與高階攻擊理解。
• 核心方法是 strategy-driven prompting，先把大量 logs 切成行為階段，再讓 LLM 做高階解讀。
• 研究想補的是 packet-level telemetry 與 analyst-level threat understanding 之間的語意落差。
• 最有野心的部分是進一步推估 risk tolerance、goal persistence、loss aversion 等認知傾向。
• 最實務的價值則在於：讓 IDS logs 更容易被轉成可調查、可溝通、可接入 CTI 的高階脈絡。

Takeaway

這篇論文最值得記住的一點，是它把資安 AI 的問題從「模型能不能看懂 alert」往前推成「模型能不能把零碎 log 重新組織成攻擊者正在做什麼」。

至於更進一步的 cognitive trait inference，我覺得現在先把它當成研究假說就好，不必急著神化。但光是能把 Suricata 這種底層訊號穩定翻成 ATT&CK-aligned threat narrative，就已經是很值得防守方認真追的一條路。

免責聲明

本文由 AI 產生、整理與撰寫。內容主要依據公開論文、摘要頁面與可取得之研究資料進行彙整、解讀與摘要；由於原始全文可取得資訊有限，本文對部分方法細節與研究定位採取保守解讀。儘管已盡力確保內容之完整性與可讀性，仍可能因模型理解限制、資料來源差異或語意轉譯過程而存在疏漏、不精確或更新延遲之處。本文內容僅供研究交流與知識分享參考，實際技術細節、實驗設定與最終結論，仍應以原始論文、官方文件及作者公開資料為準。