LLM
2026
SCDT 論文閱讀分析:很多 ICS anomaly detection 真正缺的,不是再多一個分數,而是先把控制脈絡說清楚
本文由 AI 產生、整理與撰寫。 論文基...
2026 年 4 月 28 日
Advancing Autonomous Incident Response 論文閱讀分析:很多 IR 自動化真正缺的不是更大的模型,而是先把 CTI 餵進可行動的上下文
論文基本資訊 論文標題:Advancin...
2026 年 4 月 22 日
RuleForge 論文閱讀分析:當 CVE 數量早就超過人工寫規則的速度,真正該自動化的不是摘要,而是 detection engineering 本身
RuleForge 論文閱讀分析:當 C...
2026 年 4 月 22 日
Security Logs to ATT&CK Insights 論文閱讀分析:真正卡住高階威脅理解的,常常不是資料太少,而是低階 log 和攻擊敘事之間還隔著一整層語意落差
這篇論文想補的不是新的 alert,而是 packet-level / IDS-level 證據與 analyst-level 威脅理解之間那層語意落差:作者用 strategy-driven prompting,把 Suricata logs 切成行為階段,再映射到 ATT&CK technique 與高階攻擊策略,試圖讓低階遙測更接近可操作的 threat understanding。
2026 年 4 月 21 日
FakeCTI 論文閱讀分析:真正能追住假訊息攻擊活動的,往往不是那些一直在換殼的帳號與網域,而是背後那套反覆借屍還魂的敘事骨架
這篇 FakeCTI 論文真正有意思的地方,不只是用 LLM 做假新聞分析,而是把 CTI 焦點從易變的 domain、帳號與連結,拉到更難被重寫的 narrative structure、實體關係與概念依賴。對追蹤 disinformation campaign 來說,真正值得保留的情資往往不是外殼,而是那套反覆出現的敘事骨架。
2026 年 4 月 21 日
Retrieval-Augmented LLMs for Security Incident Analysis 論文閱讀分析:真正讓日誌分析變得可用的,往往不是模型更會答,而是先把證據縮到它看得完
這篇論文把 security incident analysis 拆成比較像真實 analyst workflow 的三段:先用和 MITRE ATT&CK 綁定的 query library 篩出候選證據,再用 RAG 補齊關鍵上下文,最後才讓 LLM 回答 forensic 問題並重建 attack sequence。重點不是證明模型能看懂 log,而是證明沒有 evidence filtering 與 grounded retrieval,再會講的模型也會在日誌海裡漏掉惡意基礎設施與攻擊步驟。
2026 年 4 月 21 日
Advancing Autonomous Incident Response 論文閱讀分析:很多 IR 自動化真正缺的不是更大的模型,而是先把 CTI 餵進可行動的上下文
論文基本資訊 論文標題:Advancin...
2026 年 4 月 21 日
Security Logs to ATT&CK Insights 論文閱讀分析:當防守方真正想看懂攻擊者意圖,可能得先把 IDS Log 重新翻譯成人話
這篇論文試圖把 Suricata IDS logs 透過 strategy-driven prompting 切成行為階段,再映射到 MITRE ATT&CK 與高階攻擊敘事。真正有價值的主線,不是神化所謂 cognitive inference,而是縮短 packet-level telemetry 與 analyst-level threat understanding 之間的語意落差。
2026 年 4 月 18 日
RuleForge 論文閱讀分析:當 CVE 數量早就超過人工寫規則的速度,真正該自動化的不是摘要,而是 detection engineering 本身
RuleForge 論文閱讀分析:當 C...
2026 年 4 月 18 日