DP-FLogTinyLLM 論文閱讀分析:很多 log AI 真正缺的,不是再多吃一點資料,而是資料不能集中時整套偵測還能不能活
這篇論文真正重要的,不是又把 log anomaly detection 跟 LLM 接在一起,而是正面回答一個更接近企業現場的問題:當最有價值的 logs 也是最不能集中搬走的 logs,偵測能力還能保住多少。
2026 年 4 月 22 日
SOC
2026
SIR-Bench 論文閱讀分析:真正像樣的 IR Agent,不是先把結論講漂亮,而是真的會往 alert 外面繼續挖證據
論文基本資訊 論文標題:Evaluati...
2026 年 4 月 22 日
Cyber Defense Benchmark 論文閱讀分析:很多 SOC AI 真正還不會的,不是回答安全問題,而是自己把惡意事件從海量 log 裡找出來
Cyber Defense Benchmark 這篇最重要的,不是又多一個 cyber benchmark,而是把 LLM agent 丟回真正像 SOC 的 open-ended threat hunting 任務:面對數萬到十幾萬筆 Windows logs,自己用 SQL 找出惡意事件時間點。結果五個 frontier models 全面失手,最佳模型平均也只找對 3.8% 惡意事件。
2026 年 4 月 22 日
Advancing Autonomous Incident Response 論文閱讀分析:很多 IR 自動化真正缺的不是更大的模型,而是先把 CTI 餵進可行動的上下文
論文基本資訊 論文標題:Advancin...
2026 年 4 月 22 日
NIDS 論文閱讀分析:很多研究真正失真的,不是模型太弱,而是從一開始就沒在回答 SOC 現場的問題
這篇 SoK 最值得看的,不是它再做一個 IDS 模型,而是它直接點破:很多 NIDS 研究真正和現場脫節的,不是因為沒再多做一點機器學習,而是因為研究從一開始就在量 sample-level classifier,而不是 SOC 真正要接手的事件、告警與營運成本。
2026 年 4 月 22 日
ExAI5G 論文閱讀分析:很多 IDS 真正缺的,不是再多 0.1% accuracy,而是把告警理由翻成人看得懂的規則與交接線索
ExAI5G 真正值得看的,不是又一個超高分 IDS,而是它試著把黑盒偵測結果往營運可接手的形式壓縮:用 attribution 找依據、用 surrogate tree 萃取規則、再把判斷轉成分析師能接手的 explanation。
2026 年 4 月 21 日
SOC × LLM 論文閱讀分析:大家不是不用 AI,而是不敢把高風險收尾真的交給它
這篇研究用 Reddit 上三個資安社群、892 則討論,拆開真實 SOC 現場如何使用、理解與保留 LLM。最關鍵的結論不是「大家不用 AI」,而是大家主要把它放在低風險、可驗證、能保留人類主導權的任務上;真正阻礙高自治導入的,是可靠性、驗證成本、隱私風險與責任邊界。
2026 年 4 月 21 日
Retrieval-Augmented LLMs for Security Incident Analysis 論文閱讀分析:真正讓日誌分析變得可用的,往往不是模型更會答,而是先把證據縮到它看得完
這篇論文把 security incident analysis 拆成比較像真實 analyst workflow 的三段:先用和 MITRE ATT&CK 綁定的 query library 篩出候選證據,再用 RAG 補齊關鍵上下文,最後才讓 LLM 回答 forensic 問題並重建 attack sequence。重點不是證明模型能看懂 log,而是證明沒有 evidence filtering 與 grounded retrieval,再會講的模型也會在日誌海裡漏掉惡意基礎設施與攻擊步驟。
2026 年 4 月 21 日
Advancing Autonomous Incident Response 論文閱讀分析:很多 IR 自動化真正缺的不是更大的模型,而是先把 CTI 餵進可行動的上下文
論文基本資訊 論文標題:Advancin...
2026 年 4 月 21 日
In-Context Autonomous Network Incident Response 論文閱讀分析:真正讓 IR Agent 比較像系統的,不是它會講幾個步驟,而是它會不會一路重規劃
論文基本資訊 論文標題:In-Conte...
2026 年 4 月 21 日