当前位置:首页 > 报告详情

利用LLM嵌入和相似性辅助数字取证与事件响应分析.pdf

上传人: 可*** 编号:991819 2025-12-07 55页 13.64MB

1、U singL L M s,E m beddings,and Sim ilarity to A ssist D F IR A nalysisMatthew Seyer,KPMGDevanshi Agnihotri,KPMGSANS AI Cybersecurity Summit 252 2023 KPMG LLP,a Delaware limited liability partnership and a member firm of the KPMG global organization of independent member firms affiliated with KPMG In

2、ternational Limited,a private English company limited by guarantee.All rights reserved.What is Similarity?Likeness/resemblance between two or more thingsUtilizing Similarity in Investigations1.Answering questions with similarity2.Sorting data by similarity for review3.Quickly identify risky activity

3、 in a systematic processSim ilarity in Investigations3 2023 KPMG LLP,a Delaware limited liability partnership and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited,a private English company limited by guarantee.All rights reserved.A

4、nsw ering questions about sim ilarityI found attacker activity!Does similar activity exist?How early do we see this activity?4 2023 KPMG LLP,a Delaware limited liability partnership and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limit

5、ed,a private English company limited by guarantee.All rights reserved.Sorting by Sim ilarityLexical(A-Z)SortSimilarity(Cluster)Sortcsc.exe/r:System.EnterpriseServices.dll/target:library/keyfile:key.snkC:AtomicRedTeamatomicsT1121srcT1121.cscsc.exe/r:System.EnterpriseServices.dll/target:library/keyfil

6、e:key.snkC:AtomicRedTeamatomicsT1121srcT1121.csbcdedit.exe /set default recoveryenabled nocsc.exe /r:System.EnterpriseServices.dll/target:libraryC:AtomicRedTeamatomicsT1121srcT1121.cscmd.exe/c bcdedit.exe/set default bootstatuspolicyignoreallfailurescvtres.exe/NOLOGO/READONLY/MACHINE:IX86/OUT:C:User

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
根据报告的内容,本文主要探讨了如何利用LLMs、嵌入和相似性来辅助DFIR分析。以下是全文关键点: 1. **相似性在调查中的应用**: - 通过相似性回答问题,例如识别攻击者活动。 - 通过相似性对数据进行排序以进行审查。 - 在系统过程中快速识别高风险活动。 2. **数据准备**: - 使用ETL(提取、转换、加载)过程准备数据。 - 使用EvtxHandler转换和过滤事件。 3. **嵌入**: - 将文本转换为数值表示,以捕获意义、关系和上下文。 - 使用嵌入将命令行请求转换为向量。 4. **聚类**: - 使用DBSCAN和K-means聚类 - 使用PCA简化数据并算法对嵌入进行聚类。 保持重要模式。 5. **LLMs在风险评估中的应用**: - 使用LLMs克服LLM限制,例如处理大量数据。 - 使用LLMs创建提示以评估每个聚类的风险。 - 将风险响应收集到DataFrame中,并创建Excel工作簿。 6. **工具和资源**: - 提供了Rust CLI工具来从EVTX文件中提取命令并聚类。 - 提供了GitHub链接,其中包含用于聚类命令的Rust CLI工具。 总结:本文介绍了如何利用LLMs、嵌入和相似性来辅助DFIR分析,包括数据准备、嵌入、聚类和LLMs在风险评估中的应用。
"相似度在调查中的应用" "如何利用LLM进行风险评估?" "数据探索与聚类分析技巧"
客服
商务合作
小程序
服务号
折叠