Современные SOC-системы формируют тысячи алертов, из которых значительная часть оказывается ложными. Это приводит к потере времени аналитиков и снижению скорости реагирования. Проект направлен на разработку программного модуля, который будет принимать алерты от SIEM-систем (например, ELK SIEM), автоматически собирать дополнительный контекст (логи и метаданные системы Linux) и передавать их в локально развёрнутую большую языковую модель (LLM) для анализа. Новизна проекта состоит в создании...Подробнее

Разработка и исследование модуля, интегрирующего систему оповещений SIEM с локальной LLM-моделью для анализа и оценки инцидентов информационной безопасности.

Еженедельные отчёты о прогрессе в коде (Git-репозиторий) Регулярные встречи с руководителем проекта и демонстрация промежуточных результатов Тестовые демонстрации отдельных функций (приём алертов, сбор логов, интеграция LLM) Комплексное тестирование полного функционала прототипа

Готовый модуль с документацией и инструкцией по запуску. Технический отчёт о реализации и тестировании. Техническая документация.

ПК с GPU RTX 5080 (16 GB VRAM), 64 GB RAM. ОС Linux / macOS с Python 3.11+. Библиотеки: transformers, bitsandbytes, torch, osquery, requests. Локальные модели LLM (LLaMA 2 13B quantized / Foundation-Sec-8B). Docker / GitLab / VS Code / UTM VM для тестов.

Проработана верхнеуровневая архитектура взаимодействия SOC ↔ LLM. Изучены принципы формирования алертов в ELK SIEM и структура событий Linux. Подготовлен обзор LLM-моделей и выбрана Foundation-Sec-8B как основная.