2399 LLM-AlertBridge: модуль интеграции SOC-алертов с языковой моделью

Вишнеков Андрей Владленович

руководитель проекта

Старт

08.04.2026

Представление

08.06.2026 – 19.06.2026

Постерная сессия

22.10.2026 – 03.11.2026

Защита

23.01.2027 – 02.02.2027

Паспорт проекта

Аннотация

Современные SOC-системы формируют значительный объём алертов, при этом доля ложных срабатываний (false positives) приводит к перегрузке аналитиков и увеличению времени реагирования на реальные инциденты. Проект направлен на разработку и исследование автономного программного модуля, интегрируемого с SIEM-системами (к примеру ELK SIEM), который выполняет автоматический сбор дополнительного контекста (системные логи и метаданные Linux через osquery), корреляцию событий и последующий семантический...

Отрасль

Информационная безопасность

Цель

Разработка и исследование прототипа программного модуля, интегрирующего систему оповещений SIEM с локальной LLM-моделью для анализа и оценки инцидентов информационной безопасности, с последующей экспериментальной оценкой его эффективности по снижению нагрузки на аналитиков SOC.

Ожидаемые результаты

Программная реализация исследовательского прототипа (уровень TRL 4–5): Модуль приёма алертов из SIEM.
- Механизм отбора, корреляции и нормализации данных Механизм безопасной передачи данных в локальную LLM
- Модуль сбора контекста через osquery и системные логи Linux
- Механизм учёта обратной связи от аналитика SOC для корректировки логики интерпретации инцидентов
- Работа с LLM:
- Шаблоны запросов к модели LLM Парсер и структурирование шаблонизированных ответов модели

Форма и способы промежуточного контроля

Еженедельные отчёты о прогрессе разработки в виде кода и результатов экспериментов (Git-репозиторий). Регулярные встречи с руководителем проекта с демонстрацией промежуточных результатов и обсуждением корректности принимаемых решений. Тестовые демонстрации отдельных функций (приём алертов, сбор логов, интеграция LLM, анализ инцидентов). Проведение экспериментального тестирования прототипа с использованием метрик precision, recall и F1-score по отдельным типам угроз, а также анализа времени...

Форма представления результатов

Исследовательский прототип программного модуля с документацией и инструкцией по запуску. Технический отчёт о реализации и экспериментальном тестировании. Техническая документация.

Ресурсное обеспечение

Локальная вычислительная система с GPU уровня RTX 5080 (не менее 16 GB VRAM), 64 GB RAM с высокой частотой. Тестовый полигон на базе изолированной облачной инфраструктуры с виртуальными машинами Linux для эмуляции SOC-окружения и обработки журналов событий. ОС Linux / macOS с Python 3.11+. Библиотеки Python: transformers, bitsandbytes, torch, osquery, requests. Локальные модели LLM (LLaMA 2 13B Q8 / Foundation-Sec-8B). Docker, GitLab, VS Code, средства виртуализации.

Имеющийся задел

Проработана верхнеуровневая архитектура взаимодействия SOC ↔ автономный модуль ↔ LLM. Изучены принципы формирования алертов в ELK SIEM и структура журналов событий Linux. Проведен поверхностный анализ представленных на рынке открытых LLM-моделей и их возможности анализировать журналы событий.