Anàlisi arrel IA: ciberseguretat pràctica

Abstract

Aquest treball presenta una exploració i aplicació pràctica dels Grans Models Lingüístics (LLM) en l'àmbit de la ciberseguretat, amb un enfocament dirigit a l'anàlisi de la causa arrel dels incidents de ciberseguretat. Els LLM, coneguts per la seva habilitat per processar i generar text a partir de grans conjunts de dades, són utilitzats en aquest context per millorar la comprensió del context en el que succeeixen els incidents de ciberseguretat. En el projecte, destaca la utilització de tècniques de transferència d'aprenentatge per adaptar models preentrenats a conjunts de dades específics. El treball també incorpora el desenvolupament d'una solució tecnològica completa, incloent una aplicació Python amb APIs FastAPI i una interfície de presentació web Dash. A més, es descriu la implementació de pràctiques d'MLOps per mitjà del desplegament de les aplicacions i les seves dependències a través d’un entorn virtual en python, facilitant així el desplegament i la portabilitat de la solució. Aquest estudi representa una contribució significativa a la pràctica de la ciberseguretat, demostrant l'aplicabilitat dels LLM en la detecció i anàlisi d'incidents, així com també s’evidencia la millora dels LLM a través de la integració eficaç de models d'aprenentatge automàtic.

Using a methodological framework that integrates Large Language Models (LLMs) with Reinforcement Learning (RL) supervision (Question-Answer), a solution has been developed that includes APIs for interacting with the models and for training using Python language data. Despite technical challenges and time constraints in the design and execution of the project, which limited the acquisition of real datasets for intensive training of the models and their subsequent processing, promising results have been achieved. It has been observed that supervising the LLM model with an RL model enhances the accuracy of LLM responses, largely due to the RL model training based on rewards for correct answers. The containerization of the solution in a Docker image, which includes a small server that launches the API endpoints, facilitates the interaction and continuous training of the models in a local environment, allowing for uture improvements such as automated validation of training data and programmatic generation of training files. The findings suggest that establishing a learning cycle for both models in a real network environment, training with real incidents, could significantly improve the system's response capability. This research paves the way for future studies where the dynamic integration of LLMs and RL in real cybersecurity environments could be key for a more accurate and effective analysis of the root causes of security incidents.