МЕТОД АВТОМАТИЗАЦІЇ ЗВІТІВ ПРО КІБЕРІНЦИДЕНТИ З ВИКОРИСТАННЯМ LLM
DOI:
https://doi.org/10.28925/2663-4023.2026.33.1156Ключові слова:
threat intelligence, великі мовні моделі, інциденти кібербезпеки, звітністьАнотація
Роботу присвячено питанням автоматизації звітності в складі процесів Threat Inteligence. Метою роботи є розробка методу, яка дозволяє зменшити навантаження на працівників, які обробляють та документально фіксують результати кіберінцидентів у відповідності до вимог нормативних документів. Серед основних результатів роботи запропоновано шаблон інструкцій багаторазового використання для великої мовної моделі (ВММ). Представлений шаблон дає змогу надати чіткі вказівки, а саме необхідні та опціональні поля, припустимі значення, які вносяться до полів звіту. Запропоновано програмні моделі на основі бібліотеки Pydantic для генерації та перевірки відповіді у форматі JSON від ВММ. Це дозволяє скоротити довжину інструкцій для ВММ приблизно в 3 рази. Запропоновано архітектуру RAG-пайплайну для врахування конкретного контексту нормативних документів в області звітності щодо кіберінцидентів. Такий пайплайн дозволяє слідувати вимогам законодавства та стандартів без потреби прописувати ці вимоги вручну в інструкціях, що прискорює процес генерації та покращує якість звітів. Розроблено програмну модель, яка дозволяє автоматизовану генерацію звіту з кіберінцидентів. Така модель не потребує ручного заповнення характеристик інциденту, взаємодії користувача з платформою Threat Intelligence на прикладі MISP (Malware Information Sharing Platform). Цей підхід дозволяє знизити час створення звіту з годин до хвилин, і покращити ефективність обміну даними про загрози, уникаючи часових та фінансових вкладень. Ще одним результатом роботи є порівняльний аналіз генерації звітів при використанні різних ВММ, зокрема Claude Sonnet 4.5, Gemini 2.5 pro, Grok xAI, GPT 5, DeepSeek, Llama в розрізі якості та вартості генерації звіту. Для порівняння запропоновано критерії якості звіту, оцінка відповідності критеріям проводилась експертним методом. В результаті виділено моделі Claude Sonnet 4.5, Gemini 2.5 pro як лідерів стосовно якості згенерованих звітів. Встановлено, що ВММ є перспективним інструментом для впровадження в процеси обробки та комунікації в області інцидентів кібербезпеки, їх використання дозволяє повністю автоматизувати процес звітності Threat Intelligence в організації.
Завантаження
Посилання
Ibrahim, I. M., Soliman, M., & Ossama, S. (2025). Leveraging large language models for document analysis and decision-making in AI chatbots. Advanced Sciences and Technology Journal, 2(1), Article 1034. https://doi.org/10.21608/astj.2025.342484.1034
Voitsekhovskyi, A., Stopochkina, I., Sun, P., Xie, J., Ilin, M., & Novikov, O. (2026). Detection of vulnerabilities in software for unmanned aerial vehicles by using large language models. Eastern-European Journal of Enterprise Technologies, 1(2), 36-47. https://doi.org/10.15587/1729-4061.2026.352029
Fezari, M., & Al Dahoud, A. (2026). The evolution of retrieval-augmented generation (RAG) in AI [Preprint]. https://doi.org/10.13140/RG.2.2.27107.62245
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union. (2022). https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022L2555
Cyber Solidarity Act. (2024). https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32025R0038
Cichonski, P., Millar, T., Grance, T., & Scarfone, K. (2012). Computer security incident handling guide (NIST Special Publication 800-61 Rev. 2). National Institute of Standards and Technology. https://doi.org/10.6028/nist.sp.800-61r2
Ainslie, S., Thompson, D., Maynard, S., & Ahmad, A. (2023). Cyber-threat intelligence for security decision-making: A review and research agenda for practice. Computers & Security, 132, 103352. https://doi.org/10.1016/j.cose.2023.103352
Lin, X., et al. (2025). IRCopilot: Automated incident response with large language models (arXiv:2505.20945) [Preprint]. arXiv. https://doi.org/10.48550/arXiv.2505.20945
Novikov, O., Ilin, M., Stopochkina, I., Ovcharuk, M., & Voitsekhovskyi, A. (2025). Application of LLM in UAV route planning tasks to prevent data exchange availability violations. Cybersecurity: Education, Science, Technique, 1(29), 420–431. https://doi.org/10.28925/2663-4023.2025.29.892
Sohi, S., Balan, D., Anjomshoaa, A., & Polleres, A. (2024). Towards harmonised rail safety knowledge: LLM techniques for EU accident report processing. In CEUR Workshop Proceedings. https://ceur-ws.org/Vol-4079/short4.pdf
MISP Project. (2025). Features of MISP, the open source threat sharing platform. Retrieved October 30, 2025, from https://www.misp-project.org/features/
Dulaunoy, A., & Iklody, A. (n.d.). MISP core format. MISP Standard. https://www.misp-standard.org/rfc/misp-standard-core.html
Rutkowski, A., Kadobayashi, Y., & Furey, I. (2010). CYBEX: The cybersecurity information exchange framework. ACM SIGCOMM Computer Communication Review, 40(5).
OASIS Open. (n.d.). STIX introductory walkthrough. https://oasis-open.github.io/cti-documentation/stix/walkthrough
State Service for Special Communications and Information Protection of Ukraine. (2023). On approval of methodological recommendations for responding by cybersecurity subjects to various types of events in cyberspace (Order No. 570). https://zakon.rada.gov.ua/rada/show/v0570519-23#Text
FIRST. (n.d.). Traffic light protocol. https://www.first.org/tlp/
OpenAI. (n.d.). Structured model outputs.
Leto, A., Aguerrebere, C., & Bhati, I. (2024). Toward optimal search and retrieval for RAG (arXiv:2411.07396) [Preprint]. NeurIPS 2024 Workshop. https://doi.org/10.48550/arXiv.2411.07396
Chornyi, A., & Stopochkina, I. (2025). Graph-based analysis of information flows in Telegram for cybersecurity threat detection. Cybersecurity: Education, Science, Technique, 3(27), 368-380. https://doi.org/10.28925/2663-4023.2025.27.746
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2026 Данило Андреєв, Анатолій Чорний, Ірина Стьопочкіна, Микола Ільїн
Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
