核心概念
LLMエージェントとRLエージェントの協調により、サイバーセキュリティ攻撃と防御の両タスクにおいて大幅な性能向上を達成する。
摘要
本研究では、SecurityBotと呼ばれる枠組みを提案している。これは、LLMエージェントをRLエージェントによるメンタリングを通じて強化するものである。具体的には以下の4つのモジュールをLLMエージェントに統合している:
- プロファイルモジュール: エージェントの役割、目標、利用可能なアクションを定義する。
- メモリモジュール: 過去の経験を蓄積し、関連する経験を検索する。
- 反省モジュール: ジレンマ状況を検出し、LLMエージェントに新しいアクションを選択するよう促す。
- アクションモジュール: 観測された環境と利用可能なアクションに基づいて、実行可能なアクションを生成する。
さらに、3つの協調メカニズムを導入している:
- カーソル: LLMエージェントがRLエージェントの助言を参考にするかどうかを動的に決定する。
- アグリゲーター: 複数のRLエージェントからの助言を統合し、最も信頼できる助言を選択する。
- コーラー: ジレンマ状況に陥った際に、RLエージェントの助言を積極的に求める。
実験の結果、提案手法は攻撃側と防御側の両タスクにおいて、LLMエージェントやRLエージェントを単独で使用する場合に比べて大幅な性能向上を示した。ただし、パフォーマンスの安定性については、複数のRLエージェントを活用する場合に課題が見られた。
统计
サイバーセキュリティゲームにおける各ホストの価値は以下の通りです:
ユーザーサブネットのホスト: 0.1
エンタープライズサブネットのホスト: 1.0
運用サブネットのホスト: 10.0
また、ホストの接続状態に応じて以下の報酬が得られます:
未知/既知: 0
侵害済み: 0.5
特権取得: 0.89