top of page
blog_banner-1980x300.png

【Intezer AI SOC】結合決定性分析與 LLM:提升告警準確性與事件調查效能

  • 作家相片: Estrella Wei
    Estrella Wei
  • 10月3日
  • 讀畢需時 4 分鐘

已更新:10月9日


作者:Zev Schonberg | 編譯:AIShield 編輯部 | 發稿日期:2025 年 10 月 03 日


端點案例攻擊鏈示意
圖片出自:AIShield

前言:AI SOC 的核心挑戰


在評估一套 AI 資安營運中心(AI SOC)方案時,最值得先問的問題是:這個系統的分析與判斷,是基於什麼方法運作?


近年,許多廠商都將「大型語言模型(LLM)」作為主打特色。然而,實務上,單靠 LLM 並不足以解決資安營運中心最核心的需求──在海量告警中準確篩選真正的威脅,並有效支援事件調查與回應。


AI SOC 的理想目標,是能在保證準確性的同時,提升效率與可擴展性。本文將說明為何決定性分析(Deterministic Analysis)與 LLM 的結合才是更實際且可持續的路線。



決定性分析:準確性的堅實後盾


決定性分析屬於規則式、可重複驗證的判斷機制。當輸入相同,輸出結果必定一致,因此特別適合處理需要一致性與可追溯性的告警分類。


主要優勢


  • 一致性與可審核性:可確保相同情境下的判斷結果相同,並能完整追溯每一次判斷的原因與邏輯。

  • 降低誤報:透過專家知識、特徵碼(Signatures)、YARA 規則、威脅情資(Threat Intelligence)等方式,能大規模過濾雜訊。

  • 高效且成本低:不需大量運算資源,即可同時處理數千筆告警,適合大規模 SOC。

Intezer 的統計顯示,其決定性引擎可在初步篩檢階段過濾掉 約 98% 的誤報告警,為後續分析大幅減負。


工具深度的重要性


不同廠商的「決定性分析」能力差異巨大。


有些僅能透過檔案雜湊值查詢威脅情資服務(如 VirusTotal),相當於用「體溫計」檢查病情。而 Intezer 則透過程式碼層級的基因比對(Code Genome Analysis),能將未知檔案與已知惡意程式家族比對,類似「MRI 掃描」,能看得更深入,提升判斷的確定性。


此外,Intezer 的決定性層還包含:


  • 端點與記憶體掃描

  • 檔案/網址/IP 信譽檢查

  • 行為特徵比對(例如執行鏈模式)

  • 組織自訂政策與白名單/黑名單管理


這些功能共同提供 SOC 團隊可靠的「防線」與「護欄」



LLM 解讀端點攻擊鏈示意圖
圖片出自:AIShield

決定性分析的限制:難以解讀情境


規則式引擎的不足,在於對未知威脅與灰色案例的解讀能力有限


  • 無法偵測尚未出現的攻擊技術(例如新型零時差攻擊)

  • 無法理解行為背後的情境與意圖

  • 對模糊案例判斷不足,例如某段 PowerShell 指令可能是惡意持久化,也可能是日常 IT 維運


這些盲點需要另一種更貼近人類分析思維的工具來補足。



LLM:補上人類式情境推理


大型語言模型(LLM)可在語境理解與事件關聯分析上發揮作用。它能像經驗豐富的分析師一樣,將零散訊號串成可解釋的事件故事。


LLM 的價值


  • 語境解讀:可判斷特定行為是否合乎情境,而非僅靠規則比對

  • 關聯分析:將多個看似無關的訊號連結成攻擊鏈

  • 補足灰色案例:協助人員快速決策


案例說明


  • 端點告警:決定性層能偵測到未知執行檔觸發 cmd.exe 與 rundll32.exe;LLM 則能識別其行為符合惡意持久化模式,而非日常維護。

  • 身分登入異常:規則層可能將多個異常 IP 視為可疑;LLM 可結合地理位置、VPN 範例、MFA 資訊後判定為良性誤報。

  • 釣魚郵件:規則層能指出可疑連結與網域;LLM 能將寄件人名稱、品牌偽冒、語氣與緊急付款等因素整合後,給出「高度可疑」的結論。



LLM 的侷限


雖然 LLM 帶來類人化的推理能力,但也存在技術風險:


  • 不一致性與幻覺(Hallucination):對相似輸入可能產出不同結論

  • 不可完全審核:缺乏透明可重現的判斷流程

  • 運算成本高昂:大規模用於告警分級時不具經濟效益


因此,LLM 不適合獨立擔任告警處理的唯一引擎。



混合式架構:護欄+語境


SOC 需要既可靠又靈活的分析模式。最佳實踐是:以決定性分析為基礎,並輔以 LLM 的語境推理


  • 決定性層:提供大規模篩選、低成本、可重現且可審核的結果

  • LLM 層:補足情境解讀與灰色案例決策,提升事件調查與回應效率

Intezer 採用多個 LLM 與決定性層協同運作,使告警誤報率降低、分析結果一致且具備人類級洞察。


實務落地與整合


Intezer 平台內建威脅情資、告警分級與加值調查工具,可直接整合現有的 EDR、SIEM 與雲端告警來源,降低導入門檻。


此種「開箱即用」的混合式架構,有助於企業在不額外增加技術負擔的情況下,迅速提升 SOC 的效能。



結論:現代 SOC 的必要路徑


隨著攻擊手法持續演進,單一依賴規則或單一依賴 AI 推理,都難以同時兼顧準確性、擴展性與成本效益


企業在評估 AI SOC 方案時,應檢視:


  1. 決定性層的分析深度與自動化能力

  2. LLM 對灰色案例與事件關聯的解讀品質

  3. 平台整合與運算成本是否能支援日常大量告警


混合式方法能兼顧兩者長處──以規則式護欄確保基礎準確性與可信度,以 LLM 增強情境理解與推理彈性,達到「大規模複製人類分析師經驗」的目標。


在 Intezer,我們堅信,要大規模複製人類分析師的能力,需要決定性方法的「護欄」與 AI 的「直覺」雙管齊下。兩者結合,才能為現代資安團隊帶來值得信賴的準確性、速度與效率。




想進一步了解 Intezer,並看看我們的 AI 資安營運中心平台如何幫助你專注於真正的威脅,立即來信:contact@aishield.com.tw




本文翻譯自 Intezer 原文:“Why the best LLMs are not enough for the AI SOC

發佈日期:2025 年 9 月 12 日




原文和圖片連結:Intezer 部落格文章


bottom of page