Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

Incident response is a key aspect of modern cybersecurity, as organizations face evolving threats that require rapid mitigation. This work presents a novel tool to enhance security analysts' efficiency in incident response. Leveraging advances in machine learning, particularly Large Language Models (LLMs), our approach fine-tunes a LLM with specialized cybersecurity knowledge. This ensures highly relevant, context-aware answers, with the fine-tuned model outperforming the base version in 71% of cases, providing more accurate and actionable recommendations. Our tool delivers timely, practical responses using the Retrieval-Augmented Generation (RAG) technique, integrating real-time, relevant information to improve accuracy and applicability for specific cyberattacks. This effectiveness is demonstrated by high Context Recall (0.98) and Context Precision (0.99), ensuring retrieved information is both relevant and comprehensive. Additionally, the tool supports document uploads, allowing security teams to store and reference crucial data such as system logs, incident reports, and forensic records, improving the response quality. Given the sensitivity of this information, the tool operates offline, ensuring privacy and security while maintaining full functionality. By combining LLM fine-tuning and RAG mechanisms, our tool provides a secure and efficient solution for improving incident response workflows in cybersecurity operations.

Nella cybersecurity moderna, una gestione efficace degli incidenti è fondamentale, poiché le organizzazioni affrontano minacce sempre più sofisticate che richiedono risposte tempestive. Questo lavoro presenta un nuovo strumento per migliorare l'efficienza degli analisti di sicurezza nella risposta agli incidenti. Utilizzando i recenti sviluppi nel campo del machine learning, in particolare nei Large Language Models (LLM), il nostro metodo consiste nel fine-tuning di un LLM con una conoscenza specializzata di cyber sicurezza. Questo garantisce risposte altamente rilevanti e contestualizzate: la versione fine-tuned supera il modello base nel 71% dei casi, fornendo quindi consigli più accurati e utili. Il nostro progetto offre risposte tempestive grazie alla tecnica di Retrieval-Augmented Generation (RAG), integrando informazioni rilevanti in tempo reale per migliorare l'accuratezza e l'applicabilità a specifici attacchi informatici. L'efficacia è dimostrata da un elevato Context Recall (0,98) e Context Precision (0,99), che garantiscono che le informazioni recuperate siano sia pertinenti che complete. Inoltre, lo strumento supporta il caricamento di documenti, permettendo ai team di sicurezza di inserire e consultare dati cruciali come log di sistema, report sugli incidenti e registri forensi, migliorando la qualità delle risposte. Data la sensibilità di queste informazioni, il progetto opera offline, garantendo privacy e sicurezza pur mantenendo piena operatività. Combinando il fine-tuning degli LLM con i meccanismi RAG, il nostro progetto fornisce una soluzione sicura ed efficiente per migliorare la risposta agli incidenti nelle operazioni di cybersecurity.

Bridging the gap: how LLMs can improve cyber incident response

SORRENTINO, LUCREZIA
2023/2024

Abstract

Incident response is a key aspect of modern cybersecurity, as organizations face evolving threats that require rapid mitigation. This work presents a novel tool to enhance security analysts' efficiency in incident response. Leveraging advances in machine learning, particularly Large Language Models (LLMs), our approach fine-tunes a LLM with specialized cybersecurity knowledge. This ensures highly relevant, context-aware answers, with the fine-tuned model outperforming the base version in 71% of cases, providing more accurate and actionable recommendations. Our tool delivers timely, practical responses using the Retrieval-Augmented Generation (RAG) technique, integrating real-time, relevant information to improve accuracy and applicability for specific cyberattacks. This effectiveness is demonstrated by high Context Recall (0.98) and Context Precision (0.99), ensuring retrieved information is both relevant and comprehensive. Additionally, the tool supports document uploads, allowing security teams to store and reference crucial data such as system logs, incident reports, and forensic records, improving the response quality. Given the sensitivity of this information, the tool operates offline, ensuring privacy and security while maintaining full functionality. By combining LLM fine-tuning and RAG mechanisms, our tool provides a secure and efficient solution for improving incident response workflows in cybersecurity operations.
PANEBIANCO, FRANCESCO
ING - Scuola di Ingegneria Industriale e dell'Informazione
3-apr-2025
2023/2024
Nella cybersecurity moderna, una gestione efficace degli incidenti è fondamentale, poiché le organizzazioni affrontano minacce sempre più sofisticate che richiedono risposte tempestive. Questo lavoro presenta un nuovo strumento per migliorare l'efficienza degli analisti di sicurezza nella risposta agli incidenti. Utilizzando i recenti sviluppi nel campo del machine learning, in particolare nei Large Language Models (LLM), il nostro metodo consiste nel fine-tuning di un LLM con una conoscenza specializzata di cyber sicurezza. Questo garantisce risposte altamente rilevanti e contestualizzate: la versione fine-tuned supera il modello base nel 71% dei casi, fornendo quindi consigli più accurati e utili. Il nostro progetto offre risposte tempestive grazie alla tecnica di Retrieval-Augmented Generation (RAG), integrando informazioni rilevanti in tempo reale per migliorare l'accuratezza e l'applicabilità a specifici attacchi informatici. L'efficacia è dimostrata da un elevato Context Recall (0,98) e Context Precision (0,99), che garantiscono che le informazioni recuperate siano sia pertinenti che complete. Inoltre, lo strumento supporta il caricamento di documenti, permettendo ai team di sicurezza di inserire e consultare dati cruciali come log di sistema, report sugli incidenti e registri forensi, migliorando la qualità delle risposte. Data la sensibilità di queste informazioni, il progetto opera offline, garantendo privacy e sicurezza pur mantenendo piena operatività. Combinando il fine-tuning degli LLM con i meccanismi RAG, il nostro progetto fornisce una soluzione sicura ed efficiente per migliorare la risposta agli incidenti nelle operazioni di cybersecurity.
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
2025_04_Sorrentino_Executive Summary.pdf

accessibile in internet per tutti a partire dal 02/03/2026

Descrizione: testo executive summary
Dimensione 900.67 kB
Formato Adobe PDF
  Visualizza/Apri
900.67 kB Adobe PDF   Visualizza/Apri
2025_04_Sorrentino_Tesi.pdf

accessibile in internet per tutti a partire dal 11/03/2026

Descrizione: testo tesi
Dimensione 7.25 MB
Formato Adobe PDF
  Visualizza/Apri
7.25 MB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/234629