NDSS 2026：轻量级大语言模型在安全事件响应中的实践与幻觉抑制

本文介绍NDSS 2026录用论文的配套开源项目（GitHub仓库：Kim-Hammar/llm_incident_response_ndss26，发布于2026-06-02）。核心内容是提出一种基于轻量级大语言模型（LLM）的安全事件响应决策支持方法，通过领域特定微调、信息检索增强和决策理论规划解决模型幻觉问题，可在普通硬件上运行，并公开首个安全事件响应微调数据集。关键词：网络安全、事件响应、LLM、模型幻觉、微调、DeepSeek、Qwen、NDSS、开源数据集、决策支持

传统安全事件响应依赖人工经验，效率低下且易出错。LLM虽为自动化决策提供可能，但存在核心挑战：模型幻觉（生成看似合理却错误的响应）；现有方案依赖前沿大模型提示工程，成本高且难以在普通硬件部署。墨尔本大学与帝国理工学院团队针对这些问题提出轻量级LLM方法

该方法通过三个关键技术解决问题：1.领域特定微调：构建首个公开安全事件响应微调数据集，对DeepSeek-R1-Distill-Qwen-14B模型微调，掌握专业知识与决策模式；2.信息检索增强：检索相似历史案例和最佳实践，减少幻觉；3.决策理论规划：评估动作序列长期影响，确保响应可行性。优化后可在普通消费级GPU运行，降低部署门槛

系统分三阶段：输入阶段接收系统日志、告警等数据，预处理为结构化格式；处理阶段：微调LLM通过检索模块获取背景知识，结合输入推理，决策理论规划模块选择最优响应序列；输出阶段生成结构化响应计划（含具体动作、执行理由、预期效果），便于分析师理解或自动化处理

项目开源完整 artifacts：1.微调数据集：首个公开，托管于Hugging Face，含真实场景与专家标注响应，覆盖多攻击类型；2.模型权重：基于DeepSeek-R1-Distill-Qwen-14B，采用LoRA参数高效微调，文件体积合理；3.可复现代码：Python库，含数据集加载、微调、响应生成等功能，支持macOS/Ubuntu，兼容Python3.8-3.13

实验验证有效性：1.幻觉抑制：微调后幻觉率显著降低，信息检索进一步提升准确性；2.响应质量：专家盲评显示接近人类专家水平，常见攻击响应表现优异；3.效率：RTX8000上单响应生成时间秒级，16GB显存设备稳定运行，满足实时需求

应用场景：SOC辅助决策（缩短响应时间）、安全培训（作为学习材料）、SOAR自动化编排（对接平台）。局限性：攻击类型覆盖有限、英文优化为主、大规模并发延迟问题。未来工作：扩展数据集（新增攻击/行业场景）、多语言支持、模型量化与推理加速