From Threat Intelligence to Firewall Rules: Semantic Relations in Hybrid AI Agent and Expert System Architectures

Questo lavoro propone un sistema ibrido neuro-simbolico che sfrutta le relazioni semantiche iponimo-iperonimo per estrarre informazioni da report di intelligence sulle minacce e generare automaticamente regole firewall tramite agenti AI e un sistema esperto, dimostrando un'efficacia superiore nel mitigare le minacce informatiche.

L'essenziale

Ecco una spiegazione semplice e creativa del paper, pensata per chiunque, anche senza competenze tecniche.

🛡️ Il Guardiano Digitale: Come l'AI impara a difendere la rete

Immagina il mondo digitale come una città enorme e affollata. I criminali informatici (gli hacker) sono come ladri che studiano le mappe della città per trovare le finestre aperte. I difensori (gli esperti di sicurezza) devono proteggere ogni singola porta e finestra, ma i ladri sono veloci e cambiano strategia ogni giorno.

Il problema è che i difensori sono spesso lenti: devono leggere rapporti lunghi e complessi scritti da analisti umani per capire come stanno attaccando i ladri, e poi devono scrivere manualmente le regole per chiudere le finestre. È come se un vigile del fuoco dovesse leggere un romanzo intero ogni volta che scoppia un incendio, prima di poter spegnere le fiamme.

Questo articolo presenta una soluzione intelligente: un sistema ibrido che combina l'intelligenza artificiale moderna (che è brava a capire il linguaggio) con un "cervello logico" rigido (che è bravo a seguire regole precise).

Ecco come funziona, passo dopo passo, con delle analogie:

1. Il Problema: Troppa confusione, poca chiarezza

I rapporti sulle minacce informatiche (chiamati CTI) sono come romanzi polizieschi pieni di dettagli. Spesso sono confusi, lunghi e scritti in modo disordinato.

• L'approccio vecchio: Provare a cercare parole chiave specifiche (es. "virus", "IP malevolo") è come cercare un ago in un pagliaio guardando solo la punta dell'ago. Se il ladro usa un nome diverso per lo stesso strumento, il sistema non lo capisce.
• L'approccio nuovo: Invece di cercare solo le parole esatte, il sistema cerca il significato profondo delle cose.

2. La Magia: Le Relazioni "Genere-Specie" (Iperonimi e Iponimi)

Il cuore della loro invenzione è un trucco linguistico chiamato relazione iperonimo-iponimo.

• L'analogia: Immagina che un "Sparviero" sia un iponimo (un tipo specifico) e "Uccello da preda" sia un iperonimo (la categoria generale).
• Come lo usano: Se un rapporto dice "Hanno usato uno Sparviero", il sistema non si ferma lì. Capisce automaticamente che uno Sparviero è un Uccello da preda.
• Perché è utile? Invece di bloccare solo lo "Sparviero", il sistema capisce che deve bloccare tutti gli "Uccelli da preda" (o meglio, tutte le tecniche simili). Questo permette di capire il contesto anche se il testo è confuso. È come se il sistema avesse una mappa concettuale che collega i pezzi del puzzle.

3. L'Architettura: Il Duo Dinamico (AI + Esperto)

Il sistema proposto è come una squadra di due persone che lavorano insieme:

• Il "Traduttore" (L'Agente AI): È un'intelligenza artificiale molto colta (basata su modelli linguistici). Il suo compito è leggere il rapporto confuso, estrarre i concetti chiave usando le relazioni "genere-specie" di cui parlavamo prima, e trasformarli in idee chiare. È come un interprete che traduce un linguaggio complicato in un linguaggio semplice.
• Il "Costruttore Rigido" (Il Sistema Esperto): Una volta che l'AI ha capito il concetto, passa il testimone a un sistema più vecchio ma infallibile (chiamato CLIPS). Questo sistema è come un architetto che segue un codice di costruzione rigoroso. Non inventa nulla, non sbaglia, e non allucina. Prende le idee dell'AI e le trasforma in codice reale (regole per i firewall) che può essere installato immediatamente per bloccare il traffico malevolo.

4. Il Risultato: Più veloce e più sicuro

Gli autori hanno testato questo sistema su dati reali e hanno scoperto due cose fondamentali:

1. Capisce meglio: Usando le relazioni tra i concetti (come Sparviero/Uccello), il sistema trova le informazioni giuste molto meglio dei metodi tradizionali, anche quando i dati sono sbilanciati (cioè quando ci sono molti casi di un tipo e pochi di un altro).
2. Non sbaglia: L'uso del sistema esperto finale garantisce che il codice generato sia corretto e sicuro. L'AI fa da "cervello creativo", ma il sistema esperto fa da "freno di sicurezza" per evitare errori pericolosi.

In sintesi

Immagina di avere un detective AI che legge i rapporti sui crimini, capisce la logica dietro le azioni dei ladri usando la sua conoscenza del mondo (sapendo che un "Sparviero" è un tipo di "Uccello"), e poi passa un foglio di istruzioni a un robot costruttore che, senza esitare, chiude tutte le finestre della città che potrebbero essere usate da quel tipo di ladro.

Questo approccio permette di reagire alle minacce informatiche molto più velocemente di quanto farebbe un umano da solo, trasformando la confusione dei testi in regole di sicurezza concrete e affidabili.

Sommario tecnico

Ecco una sintesi tecnica dettagliata del paper in italiano, strutturata secondo le sezioni richieste.

Titolo: Dalle Minacce alla Sicurezza: Relazioni Semantiche in Architetture Ibride di Agenti AI e Sistemi Esperti

1. Problema e Contesto

Le applicazioni web sono bersagli frequenti di attacchi informatici, creando un'asimmetria strutturale tra attaccanti (che devono trovare poche vulnerabilità) e difensori (che devono proteggere l'intero sistema). Le soluzioni di sicurezza tradizionali, come i Sistemi di Rilevamento delle Intrusioni (IDS) e di Prevenzione (IPS), richiedono spesso un intervento umano per configurare controlli di sicurezza complessi basati su report di Cyber Threat Intelligence (CTI).
Le sfide principali identificate sono:

• Complessità e Rumore: I report CTI sono spesso testuali, verbosi e disordinati, rendendo difficile l'estrazione automatica di dati sensibili.
• Squilibrio dei Dati: Il dominio della cybersecurity soffre di uno sbilanciamento severo delle classi (pochi esempi per minacce specifiche), dove i metodi AI convenzionali tendono a fallire.
• Affidabilità: Esistono approcci basati sull'AI che faticano a categorizzare dati sensibili e a generare codice di sicurezza (es. regole firewall) senza errori o "allucinazioni", rendendo difficile la fiducia nelle risposte automatizzate.

2. Metodologia

Il paper propone un approccio neuro-simbolico che integra Intelligenza Artificiale Agente (Agentic AI) e Sistemi Esperti per trasformare report CTI non strutturati in regole di filtraggio operative (es. regole iptables o CLIPS). L'architettura si basa su un flusso di informazioni semantiche (Semantic Information Flow - SIF) composto da:

• Estrazione Semantica Iterativa (Agente AI):

  • Utilizza un modello linguistico (LLM), specificamente Qwen2.5-Coder-14B-Instruct, in una strategia di prompting iterativa a tre stadi.
  • Fase 1: Estrazione di entità di dominio specifiche dal testo.
  • Fase 2: Astrazione di queste entità in categorie semantiche utilizzando relazioni iponimo-iperonimo (es. "SQL Injection" è un iponimo di "Injection").
  • Fase 3: Mappatura di queste rappresentazioni arricchite su strategie difensive.
  • L'uso delle relazioni tassonomiche (iponimi/iperonimi) guida la comprensione semantica, superando i limiti dell'estrazione in un singolo passaggio.

• Generazione di Codice e Verifica (Sistema Esperto):

  • L'agente genera template validi in CLIPS (C Language Integrated Production System), un motore di inferenza basato su regole ampiamente utilizzato in cybersecurity.
  • Un Motore di Raffinamento (Refinement Engine) e un Sistema Esperto B verificano la correttezza sintattica e logica delle regole generate, agendo come strato di verifica contro le allucinazioni dell'LLM.
  • Il sistema produce regole di filtraggio concrete per bloccare il traffico di rete malevolo.

• Determinismo: Per garantire la riproducibilità, l'approccio applica pratiche per rendere l'inferenza dell'LLM deterministica (seed fissi, disabilitazione di benchmark CuDNN, decoding greedy).

3. Contributi Chiave

1. Nuova Metodologia di Estrazione: Propone l'uso sistematico delle relazioni iponimo-iperonimo per estrarre informazioni semanticamente ricche dai report CTI, migliorando la mappatura verso strategie difensive rispetto ai metodi di classificazione statica.
2. Sistema Agente Ibrido: Presenta un sistema che non si limita a classificare, ma genera artefatti di codice (CLIPS) configurabili. Estende il framework CoALA integrando concetti di psicologia cognitiva (memoria di Ebbinghaus e reti semantiche) per la generazione di codice.
3. Valutazione Empirica Rigorosa: Esegue una valutazione approfondita su due dataset reali, dimostrando la superiorità dell'approccio proposto sia nell'estrazione di informazioni che nella generazione di codice, specialmente in scenari con dati sbilanciati.

4. Risultati Sperimentali

Gli esperimenti sono stati condotti su due dataset (CTI-HAL e un corpus del Center for Internet Security) utilizzando hardware GPU avanzato (RTX 4090/5090).

• Task A (Estrazione Semantica e Classificazione):

  • Il metodo proposto (basato su iponimi/iperonimi) ha ottenuto un F1 Score pesato di 0.329, superando significativamente i baseline come SecureBERT (0.043) e approcci tradizionali (SVM, Naive Bayes).
  • Ha mostrato una capacità superiore nel recuperare snippet di testo rilevanti (Top-K Accuracy: 0.968 vs 0.935 del Chain-of-Thought standard).
  • L'uso di vincoli di selettività più deboli (soglia del 50%) ha ulteriormente migliorato le prestazioni.
  • Gli iponimi si sono dimostrati più efficaci degli iperonimi nell'orientare il modello.

• Task B (Generazione di Regole Firewall):

  • La valutazione qualitativa effettuata da esperti di cybersecurity ha mostrato un alto livello di accordo inter-annotatore (Krippendorff's alpha > 0.57 per la correttezza tecnica).
  • Le regole generate hanno dimostrato alta fedeltà ai report CTI originali e corretta calibrazione dell'ambito di applicazione.

5. Significato e Implicazioni

Questo lavoro dimostra che l'integrazione di relazioni semantiche tassonomiche all'interno di un flusso di lavoro neuro-simbolico è cruciale per l'automazione della risposta agli incidenti di sicurezza.

• Affidabilità: L'approccio ibrido mitiga i rischi delle allucinazioni degli LLM pur mantenendo la flessibilità del linguaggio naturale.
• Efficienza Operativa: Automatizza il passaggio dalla teoria (report CTI) alla pratica (regole firewall), riducendo i tempi di risposta alle minacce.
• Scalabilità: La metodologia è particolarmente efficace in contesti a risorse limitate (low-resource) e con dati sbilanciati, tipici della cybersecurity, offrendo un guadagno di circa il 7% nel F1 Score rispetto ai metodi di base.

In conclusione, il paper fornisce un percorso verso l'uso più affidabile degli LLM in domini sensibili, trasformando la conoscenza semantica in azioni difensive concrete e verificabili.