في عالم يتزايد فيه التهديدات السيبرانية، تعتبر سجلات النظام (system logs) مصدراً قيماً للمعلومات الاستخباراتية حول التهديدات (Cyber Threat Intelligence – CTI). هذه السجلات ترصد سلوكيات المهاجمين ونقاط الضعف المستغلة وآثار الأنشطة الضارة، ولكنها غالباً ما تفتقر إلى الهيكلة، وقد تتأثر بالتناقضات الدلالية أو التجزئة عبر الأجهزة والجلسات.

ومن هنا، يأتي دور OntoLogX، وكيل الذكاء الاصطناعي (AI Agent) المستقل الذي يستخدم نماذج اللغات الضخمة (Large Language Models – LLMs) لتحويل السجلات الخام إلى رسوم بيانية للمعرفة (Knowledge Graphs – KGs) مدعومة بالأنطولوجيا.

يعمل OntoLogX على دمج أنطولوجيا سجلات خفيفة مع تقنية استرجاع البيانات المعززة (Retrieval Augmented Generation – RAG) وخطوات تصحيح متكررة، مما يضمن أن تكون الرسوم البيانية المولدة صحيحة نحويًا ودلاليًا. يتجاوز النظام تحليل الأحداث الفردية؛ حيث يقوم بتجميع الرسوم البيانية من جلسات مختلفة ويستخدم LLM للتنبؤ بتكتيكات MITRE ATT&CK، ربط الأدلة منخفضة المستوى بالاستراتيجيات العليا للمهاجمين.

قمنا بتقييم OntoLogX على كل من السجلات من مجموعة مرجعية عامة ومجموعة بيانات حقيقية من خادم مخصص (honeypot)، وأظهر نتائج قوية في توليد الرسوم البيانية الدقيقة عبر عدة أنظمة قواعد بيانات للرسوم البيانية، وتحديد دقيق للنشاط العدواني وفقًا لتكتيكات MITRE ATT&CK.

تُبرز النتائج فوائد الاسترجاع والتصحيح من حيث الدقة والتغطية، فعالية النماذج التي تركز على الكود في تحليل السجلات الهيكلية، وقيمة التمثيلات المدعومة بالأنطولوجيا لاستخراج CTI القابلة للتنفيذ.