本發(fā)明屬于網(wǎng)絡(luò)空間安全，尤其涉及一種基于大語(yǔ)言模型的威脅情報(bào)聚合與攻擊異常特征智能生成方法。

背景技術(shù)：

1、在數(shù)字化時(shí)代，網(wǎng)絡(luò)安全的重要性日益凸顯，尤其是在面對(duì)日益復(fù)雜的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露威脅時(shí)。大語(yǔ)言模型（llms）技術(shù)正在迅猛發(fā)展，其在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用展現(xiàn)出巨大潛力，同時(shí)也帶來(lái)了新的研究課題和挑戰(zhàn)。

2、首先，網(wǎng)絡(luò)安全威脅的復(fù)雜性與多樣性要求我們采用更先進(jìn)的技術(shù)進(jìn)行威脅情報(bào)的收集、分析和響應(yīng)。傳統(tǒng)的安全防護(hù)措施往往難以應(yīng)對(duì)快速變化的攻擊模式，因此需要更高級(jí)的技術(shù)來(lái)提高威脅檢測(cè)的準(zhǔn)確性和效率。大語(yǔ)言模型如chatgpt、bert等，通過深度學(xué)習(xí)和自然語(yǔ)言處理技術(shù)，能夠理解和生成復(fù)雜的文本信息，這使得它們?cè)谔幚砗头治龃罅烤W(wǎng)絡(luò)安全數(shù)據(jù)方面具有顯著優(yōu)勢(shì)。例如，通過分析網(wǎng)絡(luò)流量和系統(tǒng)日志，大語(yǔ)言模型能夠識(shí)別出異常行為，預(yù)測(cè)潛在的安全威脅，從而提高網(wǎng)絡(luò)安全防御的智能化水平。

3、在實(shí)際應(yīng)用中，大語(yǔ)言模型已經(jīng)被用于構(gòu)建威脅檢測(cè)系統(tǒng)，如通過分析網(wǎng)絡(luò)流量和系統(tǒng)日志來(lái)識(shí)別異常行為。這些系統(tǒng)能夠自動(dòng)提取威脅特征，生成威脅情報(bào)，從而提高網(wǎng)絡(luò)安全防御的效率和準(zhǔn)確性。例如，基于大語(yǔ)言模型的威脅檢測(cè)系統(tǒng)能夠識(shí)別出惡意軟件、釣魚攻擊和高級(jí)持續(xù)性威脅（apt）等安全威脅。未來(lái)的研究將繼續(xù)探索大語(yǔ)言模型在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用，包括提高模型的安全性、隱私保護(hù)能力以及可解釋性。同時(shí)，研究人員也將關(guān)注如何將大語(yǔ)言模型與其他網(wǎng)絡(luò)安全技術(shù)相結(jié)合，以構(gòu)建更加全面和強(qiáng)大的網(wǎng)絡(luò)安全防御體系。

4、然而，隨著互聯(lián)網(wǎng)和信息技術(shù)的快速發(fā)展，網(wǎng)絡(luò)攻擊變得越來(lái)越頻繁和復(fù)雜。apt攻擊等高級(jí)持續(xù)性威脅更具針對(duì)性、隱蔽性和對(duì)抗性，手動(dòng)分析威脅行為以進(jìn)行檢測(cè)、歸因和響應(yīng)具有挑戰(zhàn)性。同時(shí)，威脅情報(bào)數(shù)據(jù)格式缺乏標(biāo)準(zhǔn)化，這不僅制約了情報(bào)的分享，也制約了威脅情報(bào)在企業(yè)安全防護(hù)體系中的集成化和智能化演進(jìn)。此外，市場(chǎng)上缺乏針對(duì)性的產(chǎn)品和服務(wù)，無(wú)法滿足特定行業(yè)或場(chǎng)景的安全需求。因此，研究界專注于智能防御方法，致力于通過知識(shí)圖譜和深度學(xué)習(xí)方法分析apt攻擊并提高防御能力。智能威脅分析利用人工智能技術(shù)自動(dòng)分析apt攻擊的威脅行為，通過提高多源異構(gòu)安全數(shù)據(jù)的融合表示能力，降低威脅行為挖掘難度。

技術(shù)實(shí)現(xiàn)思路

1、為解決現(xiàn)有技術(shù)存在的問題，本發(fā)明提出一種基于大語(yǔ)言模型的威脅情報(bào)聚合與攻擊異常特征智能生成方法。

2、本發(fā)明的技術(shù)方案如下：

3、一種基于大語(yǔ)言模型的威脅情報(bào)聚合與攻擊異常特征智能生成方法，包括如下具體步驟：

4、步驟1）實(shí)時(shí)獲取開源威脅情報(bào)社區(qū)平臺(tái)的網(wǎng)絡(luò)安全情報(bào)，所述網(wǎng)絡(luò)安全情報(bào)包括網(wǎng)絡(luò)安全態(tài)勢(shì)、組織攻擊行為和漏洞摘要；

5、步驟2）按照預(yù)定義的多維特征屬性優(yōu)化大語(yǔ)言模型的提示詞，并對(duì)所述網(wǎng)絡(luò)安全情報(bào)進(jìn)行威脅情報(bào)的多維特征屬性提取；

6、步驟3）根據(jù)提取到的威脅情報(bào)的多維特征屬性，構(gòu)建威脅情報(bào)的網(wǎng)狀圖形關(guān)系結(jié)構(gòu)數(shù)據(jù)庫(kù)；所述關(guān)系結(jié)構(gòu)數(shù)據(jù)庫(kù)中的每一特征情報(bào)屬性具有一個(gè)用于關(guān)聯(lián)其他威脅情報(bào)的多維屬性指針；

7、步驟4）根據(jù)所述網(wǎng)狀圖形關(guān)系結(jié)構(gòu)數(shù)據(jù)庫(kù)，構(gòu)建威脅情報(bào)知識(shí)圖譜；

8、步驟5）查詢所述威脅情報(bào)知識(shí)圖譜，標(biāo)記攻擊行為特征，連接攻擊行為特征點(diǎn)，生成攻擊行為特征子圖。

9、進(jìn)一步地，步驟2）的具體步驟包括：

10、步驟2-1）對(duì)不同的威脅情報(bào)主體定義對(duì)應(yīng)的威脅情報(bào)的多維特征屬性；

11、步驟2-2）根據(jù)定義完成的多維特征屬性，設(shè)計(jì)大預(yù)言模型的初始提示詞；

12、步驟2-3）調(diào)用大語(yǔ)言模型接口，按照初始提示詞設(shè)置內(nèi)容抽取案例，并將案例存儲(chǔ)到chat-history中；

13、步驟2-4）輸入網(wǎng)絡(luò)安全情報(bào)，設(shè)計(jì)后向內(nèi)容反饋邏輯，優(yōu)化提示詞直到抽取的多維特征屬性定義符合預(yù)期要求；

14、步驟2-5）根據(jù)實(shí)時(shí)搜集的網(wǎng)絡(luò)安全情報(bào)，實(shí)時(shí)輸出對(duì)應(yīng)威脅情報(bào)的多維特征屬性。

15、進(jìn)一步地，步驟3）的具體步驟包括：

16、根據(jù)提取到的威脅情報(bào)的多維特征屬性，調(diào)用網(wǎng)狀圖形關(guān)系結(jié)構(gòu)數(shù)據(jù)庫(kù)的操作接口構(gòu)建對(duì)應(yīng)屬性的圖節(jié)點(diǎn)；按照屬性需求設(shè)置節(jié)點(diǎn)特征值；最終輸出威脅情報(bào)的網(wǎng)狀圖形關(guān)系結(jié)構(gòu)數(shù)據(jù)庫(kù)。

17、進(jìn)一步地，步驟4）的具體步驟包括：

18、步驟4-1）匹配指針指向的多維屬性節(jié)點(diǎn)，并關(guān)聯(lián)相關(guān)威脅情報(bào)；如果威脅情報(bào)的多維屬性節(jié)點(diǎn)的任何屬性指針都沒有指向，則將該威脅情報(bào)標(biāo)記為待關(guān)聯(lián)威脅情報(bào)；

19、步驟4-2）輸出所有關(guān)聯(lián)的威脅情報(bào)連通圖，構(gòu)建威脅情報(bào)知識(shí)圖譜。

20、進(jìn)一步地，步驟5）的具體步驟包括：

21、步驟5-1）基于攻擊類型屬性，查詢威脅情報(bào)知識(shí)圖譜，并標(biāo)記攻擊行為特征及其受害主體；

22、步驟5-2）串聯(lián)攻擊行為，輸出異常攻擊行為特征。

23、相比于現(xiàn)有技術(shù)本發(fā)明具有如下有益效果：

24、1、本發(fā)明提供一種基于大語(yǔ)言模型的威脅情報(bào)聚合與攻擊異常特征智能生成方法，該方法通過實(shí)時(shí)搜集開源威脅情報(bào)社區(qū)平臺(tái)的最新網(wǎng)絡(luò)安全情報(bào)信息，確保了威脅數(shù)據(jù)的時(shí)效性。同時(shí)，它不僅關(guān)注網(wǎng)絡(luò)安全態(tài)勢(shì)和組織攻擊行為，還涵蓋了漏洞摘要等關(guān)鍵信息，從而提供了全面的網(wǎng)絡(luò)安全視角。這種全面性和實(shí)時(shí)性的結(jié)合，使得安全團(tuán)隊(duì)能夠快速響應(yīng)新興威脅，提高了對(duì)網(wǎng)絡(luò)安全威脅的應(yīng)對(duì)能力。

25、2、本發(fā)明方法采用利用大語(yǔ)言模型進(jìn)行預(yù)定義的多維特征微調(diào)prompt，該方法能夠智能地從大量非結(jié)構(gòu)化威脅情報(bào)中抽取關(guān)鍵信息。通過設(shè)計(jì)針對(duì)不同威脅情報(bào)主體的多維特征屬性，如攻擊組織、攻擊類型等，該方法能夠深入分析情報(bào)內(nèi)容，并將這些信息轉(zhuǎn)化為結(jié)構(gòu)化的多維屬性，為后續(xù)的知識(shí)圖譜構(gòu)建提供了豐富的數(shù)據(jù)基礎(chǔ)。

26、3、本發(fā)明方法通過構(gòu)建基于多維關(guān)系型數(shù)據(jù)庫(kù)和知識(shí)圖譜，不僅存儲(chǔ)了威脅情報(bào)的多維屬性，還能夠通過智能查詢和分析，揭示不同威脅之間的關(guān)聯(lián)和模式。這種方法使得安全分析師能夠識(shí)別和理解復(fù)雜的攻擊行為特征，以及它們之間的相互關(guān)系，從而更有效地預(yù)測(cè)和防御潛在的網(wǎng)絡(luò)攻擊。

技術(shù)特征：

1.一種基于大語(yǔ)言模型的威脅情報(bào)聚合與攻擊異常特征智能生成方法，其特征在于，包括如下具體步驟：

2.根據(jù)權(quán)利要求1所述的基于大語(yǔ)言模型的威脅情報(bào)聚合與攻擊異常特征智能生成方法，其特征在于，步驟2）的具體步驟包括：

3.根據(jù)權(quán)利要求2所述的基于大語(yǔ)言模型的威脅情報(bào)聚合與攻擊異常特征智能生成方法，其特征在于，步驟3）的具體步驟包括：

4.根據(jù)權(quán)利要求3所述的基于大語(yǔ)言模型的威脅情報(bào)聚合與攻擊異常特征智能生成方法，其特征在于，步驟4）的具體步驟包括：

5.根據(jù)權(quán)利要求4所述的基于大語(yǔ)言模型的威脅情報(bào)聚合與攻擊異常特征智能生成方法，其特征在于，步驟5）的具體步驟包括：

技術(shù)總結(jié)
本發(fā)明公開了一種基于大語(yǔ)言模型的威脅情報(bào)聚合與攻擊異常特征智能生成方法，包括實(shí)時(shí)獲取開源威脅情報(bào)社區(qū)平臺(tái)的網(wǎng)絡(luò)安全情報(bào)；按照預(yù)定義的多維特征屬性優(yōu)化大語(yǔ)言模型的提示詞，并對(duì)網(wǎng)絡(luò)安全情報(bào)進(jìn)行威脅情報(bào)的多維特征屬性提取；根據(jù)提取到的威脅情報(bào)的多維特征屬性，構(gòu)建威脅情報(bào)的網(wǎng)狀圖形關(guān)系結(jié)構(gòu)數(shù)據(jù)庫(kù)；根據(jù)網(wǎng)狀圖形關(guān)系結(jié)構(gòu)數(shù)據(jù)庫(kù)，構(gòu)建威脅情報(bào)知識(shí)圖譜；查詢威脅情報(bào)知識(shí)圖譜，標(biāo)記攻擊行為特征，連接攻擊行為特征點(diǎn)，生成攻擊行為特征子圖。本發(fā)明方法使得安全團(tuán)隊(duì)能夠快速響應(yīng)新興威脅，提高了對(duì)網(wǎng)絡(luò)安全威脅的應(yīng)對(duì)能力。

技術(shù)研發(fā)人員：張明遠(yuǎn),張小堅(jiān),劉小磊,吳小虎,靜柯
受保護(hù)的技術(shù)使用者：江蘇電力信息技術(shù)有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/6