基于大语言模型的自动化映射漏洞至攻击技战术方法及装置

本发明属于网络安全的，具体涉及一种基于大语言模型的自动化映射漏洞至攻击技战术方法及装置。

背景技术：

1、将漏洞映射到技战术，离不开cve(常见漏洞暴露库)和mitre att&ck(攻击战术、技术和常规知识库)，这两个知识库都是由mitre公司发起建立，但这两个知识库的链接十分稀少。mitre公司只通过了数百条数据。

2、目前大部分的自动化映射工作都应用了自然语言处理方法将漏洞描述映射到技战术标签。重点是理解漏洞中包含的攻击的语义信息，并使用语言模型做映射。

3、steven ullman等人提出了cvet，cvet模型包含预训练语言模型roberta的微调和自我知识蒸馏的设计。能准确的将漏洞映射到攻击者技战术。basel abdeen等人提出了smet，一种根据文本相似性自动将cve条目映射到att&ck技术的工具。smet使用siamese网络训练bert模型，用于学习攻击行为之间的语义相似性。在推理使用中，smet利用语义提取、bert和逻辑回归模型将cve条目映射到att&ck技术。

4、但是，上述现有技术都不够灵活且没有充分利用语义信息。不够灵活体现在当att&ck中的技战术标签更新后，由于分类标签的改变，这些参数化的使用预训练语言模型的方法都需要重新训练；而没有充分利用语义信息体现在，之前的方法只做漏洞描述到技战术标签的映射，只使用了cve和att&ck中的语义信息，而没有考虑到其他网安数据库中可能包含的映射所需的语义信息。

5、因此，将实时增长的漏洞正确且灵活地映射到攻击者可能应用的技战术上是亟待需要的。

技术实现思路

1、本发明的主要目的在于克服现有技术的缺点与不足，提供一种基于大语言模型的自动化映射漏洞至攻击技战术方法及装置，基于大语言模型将低层次的具体漏洞和高层次的抽象技战术之间做映射，根据应对攻击者技战术的方法，迅速采取适当的应对措施，实现充分利用漏洞语义信息，并正确且灵活地映射到攻击者可能应用的技战术上。

2、为了达到上述目的，本发明采用以下技术方案：

3、第一方面，本发明提供了一种基于大语言模型的自动化映射漏洞至攻击技战术方法，包括下述步骤：

4、对相关安全数据进行预处理，获取结构化数据；所述结构化数据包括漏洞信息、缺陷信息、攻击模式、技战术以及他们的映射关系；

5、利用结构化数据填入指令模版中构造任务指令，并利用任务指令对大语言模型进行微调；所述指令模版包括指令、输入和标签；

6、将指令和漏洞信息输入微调后的大语言模型，生成攻击描述；

7、将攻击描述和att&ck中抽取技战术特征向量化，在向量空间中基于描述向量寻找最匹配的技战术标签。

8、作为优选的技术方案，所述预处理，包括：

9、从cwe中抽取漏洞和缺陷的信息以及他们的映射关系；

10、从capec中抽取缺陷、攻击模式、技战术的信息以及他们的映射关系；

11、从att&ck中抽取技战术的信息；

12、根据漏洞信息和缺陷信息的映射关系，将漏洞信息映射至缺陷信息；

13、根据缺陷信息和攻击模式的映射关系，将缺陷信息映射至攻击模式；

14、根据缺陷信息和技战术的映射关系，将缺陷信息映射至技战术；

15、根据攻击模式和技战术的映射关系，将攻击模式映射至技战术。

16、作为优选的技术方案，根据映射关系和顺序，将漏洞信息映射至技战术，并按链式组织成结构化数据；所述顺序如下：漏洞信息、缺陷信息、攻击模式、技战术。

17、作为优选的技术方案，所述指令包括漏洞信息映射至技战术的描述；

18、所述输入包括漏洞信息；

19、所述标签包括多步的映射思考过程。

20、作为优选的技术方案，所述利用结构化数据填入指令模版中构造任务指令，并利用任务指令对大语言模型进行微调，包括：

21、将漏洞映射至技战术的描述填入指令，将漏洞信息填入输入，将映射选择的思考过程填入标签，所述映射选择的思考过程具有多步；

22、将任务指令输入大语言模型，将执行的攻击任务分解成多个子任务；

23、输入漏洞信息、缺陷信息、攻击模式和技战术。

24、作为优选的技术方案，所述向量化的方法，包括：使用预训练的向量嵌入模型对特征向量化，生成相应的特征向量。

25、作为优选的技术方案，所述在向量空间中基于描述向量寻找最匹配的技战术标签，具体为：

26、将攻击描述输入预训练的嵌入向量模型输出向量v，将所有的技战术标签描述输入预训练的嵌入向量模型得到向量聚合r，计算输出向量v和向量聚合r中各向量的余弦相似度：

27、similarity_i＝cos(v,r_i)

28、其中，r包括n个攻击描述向量，i取值范围为1到n；

29、找出与输出向量v最相似的向量索引index，如下式：

30、index＝argmax(similarity_i)

31、其中，argmax(·)表示表示取最大值的索引，similarity表示相似度分数。

32、第二方面，本发明还提供了一种基于大语言模型的自动化映射漏洞至攻击技战术系统，应用于所述的基于大语言模型的自动化映射漏洞至攻击技战术方法，包括预处理模块、模型微调模块、特征生成模块和标签寻优模块；

33、预处理模块，用于对相关安全数据进行预处理，获取结构化数据；所述结构化数据包括漏洞信息、缺陷信息、攻击模式、技战术以及他们的映射关系；

34、模型微调模块，用于利用结构化数据填入指令模版中构造任务指令，并利用任务指令对大语言模型进行微调；所述指令模版包括指令、输入和标签；

35、特征生成模块，用于将指令和漏洞信息输入微调后的大语言模型，生成攻击描述；

36、标签寻优模块，用于将攻击描述和att&ck中抽取技战术特征向量化，在向量空间中基于描述向量寻找最匹配的技战术标签。

37、第三方面，本发明提供了一种电子设备，所述电子设备包括：

38、至少一个处理器；以及，

39、与所述至少一个处理器通信连接的存储器；其中，

40、所述存储器存储有可被所述至少一个处理器执行的计算机程序指令，所述计算机程序指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行所述的基于大语言模型的自动化映射漏洞至攻击技战术方法。

41、第四方面，本发明提供了一种计算机可读存储介质，存储有程序，所述程序被处理器执行时，实现所述的基于大语言模型的自动化映射漏洞至攻击技战术方法。

42、本发明与现有技术相比，具有如下优点和有益效果：

43、(1)本发明基于大语言模型将低层次的具体漏洞和高层次的抽象技战术之间做映射，根据应对攻击者技战术的方法，迅速采取适当的应对措施，能够充分的利用漏洞和技战术的描述信息，从而使映射更准确。

44、(2)本发明采用先生成后匹配的范式，先由大模型生成攻击描述，再映射到准确的技战术标签上。这种范式可以允许技战术标签的替换，从而适应技战术框架的更新，实现自动化映射漏洞更好的适应性和灵活性。

45、(3)本发明在映射中能够充分利用漏洞信息，将信息多的漏洞描述到信息少的技战术标签的序列到标签的映射问题转化为信息多的漏洞描述到信息多的技战术标签描述的序列到序列的映射问题。

46、(4)本发明能够为企业和组织节省大量的人力与财力。传统依赖专家手动识别漏洞的方法不仅耗时耗力，而且难以应对数量庞大、不断出现的新漏洞。采用基于大型语言模型的自动化映射技术，可以实现对漏洞的自动对应攻击者的技战术，进而进行行为建模，有效提升防御能力，大幅减少网络攻击可能导致的经济损失。