一种基于大语言模型的威胁情报聚合与攻击异常特征智能生成方法与流程

本发明属于网络空间安全，尤其涉及一种基于大语言模型的威胁情报聚合与攻击异常特征智能生成方法。

背景技术：

1、在数字化时代，网络安全的重要性日益凸显，尤其是在面对日益复杂的网络攻击和数据泄露威胁时。大语言模型（llms）技术正在迅猛发展，其在网络安全领域的应用展现出巨大潜力，同时也带来了新的研究课题和挑战。

2、首先，网络安全威胁的复杂性与多样性要求我们采用更先进的技术进行威胁情报的收集、分析和响应。传统的安全防护措施往往难以应对快速变化的攻击模式，因此需要更高级的技术来提高威胁检测的准确性和效率。大语言模型如chatgpt、bert等，通过深度学习和自然语言处理技术，能够理解和生成复杂的文本信息，这使得它们在处理和分析大量网络安全数据方面具有显著优势。例如，通过分析网络流量和系统日志，大语言模型能够识别出异常行为，预测潜在的安全威胁，从而提高网络安全防御的智能化水平。

3、在实际应用中，大语言模型已经被用于构建威胁检测系统，如通过分析网络流量和系统日志来识别异常行为。这些系统能够自动提取威胁特征，生成威胁情报，从而提高网络安全防御的效率和准确性。例如，基于大语言模型的威胁检测系统能够识别出恶意软件、钓鱼攻击和高级持续性威胁（apt）等安全威胁。未来的研究将继续探索大语言模型在网络安全领域的应用，包括提高模型的安全性、隐私保护能力以及可解释性。同时，研究人员也将关注如何将大语言模型与其他网络安全技术相结合，以构建更加全面和强大的网络安全防御体系。

4、然而，随着互联网和信息技术的快速发展，网络攻击变得越来越频繁和复杂。apt攻击等高级持续性威胁更具针对性、隐蔽性和对抗性，手动分析威胁行为以进行检测、归因和响应具有挑战性。同时，威胁情报数据格式缺乏标准化，这不仅制约了情报的分享，也制约了威胁情报在企业安全防护体系中的集成化和智能化演进。此外，市场上缺乏针对性的产品和服务，无法满足特定行业或场景的安全需求。因此，研究界专注于智能防御方法，致力于通过知识图谱和深度学习方法分析apt攻击并提高防御能力。智能威胁分析利用人工智能技术自动分析apt攻击的威胁行为，通过提高多源异构安全数据的融合表示能力，降低威胁行为挖掘难度。

技术实现思路

1、为解决现有技术存在的问题，本发明提出一种基于大语言模型的威胁情报聚合与攻击异常特征智能生成方法。

2、本发明的技术方案如下：

3、一种基于大语言模型的威胁情报聚合与攻击异常特征智能生成方法，包括如下具体步骤：

4、步骤1）实时获取开源威胁情报社区平台的网络安全情报，所述网络安全情报包括网络安全态势、组织攻击行为和漏洞摘要；

5、步骤2）按照预定义的多维特征属性优化大语言模型的提示词，并对所述网络安全情报进行威胁情报的多维特征属性提取；

6、步骤3）根据提取到的威胁情报的多维特征属性，构建威胁情报的网状图形关系结构数据库；所述关系结构数据库中的每一特征情报属性具有一个用于关联其他威胁情报的多维属性指针；

7、步骤4）根据所述网状图形关系结构数据库，构建威胁情报知识图谱；

8、步骤5）查询所述威胁情报知识图谱，标记攻击行为特征，连接攻击行为特征点，生成攻击行为特征子图。

9、进一步地，步骤2）的具体步骤包括：

10、步骤2-1）对不同的威胁情报主体定义对应的威胁情报的多维特征属性；

11、步骤2-2）根据定义完成的多维特征属性，设计大预言模型的初始提示词；

12、步骤2-3）调用大语言模型接口，按照初始提示词设置内容抽取案例，并将案例存储到chat-history中；

13、步骤2-4）输入网络安全情报，设计后向内容反馈逻辑，优化提示词直到抽取的多维特征属性定义符合预期要求；

14、步骤2-5）根据实时搜集的网络安全情报，实时输出对应威胁情报的多维特征属性。

15、进一步地，步骤3）的具体步骤包括：

16、根据提取到的威胁情报的多维特征属性，调用网状图形关系结构数据库的操作接口构建对应属性的图节点；按照属性需求设置节点特征值；最终输出威胁情报的网状图形关系结构数据库。

17、进一步地，步骤4）的具体步骤包括：

18、步骤4-1）匹配指针指向的多维属性节点，并关联相关威胁情报；如果威胁情报的多维属性节点的任何属性指针都没有指向，则将该威胁情报标记为待关联威胁情报；

19、步骤4-2）输出所有关联的威胁情报连通图，构建威胁情报知识图谱。

20、进一步地，步骤5）的具体步骤包括：

21、步骤5-1）基于攻击类型属性，查询威胁情报知识图谱，并标记攻击行为特征及其受害主体；

22、步骤5-2）串联攻击行为，输出异常攻击行为特征。

23、相比于现有技术本发明具有如下有益效果：

24、1、本发明提供一种基于大语言模型的威胁情报聚合与攻击异常特征智能生成方法，该方法通过实时搜集开源威胁情报社区平台的最新网络安全情报信息，确保了威胁数据的时效性。同时，它不仅关注网络安全态势和组织攻击行为，还涵盖了漏洞摘要等关键信息，从而提供了全面的网络安全视角。这种全面性和实时性的结合，使得安全团队能够快速响应新兴威胁，提高了对网络安全威胁的应对能力。

25、2、本发明方法采用利用大语言模型进行预定义的多维特征微调prompt，该方法能够智能地从大量非结构化威胁情报中抽取关键信息。通过设计针对不同威胁情报主体的多维特征属性，如攻击组织、攻击类型等，该方法能够深入分析情报内容，并将这些信息转化为结构化的多维属性，为后续的知识图谱构建提供了丰富的数据基础。

26、3、本发明方法通过构建基于多维关系型数据库和知识图谱，不仅存储了威胁情报的多维属性，还能够通过智能查询和分析，揭示不同威胁之间的关联和模式。这种方法使得安全分析师能够识别和理解复杂的攻击行为特征，以及它们之间的相互关系，从而更有效地预测和防御潜在的网络攻击。

技术特征：

1.一种基于大语言模型的威胁情报聚合与攻击异常特征智能生成方法，其特征在于，包括如下具体步骤：

2.根据权利要求1所述的基于大语言模型的威胁情报聚合与攻击异常特征智能生成方法，其特征在于，步骤2）的具体步骤包括：

3.根据权利要求2所述的基于大语言模型的威胁情报聚合与攻击异常特征智能生成方法，其特征在于，步骤3）的具体步骤包括：

4.根据权利要求3所述的基于大语言模型的威胁情报聚合与攻击异常特征智能生成方法，其特征在于，步骤4）的具体步骤包括：

5.根据权利要求4所述的基于大语言模型的威胁情报聚合与攻击异常特征智能生成方法，其特征在于，步骤5）的具体步骤包括：

技术总结本发明公开了一种基于大语言模型的威胁情报聚合与攻击异常特征智能生成方法，包括实时获取开源威胁情报社区平台的网络安全情报；按照预定义的多维特征属性优化大语言模型的提示词，并对网络安全情报进行威胁情报的多维特征属性提取；根据提取到的威胁情报的多维特征属性，构建威胁情报的网状图形关系结构数据库；根据网状图形关系结构数据库，构建威胁情报知识图谱；查询威胁情报知识图谱，标记攻击行为特征，连接攻击行为特征点，生成攻击行为特征子图。本发明方法使得安全团队能够快速响应新兴威胁，提高了对网络安全威胁的应对能力。技术研发人员：张明远,张小坚,刘小磊,吴小虎,静柯受保护的技术使用者：江苏电力信息技术有限公司技术研发日：技术公布日：2025/1/6