本技术涉及网络安全运维领域,尤其涉及一种基于大语言模型的网络安全自治运维方法及系统。
背景技术:
1、随着互联网的迅猛发展,网络安全问题日益严峻。各种网络攻击事件频发,给国家和企业的信息系统安全带来了巨大威胁,如何能够有效地防范和应对网络攻击,是摆在相关部门面前的一项重要课题。
2、目前,针对网络安全的防范和应对主要依赖于现有的安全设备和预置的检测规则。具体来说,通过部署各种安全设备,并在设备上预置攻击检测规则,当监测到与规则匹配的行为时,则判断为存在攻击,并根据预定义的处理流程对攻击事件进行应对。
3、由于现有网络安全防御装置和方法过于依赖预置的检测规则,导致很难应对复杂的、没有预置规则的网络攻击,使得网络安全的防护效果较差,这成为目前网络安全防御面临的一个突出问题。
技术实现思路
1、本技术提供了一种基于大语言模型的网络安全自治运维方法及系统,用于通过关键词提取获取包含攻击类型、工具、响应方式等信息的历史攻击事件,然后利用大语言模型的强大学习能力,可以对这些历史攻击事件进行分析,发现攻击事件之间的内在联系,得到事件对应的攻击序列,根据这些序列建立起攻击模式库,当遇到新的未知攻击时,可以计算其与库中的模式的匹配程度,找到最相似的已知模式,对应的就是最合适的应对策略,通过这种基于大语言模型的自动化攻击模式发现和匹配技术手段,能够提高网络安全的防护效果。
2、第一方面,本技术提供了一种基于大语言模型的网络安全自治运维方法,应用于基于大语言模型的网络安全自治运维系统,该方法包括:
3、对网络安全数据进行关键词提取,得到历史攻击事件,该历史攻击事件包括攻击类型、攻击工具和受害者响应方式;
4、基于大语言模型对该历史攻击事件进行特征学习,得到该历史攻击事件对应的攻击序列,该攻击序列包含该攻击者在攻击链中按顺序实施的所有攻击动作;
5、根据该攻击序列建立攻击模式库,该攻击模式库包含攻击序列、该攻击序列内的攻击动作和该攻击动作对应的受害者响应方式;
6、获取网络中的实时攻击事件,计算该实时攻击事件与该攻击模式库中的攻击动作的置信度;
7、若存在第一攻击动作与该实时攻击事件的置信度超过预设置信度阈值,在该攻击模式库中获取该第一攻击动作对应的第一受害者响应方式、该第一攻击动作对应的下一步攻击动作和该下一步攻击动作对应的第二受害者响应方式;
8、将该第一受害者响应方式和该第二受害者响应方式发送到客户端,使得该客户端对应的运维人员对该实时攻击事件进行响应。
9、在上述实施例中,通过关键词提取获取包含攻击类型、工具、响应方式等信息的历史攻击事件,然后利用大语言模型的强大学习能力,可以对这些历史攻击事件进行分析,发现攻击事件之间的内在联系,得到事件对应的攻击序列,根据这些序列建立起攻击模式库,当遇到新的未知攻击时,可以计算其与库中的模式的匹配程度,找到最相似的已知模式,对应的就是最合适的应对策略,通过这种基于大语言模型的自动化攻击模式发现和匹配技术手段,能够提高网络安全的防护效果。
10、结合第一方面的一些实施例,在一些实施例中,基于大语言模型对该历史攻击事件进行学习,得到该历史攻击事件对应的攻击序列的步骤,具体包括:
11、对该历史攻击事件进行词向量表示,得到历史事件词向量;
12、基于大语言模型构建编码器和解码器,该编码器用于编码该历史事件词向量,该解码器用于生成攻击序列;
13、将该历史事件词向量输入至该编码器中,得到该解码器生成的攻击序列。
14、在上述实施例中,采用词向量表示对历史攻击事件进行编码,然后构建编码器和解码器,利用编码器对词向量进行处理,由解码器生成对应的攻击序列,可以自动高效地实现从未结构化的历史事件文本到结构化攻击序列的转换,使得攻击模式可以更加准确和高效地被发现,从而提高后续的攻击匹配效率。
15、结合第一方面的一些实施例,在一些实施例中,获取网络中的实时攻击事件,计算该实时攻击事件与该攻击模式库中的攻击动作的置信度的步骤,具体包括:
16、对该实时攻击事件进行关键词提取,得到该实时攻击事件的实时关键词集合;
17、对该攻击动作进行关键词提取,得到该攻击动作的攻击动作关键词集合;
18、计算该实时关键词集合与该攻击动作关键词集合之间的置信度,该置信度为字符串相似度。
19、在上述实施例中,通过提取实时攻击事件和攻击模式库中动作的关键词,计算两者关键词集合的字符串相似度,作为实时事件与模式的匹配程度,可以快速准确判断实时攻击与历史模式的匹配情况,及时找到对应策略进行应对,提高了网络安全防护水平。
20、结合第一方面的一些实施例,在一些实施例中,对网络安全数据进行关键词提取,得到历史攻击事件,该历史攻击事件包括攻击类型、攻击工具和受害者响应方式的步骤之前,该步骤还包括:
21、根据标注命名实体字段对网络安全数据进行提取,得到网络安全结构化日志,该标注命名实体字段包含攻击类型字段信息、攻击工具字段信息和受害者响应方式字段信息;
22、根据该网络安全结构化日志构建日志解析模型;
23、将第一网络安全数据输入到该日志解析模型中,得到第一网络安全结构化日志,该第一网络安全结构化日志内包含第一攻击类型字段信息、第一攻击工具字段信息和第一受害者响应方式字段信息。
24、在上述实施例中,通过先提取网络安全数据中的各个命名实体字段,获取包含攻击类型、工具、响应方式等结构化信息的日志,再基于这些日志构建解析模型,可以实现自动高效地对新的网络安全数据进行解析,提取出其中的重要结构化信息,简化了安全日志的内容提取工作,合理利用了标注命名实体字段提供的结构化信息,使得日志解析更加准确高效,也为后续建立攻击模式库等提供了重要的结构化历史攻击数据。
25、结合第一方面的一些实施例,在一些实施例中,获取网络中的实时攻击事件,计算该实时攻击事件与该攻击模式库中的攻击动作的置信度的步骤之后,该步骤还包括:
26、若不存在第一攻击动作与该实时攻击事件的置信度超过预设置信度阈值,计算该实时攻击事件的攻击类别与所有攻击动作的攻击类别的相似度;
27、根据最大相似度对应的第三攻击动作选取第三受害者响应方式,该第三受害者响应方式为与该第三攻击动作对应的受害者响应方式;
28、将该第三受害者响应方式发送到客户端。
29、在上述实施例中,计算实时攻击事件的攻击类别与所有历史模式的攻击类别的相似度,选择最相似的模式对应的响应方式,这种备选的类别相似度匹配技术手段可以处理实时攻击与所有历史模式都无法命中达到匹配的情况,扩大了模型的适用范围。
30、结合第一方面的一些实施例,在一些实施例中,将该响应措施发送到客户端的步骤之后,该步骤还包括:
31、接收该客户端对该实时攻击事件的应对结果;
32、计算该应对结果对该实时攻击事假的控制程度;
33、若该控制程度低于预设控制阈值,则增大该预设置信度阈值至第二预设置信度阈值。
34、在上述实施例中,如果判断应对效果不佳,则适当调低匹配的信度阈值,在后续处理类似攻击时可以关注更多可能相关的模式,能够根据结果闭环反馈调整匹配参数的技术手段,实现了网络安全防护方案的持续优化和演进,随着攻击应对结果的积累,可以不断优化匹配阈值等参数,使得模型对新型攻击的处理效果更佳,提高了网络安全防护体系的整体水平。
35、结合第一方面的一些实施例,在一些实施例中,若该控制程度低于预设控制阈值,则增大该预设置信度阈值至第二预设置信度阈值的步骤之后,该步骤还包括:
36、若该控制程度不低于预设控制阈值,则生成系统安全运维报告发送至该客户端,该系统安全运维报告内包含该实时攻击事件的全部过程。
37、在上述实施例中,在攻击响应控制效果达要求后,自动生成系统安全运维报告,其中包含实时攻击的全部细节以及对应的响应策略和效果评估,实现了对网络攻击响应过程的全面记录和反馈,为安全运维人员提供了重要的事件学习和策略优化依据。
38、第二方面,本技术实施例提供了一种基于大语言模型的网络安全自治运维系统,该基于大语言模型的网络安全自治运维系统包括:一个或多个处理器和存储器;该存储器与该一个或多个处理器耦合,该存储器用于存储计算机程序代码,该计算机程序代码包括计算机指令,该一个或多个处理器调用该计算机指令以使得该基于大语言模型的网络安全自治运维系统执行如第一方面以及第一方面中任一可能的实现方式描述的方法。
39、第三方面,本技术实施例提供一种包含指令的计算机程序产品,当上述计算机程序产品在基于大语言模型的网络安全自治运维系统上运行时,使得上述基于大语言模型的网络安全自治运维系统执行如第一方面以及第一方面中任一可能的实现方式描述的方法。
40、第四方面,本技术实施例提供一种计算机可读存储介质,包括指令,当上述指令在基于大语言模型的网络安全自治运维系统上运行时,使得上述基于大语言模型的网络安全自治运维系统执行如第一方面以及第一方面中任一可能的实现方式描述的方法。
41、可以理解地,上述第二方面提供的基于大语言模型的网络安全自治运维系统,第三方面提供的计算机程序产品和第四方面提供的计算机存储介质均用于执行本技术实施例所提供的方法。因此,其所能达到的有益效果可参考对应方法中的有益效果,此处不再赘述。
42、本技术实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:
43、1、本技术通过关键词提取获取包含攻击类型、工具、响应方式等信息的历史攻击事件,然后利用大语言模型的强大学习能力,可以对这些历史攻击事件进行分析,发现攻击事件之间的内在联系,得到事件对应的攻击序列,根据这些序列建立起攻击模式库,当遇到新的未知攻击时,可以计算其与库中的模式的匹配程度,找到最相似的已知模式,对应的就是最合适的应对策略,通过这种基于大语言模型的自动化攻击模式发现和匹配技术手段,能够提高网络安全的防护效果。
44、2、本技术通过提取实时攻击事件和攻击模式库中动作的关键词,计算两者关键词集合的字符串相似度,作为实时事件与模式的匹配程度,可以快速准确判断实时攻击与历史模式的匹配情况,及时找到对应策略进行应对,提高了网络安全防护水平。
45、3、本技术通过计算实时攻击事件的攻击类别与所有历史模式的攻击类别的相似度,选择最相似的模式对应的响应方式,这种备选的类别相似度匹配技术手段可以处理实时攻击与所有历史模式都无法命中达到匹配的情况,扩大了模型的适用范围。
1.一种基于大语言模型的网络安全自治运维方法,其特征在于,应用于基于大语言模型的网络安全自治运维系统,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于大语言模型对所述历史攻击事件进行特征学习,得到所述历史攻击事件对应的攻击序列的步骤,具体包括:
3.根据权利要求1所述的方法,其特征在于,所述获取网络中的实时攻击事件,计算所述实时攻击事件与所述攻击模式库中的攻击动作的置信度的步骤,具体包括:
4.根据权利要求1所述的方法,其特征在于,所述对网络安全数据进行关键词提取,得到历史攻击事件,所述历史攻击事件包括攻击类型、攻击工具和受害者响应方式的步骤之前,所述方法还包括:
5.根据权利要求1所述的方法,其特征在于,所述获取网络中的实时攻击事件,计算所述实时攻击事件与所述攻击模式库中的攻击动作的置信度的步骤之后,所述方法还包括:
6.根据权利要求1所述的方法,其特征在于,所述将所述第一受害者响应方式和所述第二受害者响应方式发送到客户端的步骤之后,所述方法还包括:
7.根据权利要求6所述的方法,其特征在于,所述若所述控制程度低于预设控制阈值,则增大所述预设置信度阈值至第二预设置信度阈值的步骤之后,所述方法还包括:
8.一种基于大语言模型的网络安全自治运维系统,其特征在于,所述网络安全自治运维系统包括:一个或多个处理器和存储器;所述存储器与所述一个或多个处理器耦合,所述存储器用于存储计算机程序代码,所述计算机程序代码包括计算机指令,所述一个或多个处理器调用所述计算机指令以使得所述运维系统执行如权利要求1-7中任一项所述的方法。
9.一种计算机可读存储介质,包括指令,其特征在于,当所述指令在网络安全自治运维系统上运行时,使得所述运维系统执行如权利要求1-7中任一项所述的方法。
10.一种计算机程序产品,其特征在于,当所述计算机程序产品在网络安全自治运维系统上运行时,使得所述运维系统执行如权利要求1-7中任一项所述的方法。
