山石网科谈大模型赋能威胁情报：智能洞察网络威胁的未来之路

摘要：在瞬息万变的网络安全领域，技术的不断演进为行业带来了全新的机遇与挑战。作为中国网络安全行业的技术引领者，山石网科始终以创新为核心驱动力，积极关注学术界的最新研究动态，深入探索大模型技术在网络安全中的前沿应用。从威胁情报的智能生成，到漏洞检测与修复的精准优化，从

在瞬息万变的网络安全领域，技术的不断演进为行业带来了全新的机遇与挑战。作为中国网络安全行业的技术引领者，山石网科始终以创新为核心驱动力，积极关注学术界的最新研究动态，深入探索大模型技术在网络安全中的前沿应用。从威胁情报的智能生成，到漏洞检测与修复的精准优化，从模糊测试的效率革新，到异常检测的深度解析，再到如何平衡大模型在防御与潜在滥用中的双刃剑作用，我们始终站在行业的最前沿，力求为客户提供更智能、更高效、更安全的解决方案。

通过对最新学术进展的系统梳理，山石网科不仅推动技术落地与创新实践，更致力于与行业伙伴共建一个智慧与安全并存的数字世界。接下来的系列文章将为您全面解析大模型在网络安全领域的应用全景，展现山石网科引领行业发展的创新实力与前瞻眼光。

在网络空间日益复杂的对抗环境中，威胁情报已成为防御体系的关键基石。通过结合大模型的强大语言理解能力，威胁情报的生成和分析正在迈向智能化和自动化。我们将带您深入探索大模型如何解锁威胁情报的无限可能，从解析全球与本地安全知识，到高效提取威胁信号，革新安全运营的视角。

由于大模型在自然语言处理任务中表现出的卓越分析和总结能力，一些研究人员正尝试将其应用于辅助生成和分析网络威胁情报（Cyber Threat Intelligence, CTI）。

Shaswata M等人提出了一个名为LocalIntel的框架，旨在通过大模型在查询全球与本地知识库后进行总结，向用户提供可靠的威胁情报。全球知识主要指CWE和CVE等来源的网络安全威胁报告，而本地知识则由组织根据实际需求定制，以补充全球知识。Filippo P等人也开展了类似的研究，利用大模型从庞大的知识库中提取安全知识并自动生成报告。其他类似的研究还包括，使用大模型生成网络攻击的描述，并利用从ATT&CK和CAPEC收集的信息对模型进行微调。他们比较了微调模型（如BERT）与直接使用的模型（如GPT-3.5）在描述攻击方面的表现。在另一项研究中，Reza F等人考察了大模型在解释和总结MITRE ATT&CK框架中的攻击战术、技术和程序（TTPs）方面的应用。该研究比较了仅编码模型（如RoBERTa）与仅解码模型（如GPT-3.5）在TTP分析方面的效果，并引入了检索增强生成（Retrieval Augmented Generation, RAG）技术来提高仅解码模型在无微调情况下的表现。研究结果表明，RAG通过提供相关上下文显著改善了TTP的解释能力，突显了大模型在威胁情报中的潜力。

Tanmay S等人讨论了大模型自动分析和总结软件供应链安全漏洞的能力。他们评估了大模型在69起失败案例的分类准确性方面的表现，结果显示大模型在数据全面的情况下具有一定的潜力，但在复杂领域仍未能完全取代人工分析师。Samaneh S等人评估了包括ChatGPT、GPT4all、Dolly等在内的各种大模型在威胁情报领域的表现。通过基于Twitter的开源情报（OSINT）数据集，研究评估了这些聊天机器人在二分类和命名实体识别（NER）任务中的能力。虽然大模型在二分类任务中表现良好，但在网络安全实体识别的NER任务中表现有限，显示出大模型在提升CTI应用方面还有改进空间。特别是在数字取证领域，Gaetan M等人提出了一种自动生成报告的方法。他们分析了取证报告的结构，以识别常见部分，并评估了大模型生成这些部分的可行性。通过案例研究，文章评估了大模型在创建取证报告不同部分中的优缺点。

由于大多数威胁情报提供方以非结构化格式提供信息，Giuseppe S等人和Yuelin H等人提出了创新解决方案，以解决从非结构化信息中提取有用信息的普遍问题。前者设计了一个名为aCTIon的框架，包括下载/解析原始报告、使用大模型提取有用信息，并按照STIX标准导出结构化报告。后者构建了威胁情报知识图谱并微调大模型以实现自动化处理。

除了从大量文本中提取有价值的信息之外，报告去重也是威胁情报领域的重要研究课题。Ting Z等人利用大模型来缓解漏洞报告去重的问题。他们将大模型作为中间步骤，通过识别关键字提高传统方法REP（用于衡量漏洞报告相似性的方法）的性能。

此外，一些研究还尝试将大模型用作有经验的安全响应专家。YuZheng L等人使用大模型作为漏洞缓解建议的提供者，通过提示工程设计了一个系统，在用户输入漏洞描述后可检索相关的CVE和CWE信息，大模型的缓解建议是该系统的一部分。Mehrdad K等人将大模型视为不仅具备专业知识的问答助手，还可以根据用户描述执行操作（例如，指示主机入侵检测系统阻止特定IP）。为增强网络安全中的策略推理，Jiandong等人提出了Crimson系统，该系统利用大模型将CVE与MITRE ATT&CK技术联系起来，以改善威胁预判和防御。其核心思想是一个检索感知训练（Retrieval-Aware Training, RAT）过程，通过实时数据检索和领域特定的微调来精炼大模型，生成精确的网络安全策略，有效减少错误和虚构信息。Crimson通过提高模型的解释性和策略连贯性，为网络安全威胁情报提供了更具前瞻性的解决方案。

来源：新浪财经

标签：模型网络智能情报威胁

本文地址：http://news.43b.com.cn/a/827006.html

免责声明：本站系转载，并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请在30日内与本站联系，我们将在第一时间删除内容!