本技术涉及信息安全领域及人工智能领域,具体而言,涉及一种基于生成式大语言模型的主机安全规则确定方法及装置。
背景技术:
1、威胁攻击的检测需要准确、低误报的主机安全规则,而主机安全规则的生成需要从大量的攻击实例中提取知识,泛化为用一定形式语言表达的检测模式,从而才能由检测引擎使用主机安全规则对威胁攻击进行检测。
2、目前,主机安全规则的提炼通常是通过机器学习模型进行知识提取或者是利用专家经验进行总结得到,暂时并没有相关技术运用大语言模型对主机安全规则进行提炼总结。
3、另外,由于目前的大语言模型(llm,large language model)在提取知识时存在知识提取发散的问题,因此不能满足一些需要精确和专业的领域需求,这也便导致了难以将大语言模型有效应用于主机安全规则的提取上,即使强行应用,也会存在生成的主机安全规则准确度较低的技术问题。
4、针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
1、本技术提供了一种基于生成式大语言模型的主机安全规则确定方法及装置,以至少解决现有技术中由于使用大语言模型提取的内容准确性较差,导致的难以生成准确度较高的主机安全规则的技术问题。
2、根据本技术的一个方面,提供了一种基于生成式大语言模型的主机安全规则确定方法,包括:获取初始知识图谱模板,其中,初始知识图谱模板用于描述需要检测的主机攻击行为;通过生成式大语言模型对初始知识图谱模板进行内容填充,得到目标知识图谱,其中,目标知识图谱至少包括生成式大语言模型依据初始知识图谱模板生成的至少一个主机攻击行为信息;基于目标知识图谱中的至少一个主机攻击行为信息确定主机安全规则。
3、可选地,初始知识图谱模板包括至少一种变形结构以及至少一个提示信息和限制条件,其中,不同的变形结构表征主机攻击行为的不同实施方式,至少一个提示信息和限制条件用于禁止生成式大语言模型生成与初始知识图谱模板中所描述的主机攻击行为无关的信息。
4、可选地,基于生成式大语言模型的主机安全规则确定方法还包括:创建生成式大语言模型的系统提示信息和系统限制条件,其中,系统提示信息和系统限制条件用于控制生成式大语言模型的内容生成方式;将初始知识图谱模板与系统提示信息和系统限制条件进行合并处理,得到模型输入提示信息;将模型输入提示信息和用于记录主机安全事件的文本输入至生成式大语言模型中,通过生成式大语言模型依据模型输入提示信息从文本中提取内容,并将提取到的内容填充至初始知识图谱模板,得到目标知识图谱。
5、可选地,基于生成式大语言模型的主机安全规则确定方法还包括:在文本的数量为n个时,将模型输入提示信息和n个文本中的每个文本分别输入至生成式大语言模型中,通过生成式大语言模型依据模型输入提示信息从每个文本中提取内容;将从每个文本中提取到的内容分别填充至初始知识图谱模板,得到与每个文本相对应的目标知识图谱。
6、可选地,基于生成式大语言模型的主机安全规则确定方法还包括:在文本的数量为n个时,将模型输入提示信息和n个文本中的第i个文本输入至生成式大语言模型中,通过生成式大语言模型依据模型输入提示信息从第i个文本中提取内容,其中,i为小于或等于n的正整数;将从第i个文本中提取到的内容填充至初始知识图谱模板,得到第i个文本对应的目标知识图谱;将第i个文本对应的目标知识图谱和n个文本中的第j个文本输入至生成式大语言模型中,通过生成式大语言模型依据第i个文本对应的目标知识图谱从第j个文本中提取内容,其中,第j个文本为与第i个文本不同的文本;将从第j个文本中提取到的内容填充至第i个文本对应的目标知识图谱,得到第i个文本和第j个文本共同对应的目标知识图谱。
7、可选地,基于生成式大语言模型的主机安全规则确定方法还包括:获取正反馈提示信息或负反馈提示信息,其中,正反馈提示信息用于控制生成式大语言模型从第j个文本中提取与第i个文本对应的目标知识图谱相关性系数大于第一预设阈值的内容,负反馈提示信息用于控制生成式大语言模型从第j个文本中提取与第i个文本对应的目标知识图谱相关性系数小于第二预设阈值的内容;根据正反馈提示信息或负反馈提示信息,通过生成式大语言模型依据第i个文本对应的目标知识图谱从第j个文本中提取内容。
8、可选地,基于生成式大语言模型的主机安全规则确定方法还包括:在将从第j个文本中提取到的内容填充至第i个文本对应的目标知识图谱,得到第i个文本和第j个文本共同对应的目标知识图谱之后,获取第i个文本对应的目标知识图谱和第i个文本和第j个文本共同对应的目标知识图谱之间的图谱相似度;将基于第i个文本对应的目标知识图谱提取的主机安全规则作为第一规则;将基于第i个文本和第j个文本共同对应的目标知识图谱提取的主机安全规则作为第二规则;获取第一规则和第二规则之间的规则相似度;根据图谱相似度和/或规则相似度,确定是否依据第i个文本和第j个文本共同对应的目标知识图谱从其他文本中提取内容,其中,其他文本为n个文本中除第i个文本和第j个文本之外的文本。
9、可选地,基于生成式大语言模型的主机安全规则确定方法还包括:对至少一个主机攻击行为信息进行聚类操作,得到聚类结果;对聚类结果进行泛化操作,得到主机安全规则。
10、根据本技术的另一方面,还提供了一种基于生成式大语言模型的主机安全规则确定装置,其中,基于生成式大语言模型的主机安全规则确定装置包括:获取单元,用于获取初始知识图谱模板,其中,初始知识图谱模板用于描述需要检测的主机攻击行为;目标知识图谱确定单元,用于通过生成式大语言模型对初始知识图谱模板进行内容填充,得到目标知识图谱,其中,目标知识图谱至少包括生成式大语言模型依据初始知识图谱模板生成的至少一个主机攻击行为信息;主机安全规则确定单元,用于基于目标知识图谱中的至少一个主机攻击行为信息确定主机安全规则。
11、根据本技术的另一方面,还提供了一种计算机可读存储介质,其中,计算机可读存储介质中存储有计算机程序,其中,计算机程序被设置为运行时执行上述任意一项的基于生成式大语言模型的主机安全规则确定方法。
12、在本技术中,采用通过初始知识图谱引导生成式大语言模型生成主机攻击行为信息的方式,首先获取初始知识图谱模板,其中,初始知识图谱模板用于描述需要检测的主机攻击行为。然后通过生成式大语言模型对初始知识图谱模板进行内容填充,得到目标知识图谱,其中,目标知识图谱至少包括生成式大语言模型依据初始知识图谱模板生成的至少一个主机攻击行为信息。最后,基于目标知识图谱中的至少一个主机攻击行为信息确定主机安全规则。
13、由上述内容可知,本技术提出了一种通过初始知识图谱模板对生成式大语言模型的输出内容进行限制的方式,来提高生成式大语言模型的内容生成质量和可靠性。其中,特定的初始知识图谱模板是用来描述特定的需要检测的主机攻击技术和主机攻击战术行为,因此,通过在生成式大语言模型的输入中加入这些特定的初始知识图谱模板,可以实现约束生成式大语言模型的输出格式和内容的目的,用于满足生成主机安全规则的需求,换言之,生成式大语言模型可以根据提供的初始知识图谱模板生成与需要检测的主机攻击行为更相关的文本信息,由此实现了将生成式大语言模型有效应用至获取准确的主机安全规则的技术效果,进而解决了现有技术中由于使用大语言模型提取的内容准确性较差,导致的难以生成准确度较高的主机安全规则的技术问题。
1.一种基于生成式大语言模型的主机安全规则确定方法,其特征在于,包括:
2.根据权利要求1所述的基于生成式大语言模型的主机安全规则确定方法,其特征在于,所述初始知识图谱模板包括至少一种变形结构以及至少一个提示信息和限制条件,其中,不同的变形结构表征主机攻击行为的不同实施方式,所述至少一个提示信息和限制条件用于禁止所述生成式大语言模型生成与所述初始知识图谱模板中所描述的主机攻击行为无关的信息。
3.根据权利要求1所述的基于生成式大语言模型的主机安全规则确定方法,其特征在于,通过生成式大语言模型对所述初始知识图谱模板进行内容填充,得到目标知识图谱,包括:
4.根据权利要求3所述的基于生成式大语言模型的主机安全规则确定方法,其特征在于,将所述模型输入提示信息和用于记录主机安全事件的文本输入至所述生成式大语言模型中,通过所述生成式大语言模型依据所述模型输入提示信息从所述文本中提取内容,并将提取到的内容填充至所述初始知识图谱模板,得到所述目标知识图谱,包括:
5.根据权利要求3所述的基于生成式大语言模型的主机安全规则确定方法,其特征在于,将所述模型输入提示信息和用于记录主机安全事件的文本输入至所述生成式大语言模型中,通过所述生成式大语言模型依据所述模型输入提示信息从所述文本中提取内容,并将提取到的内容填充至所述初始知识图谱模板,得到所述目标知识图谱,包括:
6.根据权利要求5所述的基于生成式大语言模型的主机安全规则确定方法,其特征在于,通过所述生成式大语言模型依据所述第i个文本对应的目标知识图谱从所述第j个文本中提取内容,包括:
7.根据权利要求5所述的基于生成式大语言模型的主机安全规则确定方法,其特征在于,在将从所述第j个文本中提取到的内容填充至所述第i个文本对应的目标知识图谱,得到所述第i个文本和所述第j个文本共同对应的目标知识图谱之后,所述基于生成式大语言模型的主机安全规则确定方法还包括:
8.根据权利要求1所述的基于生成式大语言模型的主机安全规则确定方法,其特征在于,基于所述目标知识图谱中的至少一个主机攻击行为信息确定主机安全规则,包括:
9.一种基于生成式大语言模型的主机安全规则确定装置,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至8中任意一项所述的基于生成式大语言模型的主机安全规则确定方法。
