本發(fā)明屬于網(wǎng)絡(luò)安全的，具體涉及一種基于大語言模型的攻擊路徑規(guī)劃以及關(guān)鍵節(jié)點(diǎn)識別方法。

背景技術(shù)：

1、隨著信息技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)攻擊的復(fù)雜性和頻率也在不斷增加。傳統(tǒng)的攻擊路徑規(guī)劃方法依賴于專家知識和規(guī)則庫，難以應(yīng)對不斷變化的攻擊手段和復(fù)雜的網(wǎng)絡(luò)環(huán)境。并且攻擊者常常利用漏洞之間的關(guān)聯(lián)性來實(shí)現(xiàn)其攻擊目的，傳統(tǒng)的防御方法往往難以發(fā)現(xiàn)這種潛在的關(guān)聯(lián)關(guān)系。

2、攻擊路徑規(guī)劃是網(wǎng)絡(luò)安全領(lǐng)域中的一項(xiàng)主動(dòng)防御手段，旨在幫助企業(yè)和組織提前預(yù)測和識別網(wǎng)絡(luò)攻擊者可能采取的攻擊策略和行動(dòng)過程；通過攻擊路徑預(yù)測技術(shù)，組織可以在實(shí)際攻擊發(fā)生之前采取相應(yīng)的防御措施，從而降低因攻擊而帶來的風(fēng)險(xiǎn)和損失。這種技術(shù)通常依賴于網(wǎng)絡(luò)安全事件的歷史數(shù)據(jù)和分析結(jié)果，結(jié)合機(jī)器學(xué)習(xí)和人工智能等技術(shù)，對潛在的攻擊路徑進(jìn)行建模和預(yù)測；通過全局建模和分析網(wǎng)絡(luò)系統(tǒng)，攻擊路徑預(yù)測技術(shù)能夠揭示網(wǎng)絡(luò)系統(tǒng)內(nèi)部的安全漏洞和風(fēng)險(xiǎn)，以及攻擊者在實(shí)施攻擊行動(dòng)時(shí)可能采取的路徑。關(guān)鍵節(jié)點(diǎn)，即攻擊圖中最具影響力和關(guān)鍵性的節(jié)點(diǎn)。通過識別這些關(guān)鍵節(jié)點(diǎn)，管理員可以重點(diǎn)加強(qiáng)這些節(jié)點(diǎn)的防護(hù)措施，提高網(wǎng)絡(luò)安全的響應(yīng)速度和準(zhǔn)確性，以有效阻止攻擊者的進(jìn)攻。

3、現(xiàn)有技術(shù)攻擊路徑規(guī)劃方法一般分為三類；其一為基于規(guī)則和專家系統(tǒng)的方法，該方法依賴于預(yù)定義的規(guī)則和專家知識庫，通過匹配規(guī)則來生成攻擊路徑和識別關(guān)鍵節(jié)點(diǎn)；雖然簡單直接，易于實(shí)現(xiàn)，但是缺乏靈活性，難以應(yīng)對新型攻擊手段，規(guī)則庫需要不斷更新和維護(hù)，對不同類型網(wǎng)絡(luò)環(huán)境和安全策略的適應(yīng)性不強(qiáng)。其二為基于圖論的方法，該方法利用圖論中的最短路徑算法、最大流算法等來規(guī)劃攻擊路徑和識別關(guān)鍵節(jié)點(diǎn)，但是計(jì)算復(fù)雜度較高，對大規(guī)模網(wǎng)絡(luò)的處理能力有限。其三為基于機(jī)器學(xué)習(xí)的方法，該方法利用監(jiān)督學(xué)習(xí)或無監(jiān)督學(xué)習(xí)算法，從歷史攻擊數(shù)據(jù)中學(xué)習(xí)攻擊模式和關(guān)鍵節(jié)點(diǎn)，能夠從數(shù)據(jù)中自動(dòng)學(xué)習(xí)，不依賴于人工規(guī)則；但是需要大量的標(biāo)注數(shù)據(jù)，訓(xùn)練過程復(fù)雜。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的主要目的在于克服現(xiàn)有技術(shù)的缺點(diǎn)與不足，提供一種基于大語言模型的攻擊路徑規(guī)劃及關(guān)鍵節(jié)點(diǎn)識別方法，利用大語言模型的強(qiáng)大自然語言處理能力，結(jié)合網(wǎng)絡(luò)安全領(lǐng)域的專業(yè)知識，實(shí)現(xiàn)智能化和自動(dòng)化的攻擊路徑規(guī)劃和關(guān)鍵節(jié)點(diǎn)識別，減少人工干預(yù)，提高效率。

2、為了達(dá)到上述目的，本發(fā)明采用以下技術(shù)方案：

3、一方面，本發(fā)明提供一種基于大語言模型的攻擊路徑規(guī)劃以及關(guān)鍵節(jié)點(diǎn)識別方法，包括下述步驟：

4、通過網(wǎng)絡(luò)安全工具對網(wǎng)絡(luò)環(huán)境進(jìn)行信息收集得到網(wǎng)絡(luò)信息圖；所述信息包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、主機(jī)和設(shè)備配置信息、已知漏洞和威脅情報(bào)；

5、構(gòu)建基于大語言模型的攻擊路徑規(guī)劃模型，規(guī)定動(dòng)作輸出格式；并采用少樣本學(xué)習(xí)方法引導(dǎo)基于大語言模型的攻擊路徑規(guī)劃模型學(xué)習(xí)網(wǎng)絡(luò)信息圖，按照動(dòng)作輸出格式輸出符合預(yù)期的規(guī)劃結(jié)果；

6、依據(jù)規(guī)劃結(jié)果生成攻擊圖；

7、通過加權(quán)計(jì)算節(jié)點(diǎn)度數(shù)和資產(chǎn)重要程度對攻擊圖中的節(jié)點(diǎn)進(jìn)行打分，識別關(guān)鍵節(jié)點(diǎn)。作為優(yōu)選的技術(shù)方案，所述通過網(wǎng)絡(luò)安全工具對網(wǎng)絡(luò)環(huán)境進(jìn)行信息收集，具體為：

8、根據(jù)網(wǎng)絡(luò)環(huán)境的規(guī)模大小選擇合適的網(wǎng)絡(luò)掃描工具生成網(wǎng)絡(luò)拓?fù)鋱D，顯示各主機(jī)及其連接關(guān)系，記錄每個(gè)主機(jī)的ip信息、操作系統(tǒng)信息和開放的端口及運(yùn)行的服務(wù)信息；

9、利用自動(dòng)化運(yùn)維工具批量獲取主機(jī)配置，收集每個(gè)主機(jī)的網(wǎng)絡(luò)配置文件、主機(jī)名、ip地址及路由信息，生成主機(jī)和設(shè)備配置信息；

10、使用漏洞掃描工具對網(wǎng)絡(luò)環(huán)境進(jìn)行掃描，生成漏洞掃描報(bào)告，列出每個(gè)主機(jī)的已知漏洞和風(fēng)險(xiǎn)等級，提供漏洞的詳細(xì)描述、影響范圍和修復(fù)建議，生成已知漏洞和威脅情報(bào)；

11、將網(wǎng)絡(luò)拓?fù)鋱D中的每臺主機(jī)看作是圖的節(jié)點(diǎn)，主機(jī)和設(shè)備配置信息與已知漏洞和威脅情報(bào)作為節(jié)點(diǎn)的屬性，得到網(wǎng)絡(luò)信息圖；

12、所述節(jié)點(diǎn)的信息包括主機(jī)序號、主機(jī)ip、主機(jī)操作系統(tǒng)、主機(jī)開放端口、端口對應(yīng)運(yùn)行的服務(wù)、已知漏洞以及與本主機(jī)網(wǎng)絡(luò)可達(dá)的其他主機(jī)序號集合。

13、作為優(yōu)選的技術(shù)方案，所述構(gòu)建基于大語言模型的攻擊路徑規(guī)劃模型，嚴(yán)格規(guī)定動(dòng)作輸出格式，具體為：

14、選擇大語言模型并初始化網(wǎng)絡(luò)權(quán)重和配置參數(shù)；所述配置參數(shù)包括學(xué)習(xí)率、批量大小及優(yōu)化器；

15、收集與網(wǎng)絡(luò)安全相關(guān)的文本數(shù)據(jù)，包括攻擊日志、事件報(bào)告和漏洞描述；

16、使用文本數(shù)據(jù)對大語言模型進(jìn)行預(yù)訓(xùn)練，使大語言模型理解網(wǎng)絡(luò)安全術(shù)語，分析攻擊日志，生成與網(wǎng)絡(luò)安全相關(guān)的自然語言描述，辨識常見的攻擊模式和漏洞描述；

17、通過嵌套請求或多重上下文防止輸出指令被過濾；

18、規(guī)定動(dòng)作輸出格式；所述輸出格式包括規(guī)劃、命令類型和命令。

19、作為優(yōu)選的技術(shù)方案，所述攻擊圖利用自然語言處理技術(shù)，從規(guī)劃結(jié)果中識別涉及到的節(jié)點(diǎn)和攻擊操作進(jìn)行生成。

20、作為優(yōu)選的技術(shù)方案，所述識別關(guān)鍵節(jié)點(diǎn)具體為：

21、對攻擊圖中的每一節(jié)點(diǎn)計(jì)算其節(jié)點(diǎn)度數(shù)并進(jìn)行歸一化；

22、采用賦值法對每一節(jié)點(diǎn)的資產(chǎn)重要程度進(jìn)行賦值；

23、使用加權(quán)求和法得出攻擊圖中每一節(jié)點(diǎn)的關(guān)鍵程度得分；

24、將每一節(jié)點(diǎn)的關(guān)鍵程度得分進(jìn)行排序，指定關(guān)鍵程度標(biāo)準(zhǔn)線；

25、篩選關(guān)鍵程度得分不低于關(guān)鍵程度標(biāo)準(zhǔn)線的節(jié)點(diǎn)為關(guān)鍵節(jié)點(diǎn)。

26、作為優(yōu)選的技術(shù)方案，所述節(jié)點(diǎn)度數(shù)表示某主機(jī)網(wǎng)絡(luò)可達(dá)的其他主機(jī)數(shù)量；節(jié)點(diǎn)度數(shù)的歸一化公式為：

27、dni＝(di–dmin)/(dmax–dmin)，

28、其中，dni為第i個(gè)節(jié)點(diǎn)歸一化后的節(jié)點(diǎn)度數(shù)，di為第i個(gè)節(jié)點(diǎn)的節(jié)點(diǎn)度數(shù)，dmin為攻擊圖中最小節(jié)點(diǎn)度數(shù)，dmax為攻擊圖中最大節(jié)點(diǎn)度數(shù)；

29、所述資產(chǎn)重要程度表示某節(jié)點(diǎn)安全屬性破壞后對網(wǎng)絡(luò)用戶和管理員造成的損失程度；

30、所述資產(chǎn)程度包括五個(gè)程度，分別為非常重要、重要、比較重要、不太重要和不重要，分別賦值為5、4、3、2、1；

31、所述每一節(jié)點(diǎn)的關(guān)鍵程度得分的公式為：

32、fi＝dni*a+fi*b，

33、其中，fi為第i個(gè)節(jié)點(diǎn)的關(guān)鍵程度得分，fi為第i個(gè)節(jié)點(diǎn)的資產(chǎn)重要程度，a、b分別為權(quán)重系數(shù)。

34、另一方面，本發(fā)明提供一種基于大語言模型的攻擊路徑規(guī)劃以及關(guān)鍵節(jié)點(diǎn)識別系統(tǒng)，包括網(wǎng)絡(luò)信息收集模塊、模型構(gòu)建訓(xùn)練模塊、攻擊圖生成模塊及關(guān)鍵節(jié)點(diǎn)識別模塊；

35、所述網(wǎng)絡(luò)信息收集模塊用于通過網(wǎng)絡(luò)安全工具對網(wǎng)絡(luò)環(huán)境進(jìn)行信息收集得到網(wǎng)絡(luò)信息圖；所述信息包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、主機(jī)和設(shè)備配置信息、已知漏洞和威脅情報(bào)；

36、所述模型構(gòu)建訓(xùn)練模塊用于構(gòu)建基于大語言模型的攻擊路徑規(guī)劃模型，規(guī)定動(dòng)作輸出格式；并采用少樣本學(xué)習(xí)方法引導(dǎo)基于大語言模型的攻擊路徑規(guī)劃模型學(xué)習(xí)網(wǎng)絡(luò)信息圖，按照動(dòng)作輸出格式輸出符合預(yù)期的規(guī)劃結(jié)果；

37、所述攻擊圖生成模塊用于依據(jù)規(guī)劃結(jié)果生成攻擊圖；

38、所述關(guān)鍵節(jié)點(diǎn)識別模塊用于通過加權(quán)計(jì)算節(jié)點(diǎn)度數(shù)和資產(chǎn)重要程度對攻擊圖中的節(jié)點(diǎn)進(jìn)行打分，識別關(guān)鍵節(jié)點(diǎn)。

39、還一方面提供一種電子設(shè)備，包括：

40、至少一個(gè)處理器；以及，與所述至少一個(gè)處理器通信連接的存儲(chǔ)器；其中，

41、所述存儲(chǔ)器存儲(chǔ)有可被所述至少一個(gè)處理器執(zhí)行的計(jì)算機(jī)程序指令，所述計(jì)算機(jī)程序指令被所述至少一個(gè)處理器執(zhí)行，以使所述至少一個(gè)處理器能夠執(zhí)行上述的基于大語言模型的攻擊路徑規(guī)劃以及關(guān)鍵節(jié)點(diǎn)識別方法。

42、又一方面，提供一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，存儲(chǔ)有程序，其特征在于，所述程序被處理器執(zhí)行時(shí)，實(shí)現(xiàn)上述的基于大語言模型的攻擊路徑規(guī)劃以及關(guān)鍵節(jié)點(diǎn)識別方法。

43、本發(fā)明與現(xiàn)有技術(shù)相比，具有如下優(yōu)點(diǎn)和有益效果：

44、與現(xiàn)有技術(shù)相比，傳統(tǒng)的攻擊路徑規(guī)劃方法通常依賴于手工規(guī)則或簡單的機(jī)器學(xué)習(xí)模型，這些方法在處理復(fù)雜的文本數(shù)據(jù)時(shí)往往顯得力不從心，無法充分挖掘文本數(shù)據(jù)中的隱含信息。通過引入大語言模型，本發(fā)明能夠自動(dòng)化地分析和處理大量的文本數(shù)據(jù)，識別出潛在的攻擊路徑和關(guān)鍵節(jié)點(diǎn)，減少了人工干預(yù)的需求，從而降低了人為錯(cuò)誤的發(fā)生率，顯著提高了規(guī)劃效率。

45、在傳統(tǒng)方法中，專家經(jīng)驗(yàn)和手工操作是路徑規(guī)劃的主要依據(jù)，這種依賴不僅效率低下，而且容易受到主觀因素的影響，導(dǎo)致規(guī)劃結(jié)果的不穩(wěn)定性和不準(zhǔn)確性。而本發(fā)明通過綜合多種技術(shù)手段，結(jié)合自然語言處理和圖結(jié)構(gòu)分析的方法，能夠從多個(gè)角度全面識別關(guān)鍵節(jié)點(diǎn)。這種多維度的分析確保了攻擊路徑的有效性和最優(yōu)性，使得規(guī)劃結(jié)果更加可靠。

46、此外，本發(fā)明采用了模塊化設(shè)計(jì)，各個(gè)模塊(如信息收集、路徑規(guī)劃、關(guān)鍵節(jié)點(diǎn)識別)可以獨(dú)立開發(fā)和優(yōu)化。這種設(shè)計(jì)不僅提高了系統(tǒng)的靈活性，還使得各個(gè)模塊能夠根據(jù)不同的需求進(jìn)行調(diào)整和擴(kuò)展，具有較強(qiáng)的適應(yīng)性和擴(kuò)展性。這意味著無論是針對不同類型的大語言模型，還是在不同的應(yīng)用場景中，本發(fā)明都能夠靈活應(yīng)對，滿足多樣化的需求。。