绿盟科技-安全行业大模型SecLLM技术白皮书

安全行业大模型绿盟科技集团股份有限公司(以下简称绿盟科技),成立于2000年4月，总部位于北京。公司于2014年1月29日在深圳证券交易所版权声明STNETNOC新实践：安全行业大模型赋能应用27新安全：大模型安全风险与防护策略新安全：大模型安全风险与防护策略结语75参考文献77在ChatGPT呈现全球现象级热度时，通用大语言模型(LargeLanguageModel,LLM)技术用需求。因此，绿盟科技基于“人工智能+安全”多年积累的安全专业经验和高质量数据，稳扎稳打地推出安全可信的安全行业大模型(SecurityLargeLanguageModel,SecLLM)。SecLLM目标是智能化解决攻防实战场景中所面临的复杂安全问题，提供更专业、高效和定制化的威胁应对绿盟科技同步推出安全行业大模型技术白皮书《大模型赋能网安新范式，人工智能安全可信护航》,分享绿盟在SecLLM研发过程中所积累的最佳实践和经验教训，并探讨其在安全领域的重要性和价值。本技术白皮书从SecLLM的研究新趋势、新范式、新技术、新实践和新安全几方能够在复杂的攻防实战中逐步学习并提升威胁检测和防御能力，为网络安全提供更智能和更高效的解决方案。SecLLM引领了一系列技术突破，解决了传统安全方法在应对复●高质量数据助力成功落地：安全行业真正有价值的安全数据和知识无法从公开渠道获取。绿盟科技所特有的安全经验、知识和数据的积累，有助于训练大模型更好地理解和学习各种安全特征和行为模式，从而提高威胁检测和防御的准确性和效率，更好地适应中，参与常态化的安全运营，辅助安全监测中复杂问题的解决。通过不断助力解决实际实用性。自我学习和安全能力的持续提升，增强其在实际应用中的可靠性和实用性。●人机协作增强安全动能：SecLLM转化为安全人员的“伙伴”,快速融入已有的智能安全运营、威胁情报分析、零日攻击和新型威胁应对等日常安全处置工作流中，提升安全信息处理和分析、智能安全建议和反馈等能力，与安全人员紧密协作，共同应对不断升●云端服务结合本地部署：SecLLM提供云端服MaaS服务享受节约资源、简化管理和覆盖全球等优势；本地化部署提供了更高的定制性、控条件，保护用户隐私和数据安全，防止大模型被滥用，预防新型攻击和未知威胁，从而保障大模型自身的安全可靠性，推动SecLLM成为安全护航的可信之选。绿盟科技将持续投入研发和创新，不断优化SecLLM的功能、性能和自身安全性，提供更具创新型和实用性的安全解决方案。SecLLM作为每一个用户定制化的安全协作“伙伴”,致力于成为各行业持久可信的安全护卫。在该过程中，绿盟科技愿意贡献自身能力，与各行业合作伙伴共同应对日益复杂的安全挑战，携手促进安全行业大模型生态建设。通过积极交流合作，共享安全专业知识和技术经验，共同促进“人工智能+安全”的加速发展。够模拟、模仿和执行人类智能活动的技术和系统，使其具备像人类一样的智能。人工智能按发展能系统。它具有感知、认知、思考、学习和创造等能力，能够在各种不同领域和任务上表现出类处理模型。这类模型利用深度学习技术，能够在大规模的文本数据上进行预训练，并通过微调等学习特定行业的特征和规律，以实现在该行业中高准确性和可靠性的分析和预测，能够更好地适预训练语言模型(Pre-trainedLanguageModel,PLM):是指在大规模语料库上以无监督方式进行预训练的语言模型。在大量的未标记数据上进行预训练，大模型得以学习数据的内在表示和特征。微调(Fine-Tuning,FT):是指基于已经训练好的预训练语言模型，在有标注数据上进行有模型即服务(ModelasaService,MaaS):是指基于云计算提供一种将人工智能模型转换为可重复使用服务的方式，实现模型的快速部署、弹性伸缩和按需使用，允许用户不需要硬件设是指针对人工智能算法和系统在设计、实6ChatGPT爆火背后的推动力是通用大语言模型(LargeLanguageModel,LLM)。LLM是指具有巨大参数量和复杂结构的自然语言处理模型。这类模型是深度学习在自然语言处理领域的典型技术范式，能够在大规模的文本数据上进行预训练，并通过微调等技术完成各种自然语言处理任务。“读书破万卷，下笔如有神”在一定意义上反映了LLM的运作模式。LLM是具备强大表示能力和广泛适用性的模型，一个模型就能够处理各种自然语言处理任务。LLM的关键发展可以追溯到2018年，彼时Google推出了BERT模型。BERT采用了预训练加微调的方法，通过在大规模数据上进行预训练，模型学习到了广泛的语言知识，然后在特定任务上微调模型参数。BERT在多个任务上取得了优异的表现，引发了全球各大公司、研究机构对通用大模型的普及应用。同时，ChatGPT作为现象级的LLM,为学术界和工业界呈现了一种通用大模型技术实现的技术路径。ChatGPT的发展(图1)经过了多个版本的技术迭代演化，在保持Transformer核心特征抽取结构框架的同时，模型的整体参数规模、训练数据规模呈现爆炸式增长。现阶段，典型LLM的参数规模已达到千亿级别。这些模型不仅在表现上超越了之前的模型，同时也具备更高效的训练和推理能力，可以处理更加复杂的GPT-3AlAlGShard9-101HUAWEILaMDAAlphaCodeChinchillaAl21Al21FalconmT0GalaticaOPT-IMLOGPT-NeoX-20BCohereUL24-6NLLBPythiaPanGu-ZHUAWEIBardLLaMAChatGPIGPT-4图1大语言模型发展历程[1]随着模型参数规模和训练数据规模的爆炸式增长，通用大语言模型LLM的涌现能力7(EmergentAbility)凸显。相对于经典规模尺度较小的机器学习或深度学习模型，LLM在上这些提升的能力是否能够成为LLM在安全行业的应用潜能呢?具体包括：●知识语义增强：通过在大规模通用文本数据上进行训练，LLM得以掌握广泛的语言知识和语义理解能力。相较于小模型，LLM能够更全面地理解词汇、句法和语用，生成的文本更加准确、连贯，同时保留了语义特征。在安全行业中，知识语义增强有助于理解和分析安全领域特定的数据内容，如安全威胁、漏洞、攻击技术等相关知识和安全语义，从而更为准确地识别风险、提供建议或生成报告。可以理解和应用逻辑原则来推理和分析输入文本中的信息。相较于小模型，LLM经过训练可以更好地理解和应用逻辑规则，能够产生更为合乎逻辑的输出结果。在安全行业中，逻辑分析增强可以更好地分析不同事件之间的关系、理解上下文相关性、挖掘潜在的威胁情报等，进一步推断可能的攻击路径和攻击团伙，并分析推荐可采取的安全措施。在与用户的交互过程中表现出更高水平的决策能力和响应性能。相较于小模型，LLM可以更好地根据输入的上下文和目标指令，综合利用所学习到的语言知识、语义理解能力以及可能的逻辑推理和决策策略，生成更智能和个性化的回复，这使得LLM在对话系统、问答系统中具备更强的交互决策能力。在安全行业中，交互决策增强提供与安全专家、分析师等不同角色进行智能交互，更好地理解不同需求并提供个性化的安全指导和辅助决策，协助安全团队开展应急响应和威胁管理等工LLM的通用知识语义、逻辑分析和交互决策这三个增强能力在安全行业中具有重要作用，有助于提升安全系统的感知、分析和决策能力。通过从特殊的安全数据中提取关键信息、识别潜在威胁，并能够提供恰当处理建议，LLM可以进一步提高安全系统的效率和准确性，使其能更好地应对不断演变的安全威胁。随着LLM技术的不断创新发展，有望推动安全行业向智能化和自动化的方向发展，从而提升网络空间的安全性和可信度。9新范式：安全行业大模型核心框架本章首先介绍安全模型的发展困境和研究新范式，接下来阐述安全行业大模型的必要性和创新价值，并深入分析安全行业大模型的升级技术和分层框架。2.1安全模型发展面临困境安全模型发展面临多重困境，其中包括威胁演化速度快、数据量和复杂性增加、数据偏差和不均衡，隐私和合规性问题、自适应能力缺乏，以及对抗攻击挑战等。克服这些困境对于推动安全行业的发展具有重要意义。传统安全模型如机器学习小模型已在网络安全中得到了部分应用，但是其发展却不尽人Security》[2]总结了安全行业的机器学习模型的十大陷阱，这些陷阱普遍存在于恶意样本识别、网络入侵检测、漏洞分析挖掘、网站攻击监测、社交网络滥用、二进制代码分析和代码归因等安全场景中，导致关键结果出现严重偏差、一系列的性能劣化和不可解释性难题，进而影响安全模型在安全行业的应用推广。ChatGPT一经推出便引起轰动，安全行业研究员和工作者也纷纷就ChatGPT在安全行业的应用潜力和影响展开探索，尝试应用于情报分析、运营辅助、攻击预测、网络钓鱼内容生成、恶意代码编写等攻防场景中。从探索的实际效果来看，ChatGPT背后的LLM大模型技术在安全行业可能会面临如下挑战：模型使用广泛的通用语料库进行训练，同时安全行业的数据通常是特殊且有限的。这导致LLM缺乏安全相关数据和专业知识，缺乏对特定安全问题的理解能力，无法提供准确或深入的专业解释。●零日攻击和新型威胁挑战：LLM的训练数据只能基于过去的安全事件和攻击行为。然而，威胁攻击是不断演变和改变的，面对零日攻击和新型威胁等未知的威胁，LLM很可能无法准确地识别和防御。●模型低成本和实时性难题：安全行业需要对威胁事件进行及时响应，因此模型最好能够本地部署和学习，具备实时性能。然而，由于LLM的计算复杂性，推理过程需要高性能的计算资源和较长的时间，这可能无法满足安全实时检测和及时响应的需求。在训练过程中使用的大量数据可能包含敏感信息，同时处理和存储用户交互数据也存在威胁用户隐私和安全性的风险。因此，在安全行业中应用LLM时，必须采取相应的数据保护措施，以确保用户隐私和敏感数据不被泄露，往往被视为黑盒模型，其决策过程和判断依据难以解释。在安全行业中，可解释和可信度对于分析和决策的重要性不容忽视。因此，在应用LLM时，需要考虑如何增强安全行业对LLM模型的信任度，并使分析和决策过程更加可靠和可解释。为了有效应对上述LLM大模型技术在安全行业应用中的挑战，有必要探索新的方法和技术来提高模型对特定安全问题的理解能力和专业解释能力。因此，构建一个专用于安全行业的大模型(SecurityLargeLanguageModel,缩写为SecLLM)是非常有必要的。期望攻击技术、漏洞利用等方面的更深入理解，从而提供更准确的威胁分析和安全决策的智能化由上文分析可以看出，传统安全模型和LLM技术在安全行业应用中都面临一系列困境，针对输入网络流量、系统日志不同数据开展数据标注、特征构建和算法选择等工作；接着分别训练小模型；训练完毕后，不同小模型各自只能预测单一的入侵行为或恶意攻击。如图2因此，传统安全模型的研究思路会限制其学习和泛SecLLM不同于传统安全模型，通用的大语言模型LLM采用“预训练-微调”的研究新范式，该然后通过有监督学习或强化学习进行特定任务的精细调整和优化，提升了模型的泛化和学习能力。那么是否可以借鉴LLM的“预训练-微调”新范式来构建SecLLM?安全大模型Web攻击分析监测微调在这个新范式下开展SecLLM的研究，如图2右侧所示，安全大模型是利用大规模无标“安”四方面开展技术升级(如图3所示),为安全行业提供智能化的威“快”“快”“安”“易”简单LUI替代GUI“准”为了解决GUI的上述问题，通过将安全语料输入大模型，可以获得一个能够“懂安全”没有学习安全技能，也可以直接提问“如何保护我的网络免受DDoS攻击?”;“懂安全”SecLLM可以通过不同外接数据源或安全知识库来提供可靠的实时数据和专业领域知例如查询各种威胁情报平台获取最新的安全事件和漏洞公告，并与用户分享相关的警报、建议或解决方案。另一方面，SecLLM无需等待训练，通过连接到安全领域的专业知识库获取更深入的高质量知识，为用户提供专业领域知识质询服务。上述两种方式可以弥补LLM本身训练数据时间限制的不足，并使其能够获取最新的安全信息和专业的安全知识。SecLLM注重提高安全数据和服务的高效性，通过实时查询情报源或安全知识库实现实时SecLLM通过提供插件和工具调用能力，使开发者和用户能够将自定义的专业功能集成通过这些技术升级(如图3所示),SecLLM安全能力层服务层模型层基础层应用层SecLLM的基础层为大模型训练和推理提供了必要的基础设施和高效的管理，涵盖数据接入、资源调度、大模型工程化管理、分布式训练和推理加速等多方面。●数据集成和理解：多源异构安全数据接入技术允许从不同类型的数据源中汇集信息，如网络流量、系统日志、恶意软件样本等。这有助于构建更全面、综合的数据集，为模型提供更深入的理解和分析能力，从而更准确地检测潜在的威胁。资源调度技术允许优化计算资源的使用，确保模型训练和推理过程中的高性能。通过合理的资源分配，模型能够在相同时间内处理更多数据，提高检测速度和响应能力。●模型效率优化：大模型的XOps管理技术可以降低模型的计算复杂度，减少计算资源的需求。这有助于提高模型的效率，使其能够在较小的资源开销下进行更快速的分析。安全行业大模型能够利用多台计算机进行并行训练，加快模型的训练速度。这有助于提高模型的适应性，更快地适应新的威胁和变化。模型部署推理加速技术允许在云环境或私有网络中高效地部署模型，覆盖更广泛的安全场景，确保模型能够有效应对多样化的威胁。SecLLM的模型层引入多个关键技术进行大模型的增量预训练和微调，使其能够更深入地理解安全领域的语境和知识，从而提高在安全任务中的性能和效果。●安全数据预处理：通过安全数据预处理，可以将原始安全数据进行清洗和标准化，从而提高数据质量和一致性。这有助于减少数据中的噪音、提取关键信息，使模型能够更精确地分析安全问题。●安全预训练模型增量训练：通过安全预训练模型的增量训练，模型能够在通用预训练基础上，进一步融合安全领域的语义和知识。这使得模型在安全任务中更具感知能力和专业性。●下游任务微调：在具体的下游安全任务中优化和微调模型，提高模型在特定任务上的准确性和性能。这种个性化微调使模型更好地适应不同的安全应用场景。●安全知识增强模型：安全知识增强模型允许将领域专业知识注入模型，使其更准确地理解安全威胁。这有助于模型更好地识别潜在威胁，为安全分析提供更有力的支持。●人类对齐微调：通过人类对齐微调，模型能够与人类专家的知识进行融合，提高模型的可信度和可解释性。这有助于模型决策更加可解释，为安全分析提供更大的信任。针对安全复杂问题的解决，SecLLM需要能够更好地理解、分析和应对安全问题，所需关键能力列举如下：●安全意图理解：安全意图理解技术可以帮助模型更好地理解用户和攻击者的意图。这有助于模型更准确地分析行为，识别潜在的威胁，并区分正常行为和异常行为。●安全辅助决策：安全辅助决策技术能够为决策提供有力支持，通过模型的分析和推荐，帮助安全专业人员做出更明智的决策。这有助于快速应对安全威胁和风险。●安全日志解析：安全日志解析技术能够自动解析和分析大量的安全日志，从中提取关键信息。这有助于快速发现异常情况和潜在威胁，加强安全监控和分析能力。●告警分析研判：告警分析研判技术使模型能够对告警事件进行深入分析和判断。通过模型的辅助，可以快速确定告警的严重性、可信度和应对措施，提高响应效率。●人机协同学习：人机协同学习技术能够将人类专业知识和模型的分析能力相结合，实现双方的互补。这有助于提高模型的可解释性、可信度，同时使人类专家能够从模型中获得更深入的洞察。SecLLM服务层提供了云端MaaS服务、客户定制本地部署，以及大模型安全伦理保障等。这些服务和保障措施为客户提供了多样化的部署和应用选择，并确保模型在安全、隐私和伦理方面得到充分保障。●云端MaaS服务：云端MaaS服务将SecLLM部署在云端，为客户提供基于订阅和API的服务。这种服务模式使客户无需自行部署和维护模型，而是通过云服务提供商直接使用模型的功能。●客户定制本地部署：SecLLM支持在客户自己的本地环境中部署，可以实现更高的数据处理性能和实时性，以满足特定的隐私、安全性或合规性需求。●大模型安全伦理保障：大模型安全伦理保障包括一系列措施，如确保大模型的使用符合道德和法律规范，保护用户隐私和数据安全，防范恶意行为和攻击等。SecLLM应用层的目标是解决安全场景中复杂的实际问题，涉及威胁检测、安全决策、安全运营等方面。以下是一些可能的应用举例：用户可以查询关于网络安全、隐私保护等方面的问题，并从模型的回答中获取专业的安全信息和建议。●安全运营助手：SecLLM可以作为安全运营助手，协助安全运营人员监测网络活动，识别潜在的威胁，生成告警和报告，并提供针对威胁的响应建议。这有助于提高安全运营的效率和准确性。●安全Copilot:SecLLM可以作为一个协作式工具置入已有系统中，担任团队的“安全副驾驶员”。安全Copilot可被用于分析大量的安全数据，为安全团队提供决策支持、威胁情报分析和事件响应建议，帮助团队更好地应对安全挑战。新技术：安全行业大模型结合安全知识库和协作其他安全工具，提高模型对特定安全问题的意图理解和专业分析。安全语料库的构建是安全行业大模型SecLLM构建中不可或缺的一环。安全数据双飞轮自运转机制(如图5)通过双线持续收集和处理安全数据构建高质量安全语料，循环迭代优情报整合报告生成意图理解分析研判日志解析方面LLM参数量较多，单个GPU显存有限，难以容纳大模型；另一方面LLM中运算操作的据或者模型分配到单台机器的多张GPU卡上或者多台机器的多张GPU卡上进行并行训练的PipelineY3梯度W1*XW2*XZeRO图6分布式训练方案在SecLLM分布式训练过程中，从不同的硬件资源及训练需求角度出发，有多种分布式训练方案可供选择，如图6所示，当训练集数据量较大时，可以通过数据并行方式提高训练效率，缩短训练时间；当SecLLM模型参数量较大时，可以通过张量并行、流水线并行以及ZeRO方式，将模型分配到多张GPU卡上，降低模型对GPU单卡的显存需求。3.3任务微调：安全下游任务高效微调随着模型变得越来越大，传统方法的全参数微调方法会产生数量庞大的梯度，尤其对于Transformer模型中的注意力层，其产生的梯度数量不仅与模型参数数量有关，还与输入长度呈平方相关。伴随庞大的梯度数量而来的，便是优化器状态产生的巨大RAM消耗和Backward操作的时间开销。hhWeightsWEIRdxdXrA=N(0,a2)为了缓解资源开销问题，就有了各种各样的参数高效微调应的提示文本(一般为前缀),提示文本可以人工设计，也可添加新词(扩充tokenizer词表和嵌入层维度);2、冻结预训练模型中的全部参数，但保留提示文本相关的嵌入层权重；3、运行模型并进行训练，专门优化这些提示文本对应token的嵌入向量。除此之外，还有参数高效微调方法能够极大降低训练资源开销，以LoRA为例，在2*A100配置的GPU主机上进行测试，对比添加适配器前后的ChatGLM2模型SFT训练过程RAM开销，如表1优化器目标CPU内存合计全部参数度和效率，例如剪枝、量化技术等。此外，在硬件方面也可以通过图形处理器(Graphics包括权重裁剪、通道裁剪、核裁剪等。知识蒸馏是获取高效小规模网络的方法，在2015年FPGA是大模型推理加速的另一种硬件加速器，根据需求重新安全行业大模型通过引入人类反馈强化学习(ReinforcementLearningfromHuman监督微调(SFT)模型奖励模型在安全运营场景中，将训练好的奖励模型RM作为SecLLM训练中的指导信号，引导3.6工具协同：复杂任务安全工具学习网络空间安全防御和分析任务是网络安全的关键环节，包括了网络威胁情报收集、威胁情报分析、网络攻击监测、网络安全事件响应等方面。在这个过程中，需要对各种网络攻击行为进行精准识别和分析，以及对系统漏洞和安全威胁进行识别和应对，涉及多任务、多系统、多源数据、多分析方法等综合的自动化能力，需要将复杂的安全任务分解为较小、可管理的子任务，并灵活地操作工具来完成每个子任务。大语言模型LLM作为连接多种安全工具或插件解决复杂安全任务的一个典型框架如下图所示。拓展检测能力拓展检测能力降噪收敛能力上下文画像能力：风险推荐能力反馈解释能力复杂查询能力知识图谱与图学习行为基线学习复杂行为建模鲁棒异常检测可解释规则抽取多模查询语言意图识别、模型选择任务调度、逻辑推理知识强化、语言交互CASSM威胁情报蜜罐(日志、告警.)典型的工具协同和学习范式主要包括几个核心逻辑单元，即工具集(ToolSet)、环境 其中，工具集是工具学习的目标和基础，是一组在领域内的专用能力集合，例如在安全运营场景下可以是各类分析工具、扫描工具、响应工具等等；环境是工具执行的基础平台及可交互的所有实体集合，例如安全运营中心及相关平台系统；控制器，是工具学习框架的“大脑”,通常使用基础模型进行建模。控制器的目的是提供一种可行且精确的计划，以使用工具来满足用户的请求。为此，控制器应当理解用户的意图以及意图与可用工具之间的关系，然后制定计划选择合适的工具来完成任务，在查询复杂且针对高级任务的情况下，控制器可能需要将任务分解为多个子任务，这需要基础模型具有强大的规划和推理能力；感知器作为交互界面和收集接口，接收用户的反馈和工具的执行结果，并形成环境和用户指令的摘要。大安全领域目前已积累大量的专用模型/工具来解决告警降噪、告警研判、溯源调查等新技术：安全行业大模型关键技术的安全专家模型/工具，将SecLLM作为意图理解和工具协同是解决复杂安全任务的一个可图11安全行业模型私域私密交互流程指标包括①问题与答案的相似度；②答案文本与大模型推理使用的相关文本的相似在关键技术突破的同时，绿盟科技开展了SecLLM在安全研究、情报分析、攻击检测与SecLLM通过持续积累和更新安全领域的数据和知识，下面简述SecLLM两个应用案例：基于SecLLM开展代码漏洞挖掘，通过学习大量代码4.1.1案例1:代码漏洞挖掘SecLLM可以高效地处理大量的代码数据，利用自身强大的学习能力和推理能力，快速基于SecLLM的代码审计和漏洞挖掘的应用方案如下图12所示：新实践：安全行业大模型赋能应用掘的不同任务进行微调，如静态分析、动态分析、漏洞检测等。●人机交互代码分析：负责提供一个友好和易用LUI问答界面，让用户可以方便地上传或输入代码，查看和下载分析报告，与SecLLM进行交互和反馈。数据收集和预处理检测结果输出数据收集和预处理代码输入一图12代码漏洞挖掘应用方案对于在语料中的已知威胁，SecLLM已经可以较好地进行检测。如下图13,请求参数id的值被直接拼接入SQL查询语句中并随后被执行，SecLLM正确地指出其中存在的SQL注入漏洞和具体的参数名称“id”。<?phpif(isset($REQUESTI'Submit'))){SresultmysqliquerySGLOBALSmysqlistonqueryordiepreisobjectSGmysqlierrorGLOBALSmysqlist//Getresultswhile(Srow=mysqlifetchassoc(Sresult)){//Getvalues$first=Srow["firstname']:$last=$row[lastname'];//Feedbackforenduser$html.='<pre>ID:{$id)<br/>Firstmysqlidose(SGLOBALS['mysqliston'D:ThiscodeappearstobevulnerabletoSQLinjectionattacks.Theisset(0functionisusedtocheckwhethertheSubmitparameterexistsintherequest,whichcouldallowattackerstoinjectmaliciousSQLcodeintothequerystring.Forexample,anattackercouldmodifytheidparametertoincudequotesaroundit,causingthequerytoreturnunexpectedresults.Alternatively,anattackercoulduseabackslashcharacterbeforethesinglequoteintheWHEREclausetoescapeit,allowingthemtoinsertSQLcodeevenfurtherintothequery.Tomitigatethisrisk,itwouldberecommendedtousepreparedstatementsinsteadofdirectlyembeddingSQLqueriesinPHPcode.Thiswouldinvolvecreatingaparameterizedquerywithplaceholdersforthevaluesbeingpassedin,ratherthanconcatenatingthevaluesdirectlyintothequerystring.Additionally,inputvalidationandsanitizationshouldbeperformedonalluserinputtopreventmaliciouscodefrombeinginjectedintothe:{$first}<br/>Surname:{$last}</pre>";图13代码SQL注入漏洞分析用户输入代码或代码片段时，SecLLM进行代码审计分析，返回分析结果和建议，如漏洞类型、风险等级、修复方案等。如下图14,给定代码中同时存在三个问题：文件路径注入漏洞、任意文件上传漏洞、异常详细信息泄露漏洞。SecLLM正确地指出了全部问题，并给出了对应的修复建议。Chatbotif(isset($POST["Upload'])){//Wherearewegoingtobewritingto?targetpathWEBPAGETORStargetpath.=basename($FILES['uploaded'I['name']);//Canwemovethefiletotheuploadfolder?path)){if(!moveuploadedfile($FILES['uploaded']['tmpname'],$path)){//No$html.='<pre>Yourimagewasnotuploaded.</pre>;else{//Yes!$html.='<pre>{$targetpath)succesfullyuploaded!</pre>";1.Injectionattacks:Theisset()functionusedintheifstatementmayallowforinjectionattacksiftheinputdataismaliciouslycrafted.Forexample,anattackercouldcraftaPOSTrequestwiththeUploadparametersettotrue,whichwouldthencausethecodetowritetotherootdirectoryratherthantheintendeduploadfolder.Thiscouldresultinsensitiveinformationbeingleakedoreventheexecutionofmaliciouscode.FileuploadvulnerabiltiesTheattackerweretouloadafilewithamaliciousextensionorname.Additionally,thecodedoesnotproperyhandleerrorswhenmovingthefiletotheuploaddirectory,leavingitvulnerabletopotentialdatalossorcorruption3.Lackoferrorhandling:Ifthereareanyerrorsduringthefiletransferprocess,thecodedoesnothandlethemproperly.Thiscouldresultinunexpectedbehaviororeventhescriptcrashing.Tomitigatetheserisks,itisrecommendedtomakethefollowingchanges:1.Usepreparedstatementsorparameterizedquerieswhendealingwithuserinputtopreventinjectionattacks.2.Validatetheuploadedfileagainstasetofexpectedcharacteristics(suchasfiletypeorsize)beforesavingittodisk.3.Handleerrorsmoregracefullybyprovidinginformativeerrormessagestotheuserandlogginganyissuesthatarise.4.1.2案例2:安全智能问答智能问答是大语言模型的基本应用场景。智能问答系统能够理解用户的提问，在答案中进行检索或者生成答案以满足用户的需要。在安全领域，智能问答系统的价值体现在其可以针对用户安全场景对安全专业知识、安全产品与解决方案等方面问题进行回答。基于SecLLM为安全专业人员和普通用户提供高质量、高效率、智能化的安全问题解答和支持，帮助他们更好地理解安全问题、协助做出安全决策。SecLLM如图15所示，首先需要引入安全语料库针对安全领域进行专门训练，让模型具备深度的安全专业知识。相比通用语言模型，它更了解安全术语、威胁模式、攻击技术和防御方法，能够准确理解和回答安全领域的问题。同时，安全专业问答中涉及的语言理解、信息查询、语言组织等诸多重要环节，都需要语言知识、常识知识以及领域知识的指导。安全知识图谱为绿盟科技多年积累的安全知识，非常适合作为外部知识源注入到SecLLM中。SecLLM可以利用知识图谱辅助问句理解，借助知识图谱中节点的属性及关系，通过相应技术发现问句中的实体，进而更好地理解用安全行业领域中的专业问答系统支持对用户所输入的安全问题进行意图理解，根据问题的上下文，分析输入问题的语义结构信息以及词语间的依存关系，准确把握问题的意图，提供更专业的回答。SecLLM完成意图理解后，通过图匹配从安全知识图谱检索相关的实体作为应答，同时通过信息检索获得文本应答，最后将实体应答与文本应答拼接形成回复答案。图15安全专业问答方案SecLLM经过针对安全领域的专门训练后，拥有丰富的安全专业知识，了解各种安全概念、攻击技术、防御方法、安全最佳实践等，能够回答涉及复杂安全问题的专业性知识。同时，SecLLM可以深入理解安全产品信息和解答各种安全产品相关的问题。用户通常希望得到实际的安全产品应用指导，SecLLM可以根据用户的需求提供个性化的建议和实用的操作指导。如下图16所示，SecLLM以图文并茂的方式给出安全产品RSAS的操作指导。【RSAS产品知识库V5-26】RSAS怎RSASRSAS怎么导出任务?当涉及安全语境理解时，SecLLM可以从上下文中理解特定安全问题的含义，提供更准确的回答和建议。SecLLM从用户提供的信息中识别潜在的安全威胁或攻击行为。例如，识别恶意软件行为、网络入侵迹象或社交工程攻击尝试等。SecLLM能够根据问题的上下文，理解问题的意图，并提供更准确和有针对性的回答。例如当用户咨询"发现漏洞CNNVD-201703-501怎么办?”,在回答关于安全漏洞的问题时，它会考虑到漏洞的严重性、影响范围和修复建议等，如下图17所示SecLLM答复中，从多个角度给出了有效建议。SecLLM在安全语境理解方面具有强大的能力，可以为安全专业人员和企业提供更准确、全面和有针对性的安全信息和建议，帮助提高安全防御水平，应对不断变化的安全威胁。发现漏洞发现漏洞CNNVD-201703-501怎么办如果您发现了漏洞CNNVD-201703-501,我们建议您立即采取以下措施来应对：-5033相关的安全问题而发布的。2.如果您使用的是Chrome浏览器，您还可以参考厂商提供的其他安全补丁来修复该漏洞。您可以访问以下随接3.此外，我们建议您保持系统和应用程序的更新，并定期检查厂商的安全公告和建议。这样可以帮助您及时了解并采职相应的安全措施来保护您的系统和数据。请注意，以上建议仅供参考。如果您需要更详细的信息或有其他疑问，4.2.1案例3:多源情报整合括但不限于设备、人员、组织、漏洞、事件等),分析其性质、热度、上下文，以及实体之间的关联性，综合考量后给出初步判断(包括其风险度、紧急度等内容),为情报分析提供基于SecLLM的多源情报融合在多来源多模态信息上有着出色的智能归纳和综合分析能力，有效地提高了情报信息的利用效率和价值，为决策者提供更全面、准确的情报信息《震惊!C地区发生大规模停电，20万人受影响》《50万台设备遭到勒索软件劫持》《D国拟举办某大型会议》《千万不要买某公司新产品》黑客1在社交账号上发布多条消息《某地节日氛围浓厚》《有图有真相，某明星地下恋情曝光》《电力行业常用软件发现新漏洞》某黑客组织网站活跃暗网出现大量售卖A国公民数据信息·历史上其他国家出现过类似情况，在半年后遭受大规模网络攻击历史经验多源数据某博客漏洞扫描教程传统方式某博客漏洞扫描教程传统方式新实践：安全行业大模型赋能应用SecLLM能够实现自然语言查询。用户无需牢记大量查询规则和语法，只需要使用自然语言描述出其需求。下面是一个交互实例降低查询门槛，用户想要查询A公司最近几天的0day漏洞，需要先从其他渠道搜索到具体的漏洞编号，才能进行查询，而在这个过程中往往会面对大量杂乱的网站和信息，降低了搜索效率；集成大语言模型后，只需要直接输入自然A公司的惊天漏洞是怎么回事呢?XXXXX震惊!A公司软件曝出惊天漏洞!A公司官网2018年7月A公司产品介绍广告震惊!A公司软件曝出惊天漏洞!CVE-XXXX-XXXXX小编也很震惊大模型集成这几天A公司产品的Oday漏洞图20基于SecLLM情报查询SecLLM可以作为情报整理助手，高效汇总多源信息，智能归纳整理，生成有价值的情报报告，极大地节省人力成本和时间，为决策提供全面精准的情报支持。4.2.2案例4:勒索情报挖掘勒索威胁情报分析需要解决勒索威胁情报来源的多样性、多维度勒索情报信息整合和复杂威胁特征分析和洞察等难题，还需要能够挖掘、揭示攻击者的策略和行为模式，预测可能的下一步攻击目标，这有助于安全团队更好地理解和应对勒索软件的威胁，提前制定防御策略。安全分析团队需要借助大模型技术提高对勒索威胁情报的分析能力，更好地保护网络和数据的安全。如图21展示了利用SecLLM做勒索威胁情报追踪的基本流程，SecLLM具备强大的安全语义理解和内容生成能力。SecLLM在勒索情报分析的主要应用可以分为：对收集的威胁情报进行文本主题分类、勒索相关情报的关键信息提取和提供勒索智能分析问答三个阶段。●威胁情报文本主题分类：通过勒索情报主题分类的方法，帮助快速定位和识别与勒索软件相关的情报，以帮助安全团队更好地了解勒索软件的种类和演变趋势，为安全策略的制定和威胁预警提供更全面的情报洞察。●勒索相关情报的关键信息提取：包括勒索软件的加密方式、攻击手段、利用漏洞、勒索情报地址和IOCs(IndicatorsofCompromise)等数据。这些信息可以帮助安全团队快速了解勒索事件的特征和威胁程度，以便及时采取相应的安全措施。●勒索智能分析问答：SecLLM作为一个强大的语言模型，可以为用户提供更全面、深入的答案。它可以理解用户的问题，并生成更具体、细致的回答，帮助用户深入了解勒索威胁，应对复杂的安全问题。APT组织勒索软件勒索情报信息抽取勒索智能分析问答勒索情报主题分类LockBitHiveREvil关系抽分析报告SecLLM在勒索威胁情报分析中的应用为决策者和安全团队提供更全面的威胁情报深入洞察，可以帮助决策者制定相应的安全策略和措施，优化安全防御，提高整体安全水平。针对上述勒索威胁情报收集和整合、关键信息抽取以及复杂威胁特征智能分析三个场景，SecLLM在勒索情报分析的应用效果如下所述。勒索情报主题分类：通过SecLLM模型对收集的威胁情报进行文本主题分类的过程。首先，将文本进行粗粒度分类，将其划分为不同的主题，如APT情报、勒索情报和战略情报等多个话题。这样可以新实践：安全行业大模型赋能应用将威胁情报按照其所属领域或类型进行初步归类。接下来，在勒索情报主题中，还可以进一步进行家族多分类。在这一步骤中，将勒索软件相关情报细分为多个家族，如图22所示按族，根据活跃时间排序并展示对应威胁报告数量，这样可以更精确地识别和归类不同类型的勤索家族名称关联报告数量上次活跃活跃状态操作2023-07-03校验组织信息BianLian12023-07-01校验组织信息CLOP22023-06-29校验组织信息◎HiveRoyal22023-06-112023-01-16offine校验组织信息校验组织信息第1-5条/总共15条1]23图22勒索软件家族概览勒索情报关键信息抽取：勒索情报信息抽取是对分类后的勒索情报进行进一步处理的过程，利用SecLLM模型从中提取勒索相关情报的关键信息。如图23展示了勒索软件家族部分关键信息，如告警图片、通过勒索情报信息抽取的过程，安全分析团队可以更高效地从海量的勒索情报中提取出有价值的信息，帮助他们更好地了解勒索威胁的特征和演变趋势，从而为安全决策和威胁应对提安全行业大模型SecLLM技术白皮书LockBit起源于俄罗斯，首次攻击于2019年9月被发现，遵循RaaS运营模式，赎金由LockBit开发人员团队和发起攻击的会多个成为全球最活跃的勒家病毒之一。ransomwareABCD,Lockbit2.0,Lockbit3.0,BitwiseSpider别名编程语言PRyuk,Egregor,BlackMatter,BlackCat,MedusaLocker,DarkSide相似组织countbry:Russiacountbry:Russia整合SecLLM大模型进一步增强了智能问答平台的能力。如图24所示，勒索报告智能分析平台将SecLLM从勒索威胁报告中提取的关键信息进行梳理，并用思维导图的方式进行展示，使安全分析人员更直观更便捷地获取对勒索报告的深入了解，另外基于SecLLM安全大模型开发的ChatReport提供了与勒索报告的智能问答应用，安全人员可以就勒索报告中的疑问，如勒索事件和加密算法等疑问进行咨询。新实践：安全行业大模型赋能应用SecLLM可以应用于攻防模拟中，协助防御团队分析攻击者的意图，提高防御的针对性，并为其提供防御策略和规划等建议。同时，SecLLM还能整合多种安全防御措施，构建多层次、多角度的全面防御体系。SecLLM在攻防模拟中的作用包括：●可以模拟复杂的攻防场景，如供应链攻击、钓鱼攻击、零日漏洞攻击等，全面评估特定场景的安全风险；●可以利用SecLLM的生成能力，产生多样化的攻击载荷、攻击路径、攻击策略等，提高攻击隐蔽性和成功率；的理解能力，分析目标系统的脆弱点、风险点、防御措施等，提高攻击效率和精准度，示例见下文4.3.2企业安全EASM评估；●通过不断攻防演练，SecLLM从历史数据和实时反馈中不断优化和更新攻击和防御技术，利用自身学习能力提高攻防智能化和适应性。4.3.1案例5:软件供应链安全软件供应链安全的需求涵盖了软件从源代码审查到交付和部署的整个过程，以确保软件在每个环节都是安全和可信的。这有助于减少潜在的威胁和漏洞，保护企业的数据和声誉。SecLLM的软件供应链安全分析解决方案是将SecLLM应用到软件供应链知识图谱的方法。SecLLM通过预训练获得了丰富的先验知识和强大的语义理解能力，结合知识图谱和SecLLM,不仅能有效融合软件供应链领域中的多源信息，还能运用LLM的语义理解能力来深入分析实体的上下文信息，进而提升模型对于软件供应链中实体与关系的语义理解水平。结合SecLLM和供应链知识图谱可以实现多种智能应用，如自动生成风险报告、知识图谱智能问答等，为运营人员在图谱上做更深入的安全分析提供了支持。图25是SecLLM应用于软件供应链安全的三层架构图，包括数据层、模型层和应用层。●数据层集成了软件依赖、漏洞影响范围、软件供应链公众号文章等多源异构数据，为知识图谱构建和SecLLM的微调提供了数据基础。●模型层实现了知识图谱与SecLLM的互补增强。SecLLM一方面使用软件供应链语料进行微调，使模型能理解和分析软件供应链子领域的知识，另一方面SecLLM使用其强大语义理解能力从语料中提取实体、关系数据，对图谱中的知识进行补全。知识图谱一方面将多源异构数据整合成便于关联分析的图数据，另一方面使用其高质量的领域知识数据对SecLLM进行训练，综合提升了模型的知识储备和图分析能力。●应用层结合知识图谱和SecLLM两大Al技术提供了三大应用，分别为风险报告生成、知识图谱智能问答、图谱优化。应用层软件健康评估方法敏感信息发现供应商风险管理对话系统实体补全指代消歧模型层软件供应链知识图谱数据层Git仓库代码、官方众号文章SecLLM新实践：安全行业大模型赋能应用SecLLM在软件供应链安全中的应用可以完成信息抽取、供应链健康评分、供应链敏感信息抽取SecLLM具备的海量先验安全知识可以实现信息抽取任务。软件供应链领域涉及众多的非结构化数据源，如CVE、NVD、CNNVD等开源漏洞库、漏洞Twitter、安全通告等数据。SecLLM可以自动化将多源数据处理成结构化数据存入知识图谱中，从而对知识图谱中的缺失节点、关系进行信息补全。promptprompt:[noprose][justoutputjson][resultjsonplsfollowthisstruct(alsoifappearmanystructobjplsreturnarrayforjson):[{"Component":"Thisisariskycomponent","Vendor":"Thisisariskysoftwaresupplychainvendor","Product":"chosewhichone:email/qq/wechat/mobilephone/phone","Version":"ThisistheversionofthesoftwareVersionsofPlonethataredependentonProducts.ATContentTypespriortoversion3.0.6arevulnerabletoreflectedcrosssitescriptingandopenredirectwhenanattackercangetacompromisedversionoftheimageviewfullscreenpageinacache,forexampleinVarnish.Thetechniqueisknownascachepoisoning.}}"output:{"Component":"Products.ATContentTypes","Vendor":"plone","AttackTypes":["openredirect",]}供应链健康评分供应链健康评分主要根据两方面数据进行建模，其一为开源软件的社区热度、影响范围、版本维度频率、安全风险等结构化数据，其二为开源软件的issue文本、版本描述、更新信息等非结构化文本。SecLLM先对非结构化文本进行向量化操作，获取非结构化文本中的语义特征，然后融合语义特征和结构化字段构建健康评分模型，最后，SecLLM分别考虑了社区热度、安全风险、影响范围、版本维护等多维信息，为供应链软件的健康程度提供了综合Tips社区热度文件数据Tips安全风险组件感染的最高cvss评分为0.0,无风险组件无直间接感染漏洞组件的top5感染漏洞的cvss平均分为0.0,无风险组件的top5感染漏洞的平均依赖度数为0.0,离漏洞较近Tips版本维护组件的该版本更新时间距今1000天，大于一年，版本较老组件的最新版本更新时间距今1000天，该组件已超过一年未更新组件该版本为补丁版本更新组版本维护图27报告生成中的健康评分供应链敏感信息发现敏感信息是资产脆弱性分析的重要维度。SecLLM可以对开源供应链的git仓库、组件官方公告、相关供应链公众号文章进行敏感信息抽取，例如电话、邮箱、身份证、IP、银行卡、等敏感实体类型，以扩充供应链图谱的敏感信息，进而有利于资产风险发现。4734:80HTTP80504>4709:80HTTP80200>mysql0947:80HTTP80404>newtouchcommysql0646:80HTTP80200>rabbitmq4951:443HTTPS4434033389:8090HTTP80902001647:80HTTP802004506:80HTTP804040149:80HTTP809933:80HTTP80图28供应链安全敏感信息发现新实践：安全行业大模型赋能应用智能问答SecLLM可以提高软件供应链知识图谱智能问答能力(如图29),基于图谱的智能问答包括自然语言理解、图查询语言生成、答案生成三个步骤。首先将多模态的图片、文字等问题转化机器可理解的语义表示，该步骤可以使用SecLLM来进行问题编码；然后SecLLM将用户的提问转化为图上的查询语言实现图上的查询操作，如Cypher、Gremlin等查询语言，得到查询输出的节点或关系数据；最后SecLLM将图查询得到的节点和关系数据重构成自然语言答案，最终输出给用户作为问答的结果。基本信息基本信息上游依赖下游依赖版本node.js.Inaffectedversionsdefaultfilereadable-stream@1.1readablestreecket2aparserg2.3.2has-binary@0.1.依额mah2依赖readablescetisstigperser@2.1.4permissionsforlogfilescreatedbiflogfilescontainsensitiveinformationTwouldaffectanyusersththeirownpermissionsforthefilesviatheadvisedtoupdate.图29基于SecLLM的供应链图谱智能问答4.3.2案例6:企业EASM评估外部攻击面管理(ExternalAttackSurfaceManagement,EASM)是企业安全评估中不可忽视的能力。企业安全EASM评估对企业的外部攻击面进行全面的管理和评估，包括发现、监测和缓解外部攻击可能的入口。EASM确保企业的应用程序在安全性、合规性、风险管理和应急响应等方面得到有效的管理和保护。利用SecLLM开展EASM外部攻击面管理是一种创新尝试，希望更好地识别、评估和管理外部攻击面，从而提高网络安全的整体防御能力。如图30所示，SecLLM站在潜在攻击者的角度来持续不断地审视与管理组织资产和薄弱环节，包括以下三部分：●持续监控和全面收集数据：能够帮助组织监控和处理多种数据，包括社交媒体、SSL证书、域名信息、漏洞数据库、违规数据集、深网\暗网资源、代码存储库等。不同数据整合到SecLLM,快速识别和清理无效信息，收集和整理与组织相关的公开可见信息。●SecLLM与威胁情报分析：将SecLLM与威胁情报数据相结合，对外部攻击面进行威胁分析。通过与威胁情报数据的对比，可以及时发现可能受到攻击的系统和服务，有效协助组织及时进行攻击面收敛。●外部攻击面评估：利用大模型进行数据分析和挖掘，对组织的外部攻击面进行评估。SecLLM将合适的数据和技术工具起来，对各种风险进行排序，可以发现潜在的漏洞、安全风险和脆弱性，帮助安全团队识别潜在的攻击入口、攻击路径等。供应链高危漏洞潜在攻击路径SecLLM信息资产信息泄露更好理解并生成企业供应链情报信息。如图31所示，SecLLM对招投标公告进行梳理分析获得详细的关系信息，评估组织的供应链和第三方有关的脆弱性及可见性，以支持评估组织的暴露风险。tendereetenderee某某xXx委员会organization股东organization需某xxx有限公司tenderorganizationorganizationorganizationorganizationtendertenderopenopenopenopenNSFOCUS|安全行业大模型SecLLM技术白皮书ipv4addrexposeexpose4937庸高高高{EZ:'82710}5333图32服务潜在漏洞高危漏洞推荐SecLLM基于持续监控和全面收集数据的分析，预测可能的攻击链路，自动排列优先级。如图33所示，利用SecLLM对外部攻击面中的系统和服务进行安全漏洞分析，可以帮助提高漏洞扫描的效率和准确性，快速发现潜在的漏洞问题，并分析潜在攻击路径，对风险和漏洞进行优先级排序，并根据优先级排序分析提供预警。service--d86e30e352b84dc7305795b529699c06④Q通过SecLLM生成智能化的外部攻击面评估报告，帮助发现和解决潜在的安全威胁，降低系统被攻击的风险，从而保护组织的重要数据和业务不受损害。SecLLM将发现的安全问题和建议措施呈现给安全团队和决策者，帮助组织更好地了解自身的安全状况，及时采取措施加强防御。4.3.3案例7:智能攻防对抗演练攻防演练是模拟真实攻击和防御情景的训练活动。场景涵盖网络入侵、恶意代码、数据泄露等多种攻击，并验证团队的应急反应，以使组织能够迅速、高效地应对真实威胁。通过训练活动帮助组织有效地应对现实中的安全威胁和攻击，提升整体的安全性和应急响应能力。基于大模型的智能体通过自动对抗，形成长期自主进化的攻防对抗能力。这一能力源于模型在复杂攻防环境中的训练和学习，它能够识别并适应新的威胁，不断调整策略以有效应对不断变化的攻击技术。输入攻防演练需求，通过模拟各类攻击和防御情景，基于SecLLM的智能体不仅学习攻击方法，还能掌握多种防御策略，从而逐步形成多样化的应对能力。SecLLM智能体可以快速感知威胁，做出智能决策，并将决策转化为实际行动，从而提高安全防御和响应的效率和新实践：安全行业大模型赋能应用漏洞和弱点。通过模拟真实的攻击，组织可以验证自身的安全防御策略和措施是否足够有效，从而做出相应的调整和改进。全局规划X正面突破网络边界 确定防御策略优化：SecLLM能够分析攻击者的行为和策略，从中洞察攻击的潜在模式和趋势。并模拟攻击的紧急情况(如下图所示),让安全团队在模拟的攻击中进行实时应对。组织可以利用这些分析结果来优化防御策略，加强弱点的保护，提高系统的整体安全性。IPATT*cv.24250永恒变违改击IPIPIP10.120,10,121MS8赤攻击cvE-20M₅O8用IPIP图36攻防策略分析新型威胁预测与检测：SecLLM可以学习不断变化的攻击方式和趋势，预测未来可能出现的新型威胁。通过持续的学习和分析，SecLLM能够提前发现新的攻击模式，帮助组织做好相应的准备和防范。图37自博弈Al对抗训练攻防博弈过程中通过模拟真实攻击，可以帮助组织发现内部和外部的潜在威胁，包括已知和未知的攻击方式。如下图为与指挥和控制(C2)连接的代理、运行中的操作以及与代理相关的每个操作步骤的图形显示。通过模拟各种入侵行为，以测试系统的入侵检测和防御能力。通过攻防对抗，可以不断优化入侵检测算法，提高系统的抵御能力。windowswindowsoperation图38攻防模拟攻击基于SecLLM的智能安全运营能够自动解析和解读复杂的日志数据，并提供智能研判告4.4.1案例8:安全日志智能解析Chatbot{'alerttype':"startrack",'protocol':6,"direct':4,"action":0,"acted":0,"sip":"60*,'sport":43234,"dip':"47',"dport":80,"timestamp':1587847230,"rawlen':1800,"rawinfo图39SecLLM日志解析SecLLM需要在应对前所未见的日志时稳定发挥解析能力，帮助保障网络安全，防范新型威胁的侵害。通过数据增强方法增加训练日志数据的多样性，从而增强模型的泛化能力。如图40所示，输入华为交换机的攻击日志进行分析如下，能够以列表形式解析每一个项目。由于训练集中未包含这种攻击类型，SecLLM并未给出攻击的具体类型描述，但这并不影响NovBXQSECEARPMISSAttackoccurredAttackT基于规则将各种日志的解析内置SIEM系统，遇到新的日志时就需要补充新的解析规则。为了减少这部分工作量，一种方案是，可以把目前SIEM系统的解析日志和规则的收集收集起来进行SecLLM的微调，使得SecLLM可以自动化生成解析规则用于新的日志。实验发现这部分规则数据量并不大，微调效果并不是很多，后续有待在微调数据和微调方案上进一步改进。另一种方案是，通过综合分析新型日志的内容，如果SIEM可以正确解析不同的日志，理应可以直接跳过现有解析规则，直接把解析完毕的日志结果转化为JSON格式对接SIEM系统，使其能够准确地提取有用的信息，并将其转化为可供安全分析和威胁检测的形式，也即将SecLLM加强日志解析的能力直接输入到SIEM系统，由SIEM系统提供日志检索和进一步威胁分析。"msgtype":"13","direction":"4","action":0,_"port":80,"timestamp":1587847230000,"payload":"GET/v1/yq1?crossProduct=optimizedlenv=store%3AX2F%2Fy8kbem5LYN3AXbLbrDFnAp&q=select%20%2AX20fromX20yq1.query.multi%20whereX20queriesk3D%22selectX20city%2"1ogmessage":"Veb服务远程SQL注入攻