摘要
本发明提出一种基于大型语言模型的APT攻击检测方法,包括以下步骤:S1、从操作系统的内核审计日志中提取原始系统调用事件数据,并进行数据预处理;S2、基于大型语言模型构建多模型协同检测架构,并通过提示构建、模型微调和置信度评分机制,根据预处理后的数据实现网络实体的细粒度分类;S3、基于多模态特征关联建模构建自适应图搜索算法,驱动攻击路径拓扑重构,实现恶意子图拓扑结构的最大化还原;S4、结合MITRE ATT&CK战术知识库构建循环增强分析框架,采用循环增强技术驱动大型语言模型执行层级式关联推理,逐步推导恶意子图至攻击战术及战术链的映射关系,最终生成攻击报告总结及针对性防御策略。本发明实现了高准确率和高可解释性的APT攻击检测。
