本文件涉及计算机,尤其涉及一种任务命令的处理方法、装置及设备。
背景技术:
1、随着网络安全态势日益严峻,以及人们对自己的隐私数据越来越重视,恶意代码的数量和种类不断增加,极大增加了安全运营中人工审核的负担。尽管入侵检测系统(intrusion detection system,ids)可以捕获并预警可疑的恶意代码,但安全运营人员在理解这些恶意代码时面临挑战。近年来,大语言模型(large language model,llm)的发展为恶意代码所用技术和战术的分析提供了可能性。
2、然而,现有的通用llm在恶意代码解释任务中存在专业知识缺乏、产生幻觉的情况,因此,如何利用大语言模型的分析能力对恶意代码所用技术和战术进行分析是亟需解决的重要课题。为此,需要提供一种更优的利用大语言模型的分析能力对恶意代码所用技术和战术进行分析的技术方案。
技术实现思路
1、本说明书实施例的目的是提供一种更优的利用大语言模型的分析能力对恶意代码所用技术和战术进行分析的技术方案。
2、为了实现上述技术方案,本说明书实施例是这样实现的:
3、本说明书实施例提供的一种任务命令的处理方法,所述方法包括:拦截待执行的任务命令。基于所述任务命令,生成相应的命令提示信息,并将所述命令提示信息输入到大语言模型中,得到所述任务命令的行为描述信息。将所述任务命令的行为描述信息输入到预先训练的编码器中,得到所述任务命令的行为描述信息对应的编码信息。基于所述任务命令的行为描述信息对应的编码信息与技战术知识库中的每个基准攻击技术描述信息对应的编码信息之间的相似度,和/或,所述任务命令的行为描述信息对应的编码信息与所述技战术知识库中每个基准攻击战术中包含的基准攻击技术描述信息对应的编码信息之间的相似度,判断所述任务命令是否为存在预设攻击风险的命令,并根据判断结果输出是否继续执行所述任务命令的指示。
4、本说明书实施例提供的一种任务命令的处理装置,所述装置包括:命令拦截模块,拦截待执行的任务命令。行为描述确定模块,基于所述任务命令,生成相应的命令提示信息,并将所述命令提示信息输入到大语言模型中,得到所述任务命令的行为描述信息。第一编码模块,将所述任务命令的行为描述信息输入到预先训练的编码器中,得到所述任务命令的行为描述信息对应的编码信息。任务命令检测模块,基于所述任务命令的行为描述信息对应的编码信息与技战术知识库中的每个基准攻击技术描述信息对应的编码信息之间的相似度,和/或,所述任务命令的行为描述信息对应的编码信息与所述技战术知识库中每个基准攻击战术中包含的基准攻击技术描述信息对应的编码信息之间的相似度,判断所述任务命令是否为存在预设攻击风险的命令,并根据判断结果输出是否继续执行所述任务命令的指示。
5、本说明书实施例提供的一种任务命令的处理设备,所述任务命令的处理设备包括:处理器;以及被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:拦截待执行的任务命令。基于所述任务命令,生成相应的命令提示信息,并将所述命令提示信息输入到大语言模型中,得到所述任务命令的行为描述信息。将所述任务命令的行为描述信息输入到预先训练的编码器中,得到所述任务命令的行为描述信息对应的编码信息。基于所述任务命令的行为描述信息对应的编码信息与技战术知识库中的每个基准攻击技术描述信息对应的编码信息之间的相似度,和/或,所述任务命令的行为描述信息对应的编码信息与所述技战术知识库中每个基准攻击战术中包含的基准攻击技术描述信息对应的编码信息之间的相似度,判断所述任务命令是否为存在预设攻击风险的命令,并根据判断结果输出是否继续执行所述任务命令的指示。
6、本说明书实施例还提供了一种存储介质,所述存储介质用于存储计算机可执行指令,所述可执行指令在被处理器执行时实现以下流程:拦截待执行的任务命令。基于所述任务命令,生成相应的命令提示信息,并将所述命令提示信息输入到大语言模型中,得到所述任务命令的行为描述信息。将所述任务命令的行为描述信息输入到预先训练的编码器中,得到所述任务命令的行为描述信息对应的编码信息。基于所述任务命令的行为描述信息对应的编码信息与技战术知识库中的每个基准攻击技术描述信息对应的编码信息之间的相似度,和/或,所述任务命令的行为描述信息对应的编码信息与所述技战术知识库中每个基准攻击战术中包含的基准攻击技术描述信息对应的编码信息之间的相似度,判断所述任务命令是否为存在预设攻击风险的命令,并根据判断结果输出是否继续执行所述任务命令的指示。
7、本说明书实施例还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下流程:拦截待执行的任务命令。基于所述任务命令,生成相应的命令提示信息,并将所述命令提示信息输入到大语言模型中,得到所述任务命令的行为描述信息。将所述任务命令的行为描述信息输入到预先训练的编码器中,得到所述任务命令的行为描述信息对应的编码信息。基于所述任务命令的行为描述信息对应的编码信息与技战术知识库中的每个基准攻击技术描述信息对应的编码信息之间的相似度,和/或,所述任务命令的行为描述信息对应的编码信息与所述技战术知识库中每个基准攻击战术中包含的基准攻击技术描述信息对应的编码信息之间的相似度,判断所述任务命令是否为存在预设攻击风险的命令,并根据判断结果输出是否继续执行所述任务命令的指示。
1.一种任务命令的处理方法,所述方法包括:
2.根据权利要求1所述的方法,所述基于所述任务命令,生成相应的命令提示信息,包括:
3.根据权利要求2所述的方法,所述子提示信息包括任务命令示例和所述任务命令示例对应的行为描述信息示例。
4.根据权利要求1所述的方法,基于所述任务命令的行为描述信息对应的编码信息与技战术知识库中的每个基准攻击技术描述信息对应的编码信息之间的相似度,以及,所述任务命令的行为描述信息对应的编码信息与所述技战术知识库中每个基准攻击战术中包含的基准攻击技术描述信息对应的编码信息之间的相似度,判断所述任务命令是否为存在预设攻击风险的命令,包括:
5.根据权利要求4所述的方法,所述基于所述任务命令的行为描述信息对应的编码信息与所述技战术知识库中每个基准攻击战术中包含的基准攻击技术描述信息对应的编码信息之间的相似度,确定所述任务命令对应的基准攻击战术信息,包括:
6.根据权利要求5所述的方法,所述方法还包括:
7.根据权利要求6所述的方法,所述获取针对预设任务命令样本构建的训练样本,包括:
8.根据权利要求1-7中任一项所述的方法,所述技战术知识库包括att&ck知识库,所述任务命令为在预设的操作系统中执行预设操作的字符或指令构成的命令。
9.一种任务命令的处理装置,所述装置包括:
10.一种任务命令的处理设备,所述任务命令的处理设备包括:
