本发明属于网络安全,具体涉及一种基于大语言模型的恶意代码智能检测方法及系统。
背景技术:
1、随着计算机技术的深入发展,网络日益深入人们的生活并带来了巨大的便利,但同时也给很多不法分子利用网络漏洞制造并传播木马病毒、窃取用户的隐私敏感信息和造成网络瘫痪等机会,给信息化社会的发展带来了巨大的阻碍。恶意代码检测技术通过收集操作系统、应用程序等使用过程中产生的数据,通过分析监测程序运行中的代码,发现系统或者局域网内违背安全策略或者危及系统和网络安全的形为,能够及时有效的检测到黑客的网络攻击,给用户提供预警信息并及时做好安全防护。
2、恶意代码检测技术自被提出应用以来,经过数十年的发展演化出丰富的检测方法,目前应用较为广泛的主要是基于深度学习技术的恶意代码检测技术。2023年,pbhat等人提出了一种静态分析方法,使用各种机器学习和深度学习算法来检测恶意和良性android应用程序,结果实验发现dbn和mlp的深度学习算法在检测恶意android应用程序方面优于传统的机器学习算法。pg balikcioglu等人则使用长短期记忆(long short termmemory,lstm)和自然语言处理(natural language processing,nlp)相结合的方法解决恶意软件检测问题,对不同的基本单元(指令、基本块、方法和类)以及从三种常用反汇编工具(jeb、ida和apktool)获得的源代码进行了实验并取得了理想的效果。sc ngwobia等人基于合成的dna数据集,来训练作者提出的模型。合成的dna数据集由使用逆向工程和跟踪工具从恶意软件感染前后的非恶意程序(.exe、.dll等)行为中提取的显着特征(动态和静态)组成,实验显示模型在检测和分类面向pe的恶意软件方面达到了99%和99.6%的准确率,达到了非常好的效果。
3、但是,在使用现有技术过程中,发明人发现现有技术中至少存在如下问题:
4、深度学习技术需要海量的数据作为输入才能达到深度学习算法的理想状态,并且其复杂的网络结构和大量的参数会在模型训练和参数调整时大量消耗算力和系统资源,使得该技术应用于恶意代码检测领域的前期成本过高。同时,当前大多的恶意代码检测模型缺乏持续学习的能力,只能检测训练资源内所固有的网络攻击类型,而对于新型的攻击则欠缺很好的检测能力,难以跟进网络内日益复杂多样的攻击样式。
技术实现思路
1、本发明旨在至少在一定程度上解决上述技术问题,本发明提供了一种基于大语言模型的恶意代码智能检测方法、系统、设备及产品。
2、为了实现上述目的,本发明采用以下技术方案:
3、第一方面,本发明提供了一种基于大语言模型的恶意代码智能检测方法,包括:
4、获取预训练大语言模型,并将所述预训练大语言模型作为初始恶意代码检测模型;
5、获取恶意代码检测样本任务,并基于所述恶意代码检测样本任务对所述初始恶意代码检测模型进行参数微调,得到微调后恶意代码检测模型;
6、获取指定提示模板,并基于所述指定提示模板对所述微调后恶意代码检测模型进行精调,得到最终恶意代码检测模型;
7、获取待检测恶意代码及其附加信息,并根据所述待检测恶意代码及其附加信息构建得到恶意代码检测任务;
8、将所述恶意代码检测任务输入所述最终恶意代码检测模型,以便得到与所述待检测恶意代码匹配的恶意代码检测结果。
9、在一个可能的设计中,所述预训练大语言模型采用codebert模型。
10、在一个可能的设计中,所述恶意代码检测样本任务采用ember数据集。
11、在一个可能的设计中,基于所述恶意代码检测样本任务对所述初始恶意代码检测模型进行参数微调,得到微调后恶意代码检测模型,包括:
12、在所述初始恶意代码检测模型的transformer层的自注意力头部分增加一个旁路模块;
13、冻结所述初始恶意代码检测模型的模型参数,并基于所述恶意代码检测样本任务对所述旁路模块进行训练,得到所述旁路模块的训练后旁路参数;
14、将所述训练后旁路参数与所述模型参数进行合并,得到微调后模型参数;
15、将所述初始恶意代码检测模型的模型参数替换为所述微调后模型参数,得到微调后恶意代码检测模型。
16、在一个可能的设计中,所述旁路模块的训练后旁路参数包括训练后降维矩阵和训练后升维矩阵;
17、所述微调后模型参数为:
18、;
19、式中,为所述模型参数,为所述模型参数的矩阵行数,为所述模型参数的矩阵列数;为所述训练后旁路参数;为所述训练后旁路参数中的训练后降维矩阵;为所述训练后旁路参数中的训练后升维矩阵;为超参数,为对所述训练后降维矩阵和所述训练后升维矩阵的预设的秩。
20、在一个可能的设计中,得到最终恶意代码检测模型后,所述方法还包括:
21、获取指定功能代码,以便所述最终恶意代码检测模型对所述指定功能代码进行调用。
22、在一个可能的设计中,所述恶意代码检测结果包括所述待检测恶意代码的代码类型、攻击类型和判断依据。
23、第二方面,本发明提供了一种基于大语言模型的恶意代码智能检测系统,用于实现如上述任意一项所述的基于大语言模型的恶意代码智能检测方法;所述基于大语言模型的恶意代码智能检测系统包括:
24、初始模型获取模块,用于获取预训练大语言模型,并将所述预训练大语言模型作为初始恶意代码检测模型;
25、模型微调模块,与所述初始模型获取模块通信连接,用于获取恶意代码检测样本任务,并基于所述恶意代码检测样本任务对所述初始恶意代码检测模型进行参数微调,得到微调后恶意代码检测模型;
26、模型精调模块,与所述模型微调模块通信连接,用于获取指定提示模板,并基于所述指定提示模板对所述微调后恶意代码检测模型进行精调,得到最终恶意代码检测模型;
27、待检测任务获取模块,与所述模型精调模块通信连接,用于获取待检测恶意代码及其附加信息,并根据所述待检测恶意代码及其附加信息构建得到恶意代码检测任务;
28、检测模块,与所述待检测任务获取模块通信连接,用于将所述恶意代码检测任务输入所述最终恶意代码检测模型,以便得到与所述待检测恶意代码匹配的恶意代码检测结果。
29、第三方面,本发明提供了一种电子设备,包括:
30、存储器,用于存储计算机程序指令;以及,
31、处理器,用于执行所述计算机程序指令从而完成如上述任意一项所述的基于大语言模型的恶意代码智能检测方法的操作。
32、第四方面,本发明提供了一种计算机程序产品,包括计算机程序或指令,所述计算机程序或所述指令在被计算机执行时实现如上述任意一项所述的基于大语言模型的恶意代码智能检测方法。
33、本发明的有益效果为:
34、本发明公开了一种基于大语言模型的恶意代码智能检测方法、系统、设备及产品,可降低恶意代码检测的成本,同时可实现对网络攻击的实时检测,具备更优的检测率。具体地,针对网络攻击变种速度快,传统模型难以进行知识更新和检测新型攻击的问题,本发明通过对预训练大语言模型进行参数微调和精调处理,以得到最终恶意代码检测模型,在此过程中,最终恶意代码检测模型的获取成本较低,同时利用大语言模型技术上下文理解、特征捕获的优势,使用增量知识微调预训练大语言模型,并进一步使用指定提示模板对模型进行精调,由此可使得得到的最终恶意代码检测模型能够具备与攻击相当的演化速度,并使其对新型攻击具备良好的检测效果。
35、本发明的其他有益效果将在具体实施方式中进一步进行说明。
1.一种基于大语言模型的恶意代码智能检测方法,其特征在于,包括:
2.根据权利要求1所述的一种基于大语言模型的恶意代码智能检测方法,其特征在于,所述预训练大语言模型采用codebert模型。
3.根据权利要求1所述的一种基于大语言模型的恶意代码智能检测方法,其特征在于,所述恶意代码检测样本任务采用ember数据集。
4.根据权利要求2所述的一种基于大语言模型的恶意代码智能检测方法,其特征在于,基于所述恶意代码检测样本任务对所述初始恶意代码检测模型进行参数微调,得到微调后恶意代码检测模型,包括:
5.根据权利要求4所述的一种基于大语言模型的恶意代码智能检测方法,其特征在于,所述旁路模块的训练后旁路参数包括训练后降维矩阵和训练后升维矩阵;
6.根据权利要求1所述的一种基于大语言模型的恶意代码智能检测方法,其特征在于,得到最终恶意代码检测模型后,所述方法还包括:
7.根据权利要求1所述的一种基于大语言模型的恶意代码智能检测方法,其特征在于,所述恶意代码检测结果包括所述待检测恶意代码的代码类型、攻击类型和判断依据。
8.一种基于大语言模型的恶意代码智能检测系统,其特征在于,用于实现如权利要求1至7中任意一项所述的基于大语言模型的恶意代码智能检测方法;所述基于大语言模型的恶意代码智能检测系统包括:
