本發(fā)明涉及一種基于大語言模型的云端智能主動防御方法，屬于主動防御。

背景技術(shù)：

1、云計(jì)算的快速發(fā)展使其成為面向服務(wù)計(jì)算的重要范式，其誕生源于互聯(lián)網(wǎng)時代日益增長的對大規(guī)模數(shù)據(jù)處理的需求，如今，云計(jì)算憑借著高效性、可擴(kuò)展性、高成本效益和與地理位置無關(guān)的云端資源訪問能力，被廣泛應(yīng)用于各行各業(yè)，日益與個人的生活緊密相連。然而，云計(jì)算的普及和其復(fù)雜性增加，也帶來新的安全挑戰(zhàn)。

2、云計(jì)算各種組件，如網(wǎng)絡(luò)、架構(gòu)、api和硬件等的多樣性和復(fù)雜性引起人們對安全的高度擔(dān)憂，由于使用了標(biāo)準(zhǔn)的互聯(lián)網(wǎng)協(xié)議和虛擬化方法，云計(jì)算組件很容易收到潛在的安全漏洞威脅。根據(jù)已有研究，傳統(tǒng)的網(wǎng)絡(luò)環(huán)境中可能出現(xiàn)的威脅在云端環(huán)境中同樣存在，比如ip欺騙、地址解析協(xié)議(arp)攻擊、分布式拒絕服務(wù)(ddos)攻擊等，對云服務(wù)構(gòu)成重大威脅；同時，云平臺的多租戶環(huán)境帶來的安全風(fēng)險也日益嚴(yán)重，攻擊者可以通過共駐攻擊、側(cè)信道攻擊等方式突破隔離措施，影響到整個云平臺安全性；此外，層出不窮的零日攻擊，也給傳統(tǒng)的防御方案帶來巨大挑戰(zhàn)。

3、為了應(yīng)對上述威脅，已有若干主動防御方案被提出，包括移動目標(biāo)防御(mtd)、欺騙防御、擬態(tài)防御等，這些方法強(qiáng)調(diào)在攻擊前或攻擊期間通過自動化和自適應(yīng)的機(jī)制主動識別、預(yù)警和響應(yīng)威脅，從而有效降低安全風(fēng)險并減少潛在損失。這些解決方案在一定程度上克服了傳統(tǒng)防御方案的缺點(diǎn)，但是云端環(huán)境的動態(tài)變化(例如網(wǎng)絡(luò)拓?fù)?、虛擬容器配置實(shí)時更新等)和攻擊范圍的廣泛(分布式架構(gòu)使得攻擊面增加)，致使任何特定策略難以適用于時變的云服務(wù)場景，而且，目前防御決策和部署主要依賴于啟發(fā)式、機(jī)器學(xué)習(xí)或者深度學(xué)習(xí)算法，迫切需要一種新型、智能且適應(yīng)性強(qiáng)的防御技術(shù)改進(jìn)云環(huán)境中主動防御策略。

4、大語言模型(llm)作為生成基礎(chǔ)模型(gfm)的典型案例，對學(xué)術(shù)研究和工程應(yīng)用領(lǐng)域產(chǎn)生了深遠(yuǎn)影響，其可以通過上下文學(xué)習(xí)和提示詞工程理解防御需求，將復(fù)雜任務(wù)分解為子模塊，通過其逐步的推理和反思能力自適應(yīng)的解決防御任務(wù)，并根據(jù)豐富的先驗(yàn)知識做出防御決策?；谶@些優(yōu)勢，已有研究利用llm作為網(wǎng)絡(luò)安全知識專家，開發(fā)漏洞挖掘和代碼修復(fù)等自動化安全工具，可見利用llm賦能主動防御技術(shù)能為動態(tài)的云安全場景全面防護(hù)提供可行方案。

技術(shù)實(shí)現(xiàn)思路

1、為解決上述問題，本發(fā)明提出了一種基于大語言模型的云端智能主動防御方法。首先，我們利用llm自動調(diào)用多種安全工具采集和重建云平臺網(wǎng)絡(luò)數(shù)據(jù)，實(shí)現(xiàn)了自動化、易擴(kuò)展的云端網(wǎng)絡(luò)數(shù)據(jù)采集工具。對采集得到數(shù)據(jù)解析后，基于llm文本理解能力實(shí)現(xiàn)了對云端環(huán)境的智能危險評估和故障檢測。隨后，我們分解防御任務(wù)為多個子任務(wù)并調(diào)用llm進(jìn)行推理和防御決策，在考慮安全指標(biāo)基礎(chǔ)上，能夠充分保障資源利用和用戶體驗(yàn)。同時，通過llm的編程能力，實(shí)現(xiàn)了防御策略的自動化部署和更新。最后，llm對防御策略執(zhí)行資源消耗和服務(wù)質(zhì)量的評估和反饋，逐步了提升本方法的綜合防護(hù)能力。采用本研究公開的技術(shù)方案，可以為云平臺提供全面、智能且應(yīng)對未知威脅的能力，顯著提高云平臺安全性。

2、本發(fā)明采用如下技術(shù)方案：基于大語言模型的云端智能主動防御方法，所述方法包括以下步驟：

3、步驟(1)：數(shù)據(jù)采集和重建，

4、步驟(2)：狀態(tài)和危險評估，

5、步驟(3)：任務(wù)推理和決策，

6、步驟(4)：防御部署和執(zhí)行，

7、步驟(5)：效果評估和反饋。

8、其中，所述步驟具體內(nèi)容如下：

9、步驟(1)：數(shù)據(jù)采集和重建，具體如下，將llm作為數(shù)據(jù)采集器，通過提示詞設(shè)計(jì)采集和重建任務(wù)，包括采集時間、可調(diào)用工具、采集內(nèi)容、輸出格式等，然后利用llm的函數(shù)調(diào)用功能或者代碼編寫能力自適應(yīng)的調(diào)用對應(yīng)安全工具采集網(wǎng)絡(luò)數(shù)據(jù)，并使用llm對數(shù)據(jù)進(jìn)行聚合和去冗，之后提取數(shù)據(jù)中關(guān)鍵信息生成目標(biāo)網(wǎng)絡(luò)的安全簡報，最后將數(shù)據(jù)輸出為指定輸出格式(json、csv等)，

10、步驟(2)：狀態(tài)和危險評估，具體如下，首先，llm讀取步驟(1)中得到的數(shù)據(jù)文件并提取系統(tǒng)硬件、網(wǎng)絡(luò)、和應(yīng)用等方面狀態(tài)信息，建模得到系統(tǒng)狀態(tài)矩陣state；其次，llm基于狀態(tài)數(shù)據(jù)與歷史正常狀態(tài)數(shù)據(jù)進(jìn)行對比識別潛在威脅，并根據(jù)威脅范圍、影響和持續(xù)時間量化風(fēng)險水平risk；對于高危攻擊引起的云網(wǎng)絡(luò)故障，此模塊能夠利用現(xiàn)有狀態(tài)數(shù)據(jù)進(jìn)行故障定位，有效識別攻擊目標(biāo)，用于后續(xù)防御目標(biāo)生成；接著，將系統(tǒng)狀態(tài)矩陣state、風(fēng)險水平risk、故障來源等數(shù)據(jù)用于后續(xù)步驟輸入，

11、步驟(3)：任務(wù)推理和決策，具體如下，在涉及多個防御目標(biāo)的高級威脅場景中，明確規(guī)劃和合理劃分防御任務(wù)十分重要，此模塊使用分解函數(shù)將總體防御任務(wù)分解為h個獨(dú)立子任務(wù)，并使用llm為每個子任務(wù)設(shè)置任務(wù)目標(biāo)和執(zhí)行約束，靈活的為每個子任務(wù)制定防御策略；然后根據(jù)步驟(2)中得到的風(fēng)險水平risk和子任務(wù)間依賴關(guān)系為子任務(wù)分配執(zhí)行優(yōu)先級，并且，通過提示詞設(shè)置防御偏好，可以在保證防御成功基礎(chǔ)上，降低防御資源損耗和維護(hù)用戶體驗(yàn)，防御偏好可以由開發(fā)人員預(yù)設(shè)，在實(shí)施過程中動態(tài)調(diào)整；對于每個子任務(wù)，llm理解任務(wù)目標(biāo)和執(zhí)行約束，對防御動作和防御效果進(jìn)行逐步推理，在考慮防御偏好情況下求解出最佳防御策略，

12、步驟(4)：防御部署和執(zhí)行，具體如下，首先解析步驟(3)求解出的防御策略strategy得到防御動作action，action是一個取值在0到l-1之間的整數(shù)，是防御策略的數(shù)值化表示，l為防御策略庫s中防御策略的數(shù)量；其次，根據(jù)action調(diào)用查詢函數(shù)查詢在防御策略庫s中查詢是否存在此防御策略，如果存在，進(jìn)一步解析防御策略得到部署目標(biāo)服務(wù)器、防御腳本和執(zhí)行參數(shù)，如果不存在，則解析防御策略得到防御要求，利用llm編程能力編寫新的防御腳本，并實(shí)時編譯驗(yàn)證其可執(zhí)行性，之后，策略執(zhí)行模塊自動將防御腳本部署到目標(biāo)服務(wù)器，按照指定參數(shù)和執(zhí)行優(yōu)先級自動執(zhí)行所有子任務(wù)；最后，將新創(chuàng)建的防御策略strategynew加入防御策略庫，其防御動作編號為actionnew＝l，防御策略數(shù)量更新為l＝l+1，防御策略庫更新為snew如此實(shí)現(xiàn)防御策略的動態(tài)擴(kuò)展，滿足彈性的防御需求，

13、步驟(5)：效果評估和反饋，具體如下，在步驟(4)執(zhí)行結(jié)束后，首先判斷防御策略是否執(zhí)行成功，即successexecute，若是執(zhí)行失敗，則獲取執(zhí)行失敗原因reasonexecute，用于llm反思改進(jìn)防御參數(shù)選擇；然后根據(jù)安全指標(biāo)判斷本輪防御是否成功，即successdefense，若防御失敗，則獲取防御失敗原因reasondefense，并且對恢復(fù)時間、資源消耗、服務(wù)質(zhì)量等防御效果進(jìn)行全面評估；最后，不管防御成功或失敗，將本輪防御策略strategy和上述防御評價指標(biāo)給與llm進(jìn)行反思，得到llm總結(jié)的本輪防御經(jīng)驗(yàn)，并將防御策略、防御評價指標(biāo)和防御經(jīng)驗(yàn)都存儲到記憶模塊，用于下輪推理和防御，使其能夠在反饋循環(huán)中動態(tài)學(xué)習(xí)和改進(jìn)防御策略。

14、其中，所述步驟1：數(shù)據(jù)采集和重建，本文基于llm設(shè)計(jì)了一個可以彈性調(diào)用多種安全工具進(jìn)行自動化的數(shù)據(jù)采集和重建工作流，具體如下：

15、步驟(1.1)采集任務(wù)設(shè)置：通過提示詞給llm采集器設(shè)置采集任務(wù)，包括采集目標(biāo)、采集時長、輸出格式和采集工具，

16、步驟(1.2)自適應(yīng)數(shù)據(jù)采集：llm可以通過函數(shù)調(diào)用或代碼編寫能力靈活調(diào)用指定工具在目標(biāo)網(wǎng)絡(luò)完成采集任務(wù)，當(dāng)需要擴(kuò)展新的采集工具時，只需修改提示詞來給與llm新的任務(wù)提示即可，

17、步驟(1.3)數(shù)據(jù)聚合和去冗：基于llm的數(shù)據(jù)采集器在指定時間步長采集數(shù)據(jù)后，使用llm分析不同數(shù)據(jù)源之間關(guān)聯(lián)關(guān)系進(jìn)行聚合和重組，并去除冗余和無效數(shù)據(jù)，

18、步驟(1.4)關(guān)鍵信息提取：將采集得到的數(shù)據(jù)作為文本形式輸入llm，利用llm的文本理解能力提取其中關(guān)鍵信息并生成目標(biāo)網(wǎng)絡(luò)的安全簡報，

19、步驟(1.5)標(biāo)準(zhǔn)格式輸出：llm將處理后數(shù)據(jù)轉(zhuǎn)換為指定輸出格式(json、csv等)輸出，用于保存和下一步驟處理。

20、所述步驟2：狀態(tài)和危險評估，本文利用llm對多種系統(tǒng)狀態(tài)進(jìn)行分析和建模，并量化風(fēng)險水平和進(jìn)行故障定位，具體如下：

21、步驟(2.1)狀態(tài)信息提取：讀取步驟(1.5)輸出的數(shù)據(jù)文件，從指定字段提取系統(tǒng)狀態(tài)數(shù)據(jù)，例如硬件狀態(tài)(功耗)、網(wǎng)絡(luò)狀態(tài)(網(wǎng)絡(luò)吞吐量)和應(yīng)用狀態(tài)(連接數(shù))等，

22、步驟(2.2)系統(tǒng)狀態(tài)建模：llm基于步驟(2.1)得到的狀態(tài)數(shù)據(jù)對當(dāng)前系統(tǒng)狀態(tài)進(jìn)行建模，表示為狀態(tài)矩陣state，減少冗余信息，并用于推導(dǎo)后續(xù)子防御任務(wù)的約束條件，

23、步驟(2.3)危險評估：llm基于(2.1)中狀態(tài)數(shù)據(jù)與歷史正常狀態(tài)數(shù)據(jù)進(jìn)行對比識別潛在的威脅和異常，并根據(jù)威脅的范圍、影響和持續(xù)時間對風(fēng)險水平risk進(jìn)行量化，可用于后續(xù)子防御任務(wù)的編排，

24、步驟(2.4)故障定位：對于由嚴(yán)重攻擊引起的云網(wǎng)絡(luò)故障，llm可以利用狀態(tài)數(shù)據(jù)進(jìn)行故障定位，有效識別攻擊目標(biāo)并用于后續(xù)防御目標(biāo)生成，

25、步驟(2.5)信息聚合：聚合步驟(2.2)和(2.3)得到的系統(tǒng)狀態(tài)矩陣、風(fēng)險水平、故障定位等結(jié)果，作為后續(xù)步驟輸入。

26、所述步驟3：任務(wù)推理和決策，本文通過llm進(jìn)行任務(wù)拆解和推理決策，結(jié)合安全因素和資源消耗等因素求解最佳防御動作，具體如下：

27、步驟(3.1)任務(wù)拆解：在復(fù)雜云環(huán)境中可能出現(xiàn)多個威脅點(diǎn)，這需要在單個總體任務(wù)中同時實(shí)現(xiàn)多個防御目標(biāo)，由此需要將總體任務(wù)分解為h個獨(dú)立子任務(wù)，并使用llm為每個子任務(wù)設(shè)置任務(wù)目標(biāo)和執(zhí)行約束，

28、步驟(3.2)子任務(wù)優(yōu)先級分配：根據(jù)步驟(2.3)得到的風(fēng)險水平和子任務(wù)間依賴關(guān)系，為子任務(wù)分配執(zhí)行優(yōu)先級，

29、步驟(3.3)設(shè)置防御偏好：通過設(shè)置防御偏好，llm可以在達(dá)到防御效果同時，考慮減少防御資源和保障用戶體驗(yàn)等多重因素，這些偏好可以由開發(fā)人員預(yù)設(shè)，在實(shí)施過程中動態(tài)調(diào)整，

30、步驟(3.4)推理和決策：對于每個子任務(wù)，llm獲取步驟(3.1)中給其設(shè)置的任務(wù)目標(biāo)和執(zhí)行約束，對防御動作和防御效果進(jìn)行逐步推理，在考慮步驟(3.2)設(shè)置防御偏好情況下，從可用防御策略中求解最佳防御策略，

31、所述步驟4：防御部署和執(zhí)行，本文利用llm編程能力動態(tài)更新防御策略庫，并實(shí)現(xiàn)防御策略的自動部署和執(zhí)行，具體如下：

32、步驟(4.1)防御策略解析：首先解析步驟(3)求解出的防御策略strategy得到防御動作action，action是一個取值在0到l-1之間的整數(shù)，是防御策略的數(shù)值化表示，l為防御策略庫s中防御策略的數(shù)量，

33、步驟(4.2)防御策略查詢：根據(jù)action調(diào)用查詢函數(shù)查詢在防御策略庫s中查詢是否存在此防御策略，如果存在，進(jìn)一步解析防御策略得到部署目標(biāo)服務(wù)器、防御腳本和執(zhí)行參數(shù)，如果不存在，則解析防御策略得到防御要求，利用llm編程能力編寫新的防御腳本，并實(shí)時編譯驗(yàn)證其可執(zhí)行性，

34、步驟(4.3)防御策略執(zhí)行：將查詢得到或者新建的防御腳本，結(jié)合指定防御參數(shù)和執(zhí)行優(yōu)先級，在目標(biāo)云端網(wǎng)絡(luò)上自動執(zhí)行和部署防御子任務(wù)，實(shí)現(xiàn)部署的有效性和高效性，

35、步驟(4.4)防御策略更新：將新創(chuàng)建的防御策略strategynew加入防御策略庫，其防御動作編號為actionnew＝l，防御策略數(shù)量更新為l＝l+1，防御策略庫更新為snew如此實(shí)現(xiàn)防御策略的動態(tài)擴(kuò)展，以應(yīng)對新出現(xiàn)的威脅，提高保護(hù)能力，

36、所述步驟5：效果評估和反饋，本文基于llm推理反思能力對防御效果進(jìn)行評估、對防御策略進(jìn)行反思，具體如下：

37、步驟(5.1)安全狀態(tài)評估：在步驟(4)執(zhí)行結(jié)束后，首先判斷防御策略是否執(zhí)行成功，即successexecute，若是執(zhí)行失敗，則獲取執(zhí)行失敗原因reasonexecute，用于llm反思改進(jìn)防御參數(shù)選擇；然后根據(jù)安全指標(biāo)判斷本輪防御是否成功，即successdefense，若防御失敗，則獲取防御失敗原因reasondefense

38、步驟(5.2)其他指標(biāo)評估：除了安全指標(biāo)外，還需要對服務(wù)恢復(fù)時間、指定防御策略產(chǎn)生資源消耗、服務(wù)質(zhì)量等防御效果進(jìn)行全面評估，衡量防御動作優(yōu)劣，

39、步驟(5.3)防御策略反思：不管防御成功或失敗，將本輪防御策略strategy和上述防御評價指標(biāo)給與llm進(jìn)行反思，得到llm總結(jié)的本輪防御經(jīng)驗(yàn)，

40、步驟(5.4)反思記憶更新：將防御策略、防御評價指標(biāo)和防御經(jīng)驗(yàn)都存儲到記憶模塊，用于下輪推理和防御，使其能夠在反饋循環(huán)中動態(tài)學(xué)習(xí)和改進(jìn)防御策略。

41、一種電子設(shè)備，包括存儲器、處理器及存儲在所述存儲器上并可在所述處理器上運(yùn)行的計(jì)算機(jī)程序，所述處理器執(zhí)行所述程序時實(shí)現(xiàn)所述的基于大語言模型的云端智能主動防御方法。

42、一種計(jì)算機(jī)可讀存儲介質(zhì)，其上存儲有計(jì)算機(jī)指令，該計(jì)算機(jī)指令被處理器執(zhí)行時實(shí)現(xiàn)所述的基于大語言模型的云端智能主動防御方法。

43、與現(xiàn)有技術(shù)相比，本發(fā)明具有如下優(yōu)點(diǎn)：

44、(1)自動和可擴(kuò)展數(shù)據(jù)采集模塊構(gòu)建：為解決云端中不同網(wǎng)絡(luò)結(jié)構(gòu)、不同安全數(shù)據(jù)來源的數(shù)據(jù)采集任務(wù)，本發(fā)明利用llm的函數(shù)調(diào)用能力，實(shí)現(xiàn)了自動化和可擴(kuò)展的數(shù)據(jù)采集。首先自適應(yīng)調(diào)用不同安全工具對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行采集，同時，在采集數(shù)據(jù)之后對其進(jìn)行分析和重建，去除冗余數(shù)據(jù)輸出指定數(shù)據(jù)格式，實(shí)現(xiàn)云端復(fù)雜異構(gòu)網(wǎng)絡(luò)數(shù)據(jù)采集的自動化；另外，通過提示詞修改來調(diào)整采集要求、可調(diào)用安全工具、采集時間和輸出格式等采集任務(wù)，用戶操作難度小，實(shí)現(xiàn)了輕量化的采集任務(wù)部署和擴(kuò)展。

45、(2)智能主動的防御推理、決策和部署：面對云端復(fù)雜威脅場景，本發(fā)明實(shí)現(xiàn)了智能主動的防御決策和防御部署策略。任務(wù)推理和決策模塊根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)、防御目標(biāo)等將總體防御任務(wù)拆解為若干獨(dú)立子任務(wù)，使用llm為每個子任務(wù)設(shè)置子任務(wù)目標(biāo)并進(jìn)行逐步推理，減少決策動作空間，提高決策效果；llm基于子任務(wù)推理結(jié)果和防御偏好做出決策，防御偏好的設(shè)置既保證防御決策達(dá)到安全性目標(biāo)，同時考慮資源消耗和用戶體驗(yàn)等偏好因素，實(shí)現(xiàn)智能的防御決策；最后，防御部署和執(zhí)行模塊基于最佳防御決策，自動部署和執(zhí)行已有或新建得到的防御腳本，使防御策略能夠在復(fù)雜云端環(huán)境智能高效主動防御惡意威脅。

46、(3)防御策略庫動態(tài)更新有效應(yīng)對未知威脅：本發(fā)明實(shí)現(xiàn)防御策略庫的動態(tài)更新，極大提升對零日攻擊等未知威脅的防御能力。任務(wù)推理和防御決策模塊在遇到新型未知威脅時，已存在于防御策略庫中防御策略不能對其實(shí)現(xiàn)有效防御，此時llm得到新的防御決策，并且在接下來的防御部署和執(zhí)行模塊調(diào)用llm的編程能力編寫新的防御腳本，實(shí)現(xiàn)防御動作庫的動態(tài)更新。防御動作庫的動態(tài)更新，能夠不斷探索新的防御策略，實(shí)現(xiàn)對已知威脅和未知威脅的主動有效防御。

47、(4)效果評估和反饋模塊實(shí)現(xiàn)防御效果的逐輪提升：本發(fā)明在效果評估和反饋模塊中實(shí)現(xiàn)了高效的防御經(jīng)驗(yàn)利用機(jī)制，通過總結(jié)前輪經(jīng)驗(yàn)不斷改進(jìn)防御策略，實(shí)現(xiàn)防御效果的優(yōu)化和提升。效果評估和反饋模塊在每輪防御結(jié)束后對防御成功與否等安全指標(biāo)，以及資源利用、服務(wù)質(zhì)量等評價指標(biāo)進(jìn)行評估，利用llm反思能力總結(jié)防御經(jīng)驗(yàn)，并記錄到記憶模塊。本發(fā)明通過防御效果評估和反饋這一機(jī)制，不斷積累防御經(jīng)驗(yàn)，逐步防御效能。