本發(fā)明涉及網(wǎng)絡安全，尤其涉及一種基于大模型的安全編排劇本生成方法及系統(tǒng)。

背景技術：

1、隨著網(wǎng)絡攻擊技術的不斷迭代，分布式攻擊、勒索軟件、釣魚等攻擊手段都逐漸開始轉向自動化。但許多企業(yè)在信息安全的建設運營投入有限，所以往往會出現(xiàn)運營人數(shù)不足、運營效率不高等問題。為了解決以上問題，研究人員提出安全編排技術，即預先針對可能發(fā)生的安全事件編排應對的安全調度方案流程。安全編排劇本即為安全調度方案的藍本。安全編排劇本的生成屬于長文本生成任務，即將需要編排的安全信息摘要作為輸入，最終生成符合要求的安全編排劇本的任務。

2、傳統(tǒng)的安全劇本生成方法基于已有的專家模版或者過往案例，在面臨并不存在歷史經(jīng)驗或專家模版的新型風險時反應能力有限，缺乏能動性。大語言模型的出現(xiàn)為安全編排劇本的生成算法提供了新的思路，通過對安全知識的學習、安全原子能力知識的理解、已有場景專家劇本的演示，大語言模型可以在面臨未有對應專家模板的新的安全場景時通過自己的泛化能力表現(xiàn)出比其他生成算法更好的適應性。

技術實現(xiàn)思路

1、本發(fā)明提供了一種基于大模型的安全編排劇本生成方法及系統(tǒng)，可以在面臨未有對應專家模板的新的安全場景下，提供更具有適應性的安全劇本。

2、為實現(xiàn)上述目的，本發(fā)明的技術方案包括以下內容。

3、一種基于大模型的安全編排劇本生成方法，所述方法包括：

4、基于安全劇本庫，構建劇本候選集合，所述劇本候選集合中的每一劇本候選包括：安全摘要ap和該安全摘要的專家安全劇本mp；

5、在所述劇本候選集合中，獲取n個與待編排摘要相似度最高的劇本候選i，并基于待編排摘要、安全劇本約束和劇本候選i，生成安全編排劇本其中，所述安全劇本約束包括：格式約束、組織約束和自然語言約束；

6、在n個安全編排劇本符合一致性要求的情況下，輸出對應的安全編排劇本

7、進一步地，所述基于安全劇本庫，構建劇本候選集合，包括：

8、從安全劇本庫中取出一條安全摘要ap和該安全摘要ap對應的專家安全劇本mp；

9、根據(jù)安全摘要ap生成提示詞zp，并將該提示詞zp輸入到大模型中獲得輸出結果rp；

10、計算輸出結果rp和專家安全劇本mp的相似度sp，并在所述相似度sp不小于第一設定閾值的情況下，將該安全摘要ap和該專家安全劇本mp作為一劇本候選，添加到劇本候選集合。

11、進一步地，在所述劇本候選集合中，獲取n個與待編排摘要相似度最高的劇本候選i，包括：

12、獲取待編排摘要和安全摘要ap中的特定類型數(shù)據(jù)，所述特定類型數(shù)據(jù)包括：時間類型數(shù)據(jù)、文本類型數(shù)據(jù)、數(shù)值類型數(shù)據(jù)和對象類型數(shù)據(jù)；

13、分別計算各特定類型數(shù)據(jù)之間的相似度；

14、根據(jù)各特定類型的權重進行相似度加權，獲得待編排摘要和安全摘要ap之間的整體相似度；

15、基于所述整體相似度，在所述劇本候選集合中選擇n個劇本候選。

16、進一步地，基于待編排摘要、安全劇本約束和劇本候選i，生成安全編排劇本包括：

17、根據(jù)待編排摘要、安全劇本約束和劇本候選i嵌入到安全編排劇本模板，生成上下文生成提示詞

18、將上下文生成提示詞嵌入到安全編排劇本生成模板，并基于大模型得到安全編排劇本

19、進一步地，在n個安全編排劇本符合一致性要求的情況下，輸出對應的安全編排劇本包括：

20、計算安全編排劇本之間的一致性，并輸出一致性數(shù)量最多的安全編排劇本其中，在任兩個安全編排劇本之間都不一致的情況下，輸出安全編排劇本生成失敗。

21、進一步地，所述格式約束包括：

22、安全編排劇本中必須包含開始節(jié)點和結束節(jié)點；

23、所述開始節(jié)點存在且僅存在一個，且只能指向別的節(jié)點；

24、所述結束節(jié)點存在且僅存在一個，且只能被別的節(jié)點指向；

25、所述安全編排劇本中不能出現(xiàn)出入度均為零的節(jié)點；

26、所述安全編排劇本中的所有節(jié)點必須處于一條從開始節(jié)點出發(fā)到結束節(jié)點停止的路徑中；

27、所述安全編排劇本中的條件分支必須保證各分支都可以連接到結束節(jié)點；

28、覆蓋約束，所述覆蓋約束是指對于分支節(jié)點的后繼節(jié)點需要覆蓋該分支節(jié)點的所有分支條件；

29、所述組織約束包括：

30、在安全編排劇本中的兩個安全原子能力之間的關系為串行關系時，要求兩個安全原子能力同時執(zhí)行或同時不執(zhí)行，且在同時執(zhí)行時，必須按預定義的先后順序執(zhí)行；

31、在安全編排劇本中的兩個安全原子能力之間的關系為并行關系時，兩個安全原子能力的執(zhí)行之間彼此無關；

32、在安全編排劇本中的兩個安全原子能力之間的關系為分支關系時，要求兩個安全原子能力只能執(zhí)行其中的一個安全原子能力；

33、所述自然語言約束包括：

34、大模型具有對自然語言的理解能力，并將自然語言約束和專家知識加入提示詞中。

35、進一步地，所述輸出對應的安全編排劇本之后，還包括：

36、將安全編排劇本轉換為有向無環(huán)圖g，并基于每個節(jié)點的入度與出度，檢查除覆蓋約束之外的其他格式約束滿足度；

37、將起始節(jié)點加入一個空的隊列；

38、從有向無環(huán)圖g中起始節(jié)點開始廣度優(yōu)先搜索，以獲取該安全編排劇本的覆蓋約束滿足度；

39、綜合所述除覆蓋約束之外的其他格式約束滿足度和所述覆蓋約束滿足度，得到該安全編排劇本的格式約束滿足度；

40、基于所述組織約束對該安全編排劇本進行遍歷，得到該安全編排劇本的組織約束滿足度；

41、基于大語言模型，獲取該安全編排劇本的自然語言約束滿足度；

42、綜合格式約束滿足度、組織約束滿足度和自然語言約束滿足度，得到該安全編排劇本的約束滿足度；根據(jù)摘要安全原子能力鍵值對集合、劇本安全原子能力集合和劇本安全原子能力鍵值對集合計算屬性覆蓋度；

43、基于所述屬性覆蓋度和所述約束滿足度的加權和，得到該安全編排劇本的評價。

44、進一步地，所述從有向無環(huán)圖g中起始節(jié)點開始廣度優(yōu)先搜索，以獲取該安全編排劇本的覆蓋約束滿足度，包括：

45、從有向無環(huán)圖g中起始節(jié)點開始廣度優(yōu)先搜索，并在該隊列中，取出當前隊頭cur_node；

46、計算當前隊頭cur_node的覆蓋約束條件是否違反；其中，若當前隊頭cur_node為分支路徑，且后繼節(jié)點不能覆蓋所有分支條件，則覆蓋約束條件被違反；

47、將當前隊頭cur_node的安全原子能力和安全原子能力鍵值對分別加入劇本安全原子能力集合和劇本安全原子能力鍵值對集合；

48、將當前隊頭cur_node標記為已訪問，并將與當前隊頭cur_node鄰接且未訪問的節(jié)點加入到隊列中后，基于與當前隊頭cur_node鄰接且未訪問的節(jié)點，重新執(zhí)行所述從有向無環(huán)圖g中起始節(jié)點開始廣度優(yōu)先搜索，并取出當前隊頭cur_node；

49、直至隊列為空，得到該安全編排劇本的覆蓋約束滿足度。

50、進一步地，所述根據(jù)摘要安全原子能力鍵值對集合、劇本安全原子能力集合和劇本安全原子能力鍵值對集合計算屬性覆蓋度，包括：

51、分別計算所述劇本安全原子能力集合和安全劇本庫的安全原子能力集合的交集s與并集t，并基于該交集s與該并集t，計算安全原子能力覆蓋度；其中，所述安全劇本庫的安全原子能力集合為安全劇本庫中所有安全信息摘要的安全原子能力集合的并集；

52、基于劇本安全原子能力鍵值對集合，檢查安全編排劇本中調用參數(shù)的鍵是否符合對應安全原子能力的要求，并統(tǒng)計符合要求的鍵的數(shù)量；

53、根據(jù)摘要安全原子能力鍵值對集合和劇本安全原子能力鍵值對集合，檢查安全編排劇本的鍵值與待編排摘要的信息是否一致，并統(tǒng)計符合要求的鍵值數(shù)量；

54、根據(jù)符合要求的鍵的數(shù)量和符合要求的鍵值數(shù)量在劇本安全原子能力鍵值對集合中所占的比例，得到調用參數(shù)覆蓋度；

55、基于安全原子能力覆蓋度和調用參數(shù)覆蓋度的加權和，得到屬性覆蓋度。

56、一種基于大模型的安全編排劇本生成系統(tǒng)，所述系統(tǒng)包括：

57、預處理模塊，用于基于安全劇本庫，構建劇本候選集合，所述劇本候選集合中的每一劇本候選包括：安全摘要ap和該安全摘要的專家安全劇本mp；

58、安全編排劇本生成模塊，用于在所述劇本候選集合中，獲取n個與待編排摘要相似度最高的劇本候選i，并基于待編排摘要、安全劇本約束和劇本候選i，生成安全編排劇本

59、自一致性模塊，用于在n個安全編排劇本符合一致性要求的情況下，輸出對應的安全編排劇本

60、與現(xiàn)有技術相比，本發(fā)明至少具有以下有益效果。

61、通過使用大模型技術，本發(fā)明克服了現(xiàn)有技術依賴于專家編寫的安全劇本模板從而難以應對新的安全場景的不足。對于新的安全場景，本發(fā)明可以利用大模型的泛化能力并結合已有的專家劇本生成相較于現(xiàn)有技術更具有適應性的安全劇本，從而更靈活地應對新的安全風險。