04 熊春霖Knowledge is all you need_1123_脱敏.pdf

《04 熊春霖Knowledge is all you need_1123_脱敏.pdf》由会员分享，可在线阅读，更多相关《04 熊春霖Knowledge is all you need_1123_脱敏.pdf（21页珍藏版）》请在三个皮匠报告上搜索。

1、Knowledge is all you need安全知识图谱&安全大模型熊春霖联通（广东）产业互联网有限公司 AI安全专家浙江大学网络空间安全博士，师从 Yan Chen（IEEE会士&美国西北大学终身教授&国家千人计划）作为主要成员参与美国国防部高级研究计划局透明计算项目、国家自然科学基金重点项目等国家级课题(APT+AI)曾任杭州奇盾信息技术有限公司（终端、云安全创业公司）联合创始人/CTO深信服XDR 首席算法专家/技术规划专家，负责深信服战略产品部门的技术规划和前沿探索（AI+）中国科学院深圳先进技术研究院、深信服联合培养 博士后在CCS、Usenix Security、TDSC等世

2、界顶级会议期刊发表论文9篇，专利10+项，主要研究终端安全个人介绍01 Knowledge 知识图谱02 is all you need大语言模型当前企业安全运营的困境132检测效果检出率、误报率。提升检测效果，一般会降低告警时效性和增加成本时效性攻击越早被发现和处置，造成的损失就越小。提升时效性，一般会降低检测效果，提升运营成本。运营成本当前安全运营主要依赖专家，现有工具很难满足需求。运营成本降低，一般会同时影响检测效果和时效性。网络安全人才缺口高达327万*1、echo labkGz&COMMAND&echo ILSFYJ：常见黑客工具特征，通过随机字符串定位命令返回内容；威胁研判需要什么

3、？1/3攻击特征sh-c sudo-u#-1sudo-u#4294967295 id-uCVE-2019-142872、cmd/c cd/d C:&cd/d tmp apache等web server执行命令的特征；3、ipconfig是微软操作系统的电脑上用来控制网络连线的一个命令行工具，黑客常用它来收集网络信息。*1、AppDataLocalTemp7ZipSfx.000目录下的可执行文件为Sfx（SelF-eXtracting，自解压文件）；攻击者常使用自解压文件来隐藏真正的payload和攻击意图；威胁研判需要什么？2/3合法应用行为KMS2、该命令行通过WMIC将OInstallLi

4、te加入Windows Defender的白名单；攻击者常使用这种方法让恶意文件免杀；*1、PowerShell常被攻击者用于下载、执行无文件攻击；2、DownloadFile为PowerShell下载文件的功能；3、temp目录常被用于存储恶意文件。威胁研判需要什么？3/3威胁情报传统方法：规则引擎黑白名单威胁情报异常分析AI？威胁研判需要什么？专家需要综合分析，而引擎常常各自为营。因此自动检测引擎效果不佳威胁研判需要什么？安全相关知识十分重要，但碎片且繁多。威胁研判需要什么？安全图谱Chronicle Security:Unified Data Model Provenance Graph

5、DARPA TC:Common Data ModelSecurity Ontology Graph(StrikeReady)Security intelligence Graph(Recorded Furture)01 Knowledge 知识图谱02 is all you need大语言模型垂直领域大模型的一般构造方法许愿机通过微调，赋予大模型新的能力；给定一个input，期望获得预期output。智能体作为智能决策体，负责代替人类作出关键性决策。（1）端到端训练：使用通用数据和垂直领域数据混合，从零训练，训练成本极大；（2）全参数再训练：在一个通用模型的基础上做二次预训练，可以调整任何模型

6、参数，训练成本较大；（3）有监督微调（SFT，部分参数微调）：在一个通用模型的基础上做有监督微调，这是开源社区最普遍的做法，方法包括prompt微调、Lora等，可以快速出效果，但可能造成灾难性遗忘，且上限有限，训练成本较低；（4）零样本学习（zero-shot Learning）：以上三种方法也都是遵循传统NLP预训练模型的思路，但大模型最厉害的点在于其对多个下游任务都可以通过一个预训练模型解决，对于新任务可以通过少样本学习（few-shot learning）甚至于零样本学习（zero-shot learnin