一种基于大语言模型的APT攻击检测方法

本发明提出一种基于大型语言模型的APT攻击检测方法，包括以下步骤：S1、从操作系统的内核审计日志中提取原始系统调用事件数据，并进行数据预处理；S2、基于大型语言模型构建多模型协同检测架构，并通过提示构建、模型微调和置信度评分机制，根据预处理后的数据实现网络实体的细粒度分类；S3、基于多模态特征关联建模构建自适应图搜索算法，驱动攻击路径拓扑重构，实现恶意子图拓扑结构的最大化还原；S4、结合MITRE ATT&CK战术知识库构建循环增强分析框架，采用循环增强技术驱动大型语言模型执行层级式关联推理，逐步推导恶意子图至攻击战术及战术链的映射关系，最终生成攻击报告总结及针对性防御策略。本发明实现了高准确率和高可解释性的APT攻击检测。