SecGPT-14B效果展示：对Suricata告警日志做攻击阶段TTP标注

SecGPT-14B效果展示：对Suricata告警日志做攻击阶段TTP标注

1. SecGPT-14B网络安全大模型简介

SecGPT是由云起无垠推出的开源大语言模型，专门针对网络安全场景设计。这个模型基于14B参数规模，融合了自然语言理解、代码生成和安全知识推理等核心能力，能够有效提升安全防护的效率和效果。

SecGPT已经在多个关键安全任务场景中成功落地应用，包括但不限于：

• 漏洞分析与修复建议生成
• 网络日志与流量分析溯源
• 异常行为检测与威胁识别
• 攻防演练中的战术决策支持
• 攻击脚本解析与意图识别
• 安全知识问答与团队协作

2. 模型部署与调用方法

2.1 部署环境验证

使用vLLM框架部署SecGPT-14B模型后，可以通过以下命令检查服务是否正常运行：

cat /root/workspace/llm.log

当看到模型加载完成的日志信息时，表示部署成功。

2.2 通过Chainlit前端调用模型

Chainlit提供了一个简洁的Web界面，方便用户与SecGPT-14B进行交互。启动Chainlit服务后，可以在浏览器中访问前端界面，直接输入问题与模型对话。

示例问题：

什么是XSS攻击？

模型会返回专业的安全知识解答，帮助用户快速理解相关概念。

3. Suricata告警日志TTP标注效果展示

3.1 攻击阶段标注能力

SecGPT-14B能够对Suricata生成的告警日志进行深度分析，识别攻击行为并标注对应的战术、技术和程序(TTP)。这种能力可以帮助安全分析师快速理解攻击者的意图和行为模式。

以下是一个典型的分析案例：

原始告警日志：

[**] [1:2019401:6] ET SCAN Suspicious inbound to MSSQL port 1433 [**] [Classification: Attempted Information Leak] [Priority: 2]

SecGPT-14B分析结果：

• 攻击阶段：侦察(Reconnaissance)
• TTP编号：T1595.001
• 技术描述：攻击者正在扫描目标系统的MSSQL服务端口(1433)，这是典型的网络侦察行为，目的是识别潜在的攻击入口点
• 建议措施：检查源IP的可信度，考虑对频繁扫描的IP实施访问限制

3.2 复杂攻击链分析

对于多阶段的复杂攻击，SecGPT-14B能够将分散的告警日志关联起来，构建完整的攻击链视图：

告警序列：

1. 端口扫描告警
2. SQL注入尝试告警
3. Webshell上传成功告警
4. 可疑的横向移动行为告警

SecGPT-14B分析结果：

• 攻击阶段序列：
  1. 侦察 → 2. 初始访问 → 3. 执行 → 4. 横向移动
• 攻击者TTP映射：
  • T1595.001 (网络扫描)
  • T1190 (利用面向公众的应用漏洞)
  • T1505.003 (Webshell)
  • T1021.002 (SMB/Windows管理共享)
• 完整攻击链描述：攻击者首先进行网络侦察，发现并利用Web应用中的SQL注入漏洞获取初始访问权限，随后上传Webshell建立持久化控制，最后尝试通过SMB协议在内部网络中进行横向移动。

4. 实际应用价值与效果评估

4.1 效率提升对比

与传统手动分析方法相比，SecGPT-14B在告警日志分析方面展现出显著优势：

4.2 典型应用场景

SecGPT-14B的TTP标注能力在以下场景中特别有价值：

1. SOC运营中心：帮助初级分析师快速理解告警含义，提升事件响应速度
2. 威胁狩猎：通过历史日志的TTP标注，发现潜伏的高级持续性威胁
3. 安全演练：为红蓝对抗提供自动化的攻击行为分析和评分
4. 合规报告：自动生成符合MITRE ATT&CK框架的安全事件报告

5. 总结与展望

SecGPT-14B在网络安全日志分析领域展现出强大的能力，特别是对Suricata告警日志的攻击阶段TTP标注功能，显著提升了安全运营的效率和质量。通过将大语言模型与专业安全知识相结合，SecGPT为网络安全智能化提供了新的可能性。

未来，随着模型的持续优化和训练数据的丰富，我们期待SecGPT能够在更多安全场景中发挥作用，如自动化事件响应、智能威胁预测等，为构建更安全的数字空间贡献力量。

获取更多AI镜像

想探索更多AI镜像和应用场景？访问 CSDN星图镜像广场，提供丰富的预置镜像，覆盖大模型推理、图像生成、视频生成、模型微调等多个领域，支持一键部署。