基于大模型驱动的自动化漏洞挖掘系统研究

信息安全研究 ›› 2025, Vol. 11 ›› Issue (E2): 154-.

• 2025“数字经济与网络安全”论文集 • 上一篇下一篇

基于大模型驱动的自动化漏洞挖掘系统研究

李永刚杨宇波潘善民

(国网思极检测技术(北京)有限公司北京102211)

出版日期:2025-12-27 发布日期:2025-12-28
通讯作者: 李永刚高级工程师.主要研究方向为电网网络安全. liyonggang08@163.com
作者简介:李永刚高级工程师.主要研究方向为电网网络安全. liyonggang08@163.com 杨宇波工程师.主要研究方向为网络安全. yikjiang@163.com 潘善民硕士，工程师.主要研究方向电网信息通信技术. psm0914@163.com

Online:2025-12-27 Published:2025-12-28

摘要/Abstract

摘要： 针对传统漏洞检测工具依赖规则库、误报率高且无法适应动态网络环境的问题，提出一种融合大语言模型(LLM)、蒙特卡洛树搜索(MCTS)和模型上下文协议(MCP)的自动化漏洞挖掘系统.系统以SQL注入漏洞挖掘为例，通过LLM生成攻击流量，利用MCTS优化任务调度路径，并借助MCP实现Nmap，SQLmap等工具的自动化调用与结果验证.实验表明，该系统在漏洞检测方面取得了改进，在OWASP Benchmark测试集上检出率提升至较高水平，误报率降低至可控范围，任务执行效率显著提高，为大模型驱动的网络安全攻防提供了一种可扩展的技术范式.

关键词: SQL注入, 大语言模型(LLM), 蒙特卡洛树搜索(MCTS), 模型上下文协议(MCP), 任务调度优化, 语义分析

中图分类号:

TP183

李永刚, 杨宇波, 潘善民, . 基于大模型驱动的自动化漏洞挖掘系统研究[J]. 信息安全研究, 2025, 11(E2): 154-.

参考文献

［1］Ovabor K, Kelvin, et al. AIdriven threat intelligence for realtime cybersecurity: Frameworks, tools, and future directions［J］. Open Access Research Journal of Science and Technology, 2024, 12(2): 4048［2］ 管延霞, 刘逊韵, 刘运韬, 等. 面向多智能体博弈的并行蒙特卡洛树搜索算法研究［J］. 计算机工程与科学, 2022, 44(12): 21282133［3］Wang X, et al. Model context protocol (MCP): Landscape, security threats, and future research directions［EBOL］. 2025 ［20250721］. https:xueshu.baidu.comusercenterpapershow?paperid=177j0rt0q82x0010p47p0pj0gr698628 &site=xueshu_se［4］ Li Q, et al. Innes: An intelligent network penetration testing model based on deep reinforcement learning［J］. Applied Intelligence, 2023, 53(22): 2711027127［5］王安琪, 杨蓓, 张建辉, 等. SQL注入攻击检测与防御技术研究综述［J］. 信息安全研究, 2023, 9(5): 412422［6］Get started with the model context protocol (MCP)［EBOL］. 2025 ［20250721］. https:modelcontextprotocol.iointroduction［7］Yao Huanjin, Huang Jiaxing, Wu Wenhao, et al. Mulberry: Empowering mllm with o1like reasoning and reflection via collective monte carlo tree search［EBOL］. 2024 ［20250721］. https:xueshu.baidu.comusercenterpapershow?paperid=1j6v0gy0bk7r0vc0un0k0x30ex27319 7&site=xueshu_se［8］王永, 柳毅. 一种多模型的调度优化对抗攻击算法［J］. 信息安全研究, 2024, 10(5): 403410［9］Xie Yuxi, Goyal Anirudh, Zheng Wenyue, et al. Goyal a. Monte carlo tree search boosts reasoning［10］梁超, 王子博, 张耀方, 等. 基于知识图谱推理的工控漏洞利用关系预测方法［J］. 信息安全研究, 2024, 10(6): 498505

[1]	赵惠浞, 王智民, 韩剑飞, 苏凯旋, . 与大语言模型交互的API安全网关设计[J]. 信息安全研究, 2025, 11(E1): 248-.
[2]	丁全, 张磊, 黄帅, 查正朋, 陶陶, . 小样本语义分析的漏洞实体抽取方法[J]. 信息安全研究, 2025, 11(3): 265-.
[3]	王安琪, 杨蓓, 张建辉, 王瑞民, . SQL注入攻击检测与防御技术研究综述[J]. 信息安全研究, 2023, 9(5): 412-.
[4]	姚锡龙, 崔炳杰, 王瑜, . 应用层加密流量检测解决方案[J]. 信息安全研究, 2022, 8(E1): 35-.
[5]	李洁, 闫乐, 薄钧戈, 吴忠宜, 李成, 蔡维德. 面向信用服务的BPMN智能合约范式研究[J]. 信息安全研究, 2022, 8(5): 475-.
[6]	易楠. 基于语义分析的Webshell检测技术研究[J]. 信息安全研究, 2017, 3(2): 145-150.
[7]	张冰琦孙伟. 一种基于污染源追踪的PHP源代码SQL注入漏洞检测算法[J]. 信息安全研究, 2015, 1(2): 140-148.
[8]	孙伟陈林. 一种基于抽象语法树的C#源代码SQL注入漏洞检测算法[J]. 信息安全研究, 2015, 1(2): 112-125.

基于大模型驱动的自动化漏洞挖掘系统研究

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 8

编辑推荐

Metrics