Journal of Information Security Reserach ›› 2024, Vol. 10 ›› Issue (E1): 246-.

Previous Articles     Next Articles

  

  • Online:2024-07-14 Published:2024-07-23

基于大语言模型的自动化漏洞验证代码生成方法研究

吴佩泽李光辉吴津宇   

  1. (南方电网数字电网集团信息通信科技有限公司广州510700)
  • 通讯作者: 吴佩泽 助理工程师.主要研究方向为网络安全攻防、Web安全. wupz@csg.cn
  • 作者简介:吴佩泽 助理工程师.主要研究方向为网络安全攻防、Web安全. wupz@csg.cn 李光辉 工程师.主要研究方向为网络安全攻防、二进制安全. ligh8@csg.cn 吴津宇 助理工程师.主要研究方向为网络安全、人工智能. wujy3@csg.cn

摘要: 为解决电力监控系统资产体系大、漏洞数量多、漏洞库依赖厂商更新、不同来源漏洞验证脚本检测规则不一致、缺少统一的漏洞规则库等问题,以国内外多源异构漏洞POC数据为基础,提出一种基于大语言模型(LLM)的自动化漏洞验证代码生成方法.采用ChatGLM3作为基础模型,通过提示词工程和本地知识库相结合的方式生成标准漏洞POC.实验表明,生成的标准漏洞POC的误报率、漏报率分别为0.72%,4.43%,准确率为99.00%,整体效果良好,可有效应用于电力监控系统的资产漏洞扫描及验证场景.

关键词: 漏洞POC, 大语言模型, 通用人工智能, 电力监控系统, 本地知识库