GPT 为你我：将 AI 语言处理应用于网络防御 媒体

GPT3在网络安全中的应用探索

关键要点

近期，OpenAI开发的自然语言处理架构引起了广泛关注。最新版本的生成预训练变换器GPT模型，即GPT35，作为ChatGPT的算法核心，激起了人们的惊叹与担忧。人们主要关注其可能被恶意使用的风险，比如生成逼真的钓鱼邮件和恶意软件。

Sophos XOps的研究人员，包括Sophos AI首席数据科学家Younghoo Lee，正在探索如何利用早期版本的GPT3为网络安全带来积极变化。Lee在去年八月于BSides LV和Black Hat安全会议上展示了GPT3如何用于生成攻击者行为的可读性解释等任务的初步见解。他领导了三个项目，可以帮助防御人员更有效地发现和阻止恶意活动，这些项目包括：

自然语言XDR搜索的初步探索

第一个项目是一个原型 自然语言查询接口，用于在安全遥测中进行搜索。该接口基于GPT，接受用简单英语书写的命令例如：“显示所有由root用户执行的名为powershellexe的进程”，并生成相应的XDRSQL查询，用户无需了解底层数据库结构或SQL语言本身。

例如，在下图1中，提供的示例信息及简单数据库架构的提示，使得GPT3能够将“显示用户admi运行PowerShellexe的所有时间”这一句子翻译为SQL查询：“SELECT FROM ProcessTable WHERE user=admin AND process=PowerShellexe”。

Lee喂养了两种不同的GPT3系列模型Curie和Davinci，提供了一系列训练示例，包括数据库架构的信息和自然语言命令与所需SQL语句的对应关系。模型将新的自然语言查询转换为SQL命令：

为了提高少量示例下的准确性，可以在提交任务时不断添加更多示例。但这在实际操作中有其限制，因为GPT3在数据输入的内存消耗上有上限。为了提高准确性而不增加额外开销，亦可通过 微调GPT3模型，使用更大的示例对进行训练以提升模型性能示例数量越大，结果通常越好。随着更多数据的可用性，GPT3模型可以不断进行微调。微调的效果是累积的；每次增加新的训练数据时，无需从头开始重新运行所有内容。

经过初步测试，使用2、8和32个示例的少量学习方法后，发现使用Davinci模型的实验显著成功，原因在于其规模和复杂性，如下表所示。使用少量学习时，Davinci模型在处理训练数据时的准确率超过80，在处理未见数据时的准确率为705。尽管两个模型在引入微调后都有显著改善，但由于Davinci模型的规模更大，其推断能力更强，在实际应用中会更有价值。使用512个样本微调，然后是1024个样本，进一步提升了分类性能：