dilkhaz12/llama3.1-8B-threat-hunting
GitHub: dilkhaz12/llama3.1-8B-threat-hunting
一个基于LLaMA 3.1 8B和GRPO强化学习的威胁狩猎框架,通过微调大语言模型来自动发现和分析网络攻击中的战术与技术模式。
Stars: 0 | Forks: 0
# 基于 LLAMA 3.1 8B 的 GRPO 威胁狩猎框架
这是一个利用经过微调的大语言模型 (LLM) 结合组相对策略优化 (GRPO) 进行自动化网络威胁狩猎的新型框架,旨在发现新出现的战术、技术和过程 (TTP)。
## 概述
本代码库包含了在网络安全威胁情报数据上微调 LLAMA 3.1 8B 模型的实现代码,使用了以下技术:
- **QLoRA** (Quantized Low-Rank Adaptation) 用于高效微调
- **GRPO** (Group Relative Policy Optimization) 用于基于奖励的学习
- **对抗训练 (Adversarial Training)** 用于增强模型鲁棒性
- **Evol-Instruct** 方法用于合成数据生成
## 代码库结构
```
llama3.1-8B-threat-hunting/
├── code/
│ ├── 01_data_preprocessing.py # MITRE ATT&CK data preprocessing
│ ├── 02_synthetic_data_generation.py # Evol-Instruct data synthesis
│ ├── 03_reward_function.py # Multi-dimensional reward function
│ ├── 04_adversarial_perturbations.py # Adversarial training module
│ ├── 05_model_training.py # Main training pipeline
│ ├── 06_evaluation.py # Evaluation metrics
│ └── main_runner.py # Complete pipeline runner
├── data/
│ ├── mitre_attack_v18.json # MITRE ATT&CK v18 data
│ └── final_datasets/ # Processed training datasets
├── results/
│ └── *.json # Evaluation results
├── CODE_DATA_AVAILABILITY.md # Hyperparameters & GRPO details
└── README.md
```
## 环境要求
```
pip install torch transformers peft bitsandbytes accelerate datasets trl
```
## 快速开始
```
# 运行完整 pipeline
python code/main_runner.py
# 或运行单独步骤:
python code/01_data_preprocessing.py
python code/02_synthetic_data_generation.py
python code/05_model_training.py
python code/06_evaluation.py
```
## 超参数
| 参数 | 值 |
|-----------|-------|
| 基础模型 | LLaMA-3.1-8B |
| LoRA 秩 (r) | 64 |
| LoRA Alpha | 128 |
| 学习率 | 2e-5 |
| Batch Size | 32 (有效) |
| 最大序列长度 | 2048 |
| 训练轮数 | 3 |
| 精度 | bfloat16 |
## GRPO 配置
| 参数 | 值 |
|-----------|-------|
| 组大小 | 8 |
| KL 系数 (β) | 0.1 |
| 裁剪范围 | 0.2 |
| GRPO 迭代次数 | 1000 |
## 数据来源
- **MITRE ATT&CK**: https://attack.mitre.org/
- **合成 TTP 数据集**: 使用 Evol-Instruct 方法生成
## 引用
如果您在研究中使用本代码,请引用:
```
@article{llama3_threat_hunting,
title={LLAMA 3.1 8B-based Threat Hunting Framework with GRPO},
year={2026}
}
```
## 许可证
本项目在研究使用许可下发布,需遵守负责任披露准则。
标签:Beacon Object File, DLL 劫持, Evol-Instruct, GRPO, IP 地址批量处理, LLaMA-3.1, PyTorch, QLoRA, Transformer, TTP, 凭据扫描, 合成数据, 大语言模型, 威胁情报, 安全大模型, 对抗训练, 开发者工具, 异常检测, 强化学习, 微调, 战术与技术程序, 插件系统, 数据展示, 无线安全, 系统调用监控, 红队, 网络安全, 网络安全审计, 自动化防御, 逆向工具, 隐私保护