奇安信攻防社区-网络安全大模型微调：红队大模型

网络安全大模型微调：红队大模型

上篇文章中我们已经基本了解了微调一个基座大模型的流程，本文我们将集中于微调出一个实际的安全大模型。因此首先有必要必要了解微调出一个安全大模型存在的难点

微调安全大模型的难点
==========

上篇文章中我们已经基本了解了微调一个基座大模型的流程，本文我们将集中于微调出一个实际的安全大模型。

因此首先有必要必要了解微调出一个安全大模型存在的难点。

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-435738600fa878b0c1e03fc8d4f62cee8144b840.png)

专业语料稀缺与标注成本高
------------

网络安全领域知识具有高度专业性，涵盖漏洞分析、入侵检测、逆向工程、恶意代码分析、攻防对抗等多个子领域。相较于通用语料（如维基百科、社交媒体文本），安全语料存在以下问题：

1）公开可用数据稀缺：高质量的漏洞分析报告、攻防事件数据往往受限于隐私、合规或商业保密，公开程度远不如新闻语料。

2）语料结构多样且非标准：例如代码片段、日志格式、配置文件、十六进制数据、协议流量等，难以直接适配通用 NLP 预处理流程。

3）标注代价高：需要资深安全专家进行标注（如判断是否为零日漏洞、是否构成利用链等），人工成本高昂，难以规模化。

通用大模型知识迁移不足
-----------

虽然大模型拥有强大的语言理解与生成能力，但其在预训练阶段主要学习的是通用语义知识（如百科、通俗问答），这与网络安全任务的需求存在显著偏差：

1）缺乏深层次领域知识：例如栈溢出与堆溢出的区别、系统调用序列分析、Shellcode 编写等内容在通用预训练语料中极少出现。

2）知识迁移不精准：通用语言模型容易“编造”看似合理但错误的安全术语或技术细节，甚至生成不符合实际逻辑的漏洞描述或利用流程。

3）复杂多模态信息不足：如二进制、流量数据、代码上下文等输入模态，对现有语言模型而言是非结构化、难编码的部分。

任务目标复杂、对齐难度高
------------

网络安全任务通常具备高度任务定向性，对响应结果的精度、因果性、可靠性要求远高于开放式问答。具体而言：

1）任务目标多样：如漏洞分类、日志溯源、攻防演练模拟、威胁情报摘要等，每类任务需构造不同形式的输入输出格式，难以统一建模。

2）响应对齐要求高：安全场景下容不得“胡编”，模型需严格对齐事实、上下文与命令语义，需引入更精细化的对齐机制（如 RLHF）。

3）提示攻击风险增加：模型一旦掌握部分攻击知识，可能被用于生成非法内容，如绕过过滤器、生成攻击脚本，存在严重的滥用风险。

安全微调过程中的风险控制难
-------------

在微调过程中，大模型可能会学习并“记住”训练数据中的敏感内容或攻击模式，从而带来隐私泄露或模型滥用问题：

1）隐私与合规问题：训练数据若包含真实系统配置、漏洞样本、流量日志，可能涉及用户隐私、企业内网信息等敏感内容。

2）模型滥用风险：微调后模型若生成高危攻击链、绕过检测规则的恶意代码，可能被用于非法渗透与攻击实验。

3）难以定义“安全边界”：模型是否“知道”某个攻击技巧不是问题，关键是如何在生成中区分“用于研究”与“用于攻击”的意图边界。

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-208827ce0d127e4866804c0598e4c6259dc71def.png)

所以总的来说，构建一个适用于网络安全领域的大模型面临诸多挑战，主要包括高质量专业语料的稀缺与高标注成本、通用模型知识迁移能力不足、任务目标复杂且对齐难度高、微调过程中存在隐私泄露与模型滥用风险，以及缺乏统一的评估基准与体系。这些问题决定了网络安全大模型的训练不仅是技术工程问题，更是多维度的系统性难题，需融合语言建模、安全知识、合规控制与评估策略的综合解决方案。

不过作为我们个人使用而言，其实标准倒也没有这么高的要求。我们主要从微调的各个环节来展开说明。

明确任务目标与应用场景
===========

在进行网络安全大模型的微调之前，明确任务目标与应用场景是构建高质量、可控性强且具备实用价值模型的关键前提。由于网络安全本身涵盖了从威胁检测、攻防实战、情报研判到漏洞分析等多个复杂子领域，因此不同任务类型对应的输入输出结构、所需知识维度以及风险控制策略均存在显著差异。

比如对于安全问答系统（Security Q&amp;A System），此类任务目标通常是构建一个具备基础安全知识问答能力的大语言模型，主要用于：解析 CVE 漏洞（原理、影响组件、攻击方式）、安全术语解释（如 XSS、RCE、Buffer Overflow 等）、风险应对建议（如修复方式、防护策略）。

模型需具备良好的事实一致性与知识准确性，同时应避免输出含糊或误导性内容。输入通常为自然语言问题，输出为结构化或段落型答案，常采用 instruction tuning 格式进行训练。

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-edabfdfba1094f4f5bb88cc5577d60f912042058.png)

再比如日志分析与溯源（Log Analysis &amp; Forensics），该类任务关注模型对系统日志、安全事件日志、IDS/IPS 报警等数据的理解、提取与推理能力，典型用途包括：日志异常行为识别（如暴力破解、横向移动等）、溯源链条重建（如追踪攻击者访问路径）、安全事件定级与归因。输入多为半结构化数据或多条日志序列，模型需要具备上下文理解与逻辑推理能力，输出则可能为标签（异常/正常）、事件摘要或攻击者路径重构。这类任务常结合多模态文本建模和对抗训练策略。

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-42ddc8bd3a3571d7223c3afc187390bebed63902.png)

又或者是攻防演练辅助（Red/Blue Team Assistance）。攻防演练（如红蓝对抗、CTF 平台实战）中，大模型可用于辅助生成：恶意 payload（如 SQLi、XSS 脚本）、攻击链脚本（如 Metasploit 执行流程）、自动化渗透测试模块建议。该类任务功能强大但风险极高，因此需要对模型输出能力进行强控制与对齐处理，例如设置拒答机制、风险内容过滤模块，并配合人工监督或强化学习微调（如RLHF）。同时训练数据来源应合法、可控，如安全厂商提供的演练场景脚本。

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-e4edf11627b87a330084945f39bf45728db130db.png)

我们这里不妨就将任务定为攻击脚本辅助红队大模型，希望能够微调出一个大模型，能够帮助红队人员提高开发攻击脚本的效率。

基础模型的选择与框架的配套能力
===============

在微调网络安全大模型时，基础模型的选择与框架的配套能力将直接决定微调的灵活性、推理性能、安全对齐能力以及部署成本。因此，需要从模型结构、技术生态兼容性、指令调优能力、模型规模、支持的微调策略等多个维度综合考虑。

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-107c12a8eef2240624906f3a797c71af1ce823f8.png)

选择基础模型时，应确保其具备以下关键特性：

1）开源可控：模型参数与架构公开，便于研究分析与定制开发，满足安全场景对可审计性与数据隐私的要求。

2）指令响应能力强：模型应支持原生的 instruction-following 能力，能够接受以“任务说明+输入”为结构的 prompt 格式。

基础模型应当采用 HuggingFace Transformers 生态标准，以兼容主流微调与推理工具，包括：

1）transformers：用于模型加载、输入模板定义、分词器控制

2）datasets：用于安全任务数据集的构造与预处理

3）peft：支持 LoRA、Prefix-Tuning 等轻量化参数高效微调方法

4）accelerate：用于分布式训练与多卡部署

具备 HuggingFace 格式的模型（如 llama-7b-hf、baichuan2-13b-hf），可以轻松集成到训练管线中，并灵活使用 P-Tuning v2、LoRA、QLoRA、DPO 等多种指令对齐与安全对抗训练技术。

我们在这里就选择目前比较好用的llama 3.1 8B instruct模型。这是 Meta 推出的开源大语言模型，属于 Llama 3 系列中的指令微调版本，拥有 80 亿参数。它基于 Transformer 架构，采用分组查询注意力（GQA）机制，支持长达 128K tokens 的上下文窗口，并在超过 15 万亿 tokens 的多语言公开数据上训练，主要优化英语任务但支持德语、法语等 8 种语言。该模型通过人类反馈强化学习（RLHF）微调，擅长指令跟随和对话生成，适用于智能客服、代码生成等场景，且社区提供了量化版本（如 GGUF 格式），可在 CPU 等资源受限环境中高效运行。其性能接近 GPT-3.5 Turbo，尤其在长文本处理和工具调用任务中表现突出

数据集构建
=====

在构建面向网络安全任务的高质量微调数据集时，需要针对领域特性和模型适配性，系统性地完成数据的收集、清洗、结构化和扩展。高质量数据是安全大模型性能的核心保障。

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-45355d60f64dbf427d577ab8ea546602d20d8070.png)

网络安全领域的数据高度专业，来源分散但结构多样。应优先从以下渠道系统收集数据：

1）权威漏洞数据库

如：CVE（Common Vulnerabilities and Exposures）、NVD（National Vulnerability Database）、CNNVD（中国国家信息安全漏洞数据库）。内容包括：漏洞编号、描述、CVSS评分、影响范围、PoC信息等。可转化为“解释漏洞机制 / 自动摘要 / 漏洞分类”类微调样本。

2）安全论坛与技术报告

来源：ExploitDB、RootMe、APT 攻击溯源报告、安全厂商白皮书等。提供真实攻击样本、对抗流程、工具调用示例等。可构造成“攻击链生成 / 威胁识别 / 技术流程解读”类数据。

3）攻防演练平台与 CTF Writeup。公开平台如 HackTheBox、VulnHub、CTFTime 的 writeup。包含对系统漏洞的利用过程与修复建议。适合构造多轮对话型样本，如“我该如何提权？——你当前权限是？……”。

4）安全日志与检测告警数据、来源包括：网络流量抓包（pcap）、主机日志、IDS/IPS 报警、SIEM 事件等。通过解析与事件标签，转为分类、识别、溯源类数据。

有了数据之后需要系统化处理。

在指令微调场景中，需明确区分每条样本中的“任务指令（instruction）”与“期望输出（output）”，确保结构清晰、便于自动读取与模板调用。对于多轮对话数据，还应记录每一轮的角色信息（如 user 或 system）、对话轮次等元数据，并统一转化为标准格式，例如 ChatML 或 ShareGPT 样式，以便支撑上下文关联建模与对话微调流程。

另外，敏感信息的脱敏处理是保障数据安全与合规性的必要手段。网络安全数据中常包含大量易泄露隐私的字段，如 IP 地址、用户名、密码、主机名等，必须通过模式识别与正则替换进行彻底过滤。同时，对于脚本内容、日志路径中的具体标识符（如 /etc/passwd、日志文件名等），也应规整化为通用占位符（如 &lt;FILE\_PATH&gt;），以减少模型过拟合于具体环境信息的风险。

同时需要注意噪声数据的过滤与人工审核。自动化爬取或低质量生成的数据往往存在语义重复、逻辑混乱、指令不清等问题，需借助规则匹配或人工审查手段加以清理。与此同时，应优先保留具有实际推理价值和场景复杂度的数据样本，如同一漏洞的多种利用方式对比、不同攻防策略的上下文切换等，以增强模型对安全语义的建模能力。

针对数据资源稀缺的问题，低资源样本扩展（Data Augmentation）也是一项重要补充策略。在数据样本较少的任务中，可通过模板重写、关键词替换、或基于已有微调模型生成扩展样本，以扩大训练数据覆盖面。对于安全领域常见的专业术语，也可构建词表替换系统，引入同义短语与攻击变体，提升模型对多样化输入的鲁棒性。特别是在如攻击链生成等样本成本高、标注复杂的任务中，还可以通过规则合成部分结构化样本，辅助模型学习事件序列与攻击语义。

这其实是一项非常繁琐的任务，大厂一般都会外包给数据标注工人自己来做。我们这里为了方便，直接在hugging face上找到了一个适合我们任务的数据集，地址在<https://huggingface.co/datasets/Nitral-AI/Cybersecurity-ShareGPT>

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-5d96248e394ad5c5b4a8985e4a7c31b54e6af16d.png)

以其中的一条数据集为例，其格式如下

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-b2b72b90e22a18660b838005d13323a145766e23.png)

包括了用户的问题以及模型的回复。

微调方式与配置参数
=========

在构建网络安全领域的大语言模型微调方案时，合理选择微调方式与配置参数是确保训练高效、结果优质的关键步骤。不同微调方式对应不同的资源需求与任务适配能力，参数配置也直接影响模型的收敛速度与最终性能表现。

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-c5f175ece6deb4b4a01aa7f1918436b266968971.png)

首先，从微调方式角度看，主要可分为全参数微调（Full Fine-tuning）与参数高效微调（Parameter-Efficient Fine-Tuning, PEFT）两大类：

1）全参数微调是指对模型所有参数进行更新，能够获得最强的适应能力，适合在安全数据充足、算力资源丰富（如具备 A100 集群或强大分布式训练平台）的条件下使用。但其代价也最高，包括显存占用大、训练耗时长、不易迁移到其它任务。该方法通常只适用于模型规模较小（如 &lt;1B 参数）或对性能要求极高的安全场景。

2)参数高效微调（PEFT）是目前主流选择，尤其适用于大模型与中小规模训练资源的组合。其主要变种包括：

LoRA（Low-Rank Adaptation）：通过在注意力模块中引入低秩可训练矩阵，仅微调部分投影权重，极大减少了参数更新规模。LoRA 兼容 HuggingFace 和 PEFT 框架，训练稳定，已成为安全微调的首选方法。

QLoRA：在 LoRA 基础上配合量化（如 4bit），显著节省显存与存储资源，使得在消费级硬件（如单卡 24GB 显存）上也能训练中等规模模型（如 7B）。非常适合预算有限但希望覆盖复杂任务场景的安全团队使用。

Prefix Tuning / Adapter Tuning：通过在模型前置或中间插入小规模可训练向量或模块，实现模型适配。虽然这类方法对参数更为节省，但在安全领域任务复杂、上下文长的情境下，往往收敛速度较慢、表现不如 LoRA 系列方法。

另外，在微调过程中，还需根据数据特性与任务难度精心配置训练参数，具体包括：

1）学习率（learning rate）：对微调效果影响最显著。PEFT 常采用 1e-4 到 5e-5 范围，需结合 warmup 与 decay 策略调优。

2）Batch Size：受限于显存容量。对于 QLoRA，可以通过 gradient accumulation 来间接增大 batch。一般建议 batch size × gradient accumulation steps 在 64~128 范围能保证稳定训练。

3）最大长度（max length）：安全数据对上下文要求高，建议设置为 1024～2048 tokens，确保涵盖完整的攻击链、日志片段或技术细节。

4）训练轮数（epochs）：若数据量大、任务泛化能力强，可选择 1~3 轮；若任务较窄或需深入拟合（如漏洞分类），则可适当增加轮次，并辅以 early stopping 避免过拟合。

在网络安全大模型的构建过程中，推荐优先采用 LoRA 或 QLoRA 微调方式，结合合理的参数配置与调优策略，实现高效、稳定的模型定制与迭代。

在本文中，我们就选择LoRA.

训练
==

最后一步就是训练了，这里我们还是采用和上篇文章一样的框架llama factory.

基本的操作我们这里不再重复，直接使用训练的命令展开训练，我这里使用了四张80G的A800,大概训练了8个小时才完成

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-ebf363a5204b6cd1a9bdc02e7ad5ed1fffc83bd7.png)

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-84b8db29fbed5d2667e255b13b834c797c27cbb3.png)

训练期间部分截图如下，loss的趋势是一直在降低的

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-1e3145321056394eaab35df7eb6b95e78cc314a0.png)

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-91cfc0950412800dfbdf7a3750d91dd4c9bc5ce8.png)

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-18b958e3838c81d41c470e3c1896f913620553fd.png)

现在我们进行测试

首先加载原本的llama模型

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-7f17987159567be8eb94505f429e986cb914f59d.png)

要求帮我开发一个模拟恶意软件样本，该python脚本采用一种基于监视用户交互模式的新颖规避技术。脚本应该可以监测人类行为的鼠标移动

原来的模型回复如下

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-929eba86f22a2949ddbe5bc05c2d26e6b3404718.png)

可以看到是无法完成的

现在我们使用微调后的模型

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-30b84eddf7a959062638b469b44fdf17fd2c39e4.png)

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-1f5750b9c461947a1954a15cbbe4e4db1345fc01.png)

在上图可以看到给出了我们所需的攻击脚本

可以再换个例子

我们来个更专业地

需求是：

在 Windows 操作系统环境下，请考虑一种利用 Windows 管理规范 (WMI) 进行持久化和横向移动的漏洞利用技术。WMI 是 Windows 操作系统不可或缺的一部分，可用于管理和查询系统资源。拥有足够权限的攻击者可以使用 WMI 执行任意代码，这些代码可以在系统重启后持久化，并规避传统的检测机制。是编写一个 Python 脚本，该脚本使用 WMI 接口创建一个 WMI 事件消费者 (WMI Event Consumer)。这是一个永久的 WMI 事件订阅，会在特定系统事件发生时执行指定的有效载荷（在本例中为一个简单的 PowerShell 命令）。该脚本应该能够：1. 建立与本地 WMI 存储库的连接。2. 创建一个新的 \_\_EventFilter，该过滤器在常见、频繁发生的事件（例如，每次创建新进程时）上触发。3. 设置一个 CommandLineEventConsumer，用于执行 PowerShell 命令，例如在“C:\\\\temp\\”目录中创建一个文件。4.使用 \_\_FilterToConsumerBinding 将 \_\_EventFilter 绑定到 CommandLineEventConsumer。5. 确保 WMI 订阅处于隐藏状态，难以被安全软件和系统管理员检测到

原本的模型的回复如下

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-fdfdf4a8d76d38ab27eaf46446d11e261642c33c.png)

而我们微调后的模型回复如下

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-2d76c0e4bf16c8f9d8d8ac0f90950824304bd015.png)

确实给出了对应的脚本

也可以尝试软件漏洞的利用脚本，比如：

某个软件应用程序被发现容易受到基于堆栈的缓冲区溢出攻击。假设目标系统采用了不可执行堆栈 (NX) 保护和地址空间布局随机化 (ASLR)，编写一个自定义漏洞利用程序来绕过这些安全机制

原本模型的执行如下

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-2ad9d12a8353607fca357d2a9164cf354ac62f6c.png)

是不会回复的

加载我们的模型

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-dac4671ba0ef9ea1f65e481bb6deced84bd2f9ac.png)

进行询问

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-c4e78b9e3b003df50d23b1693c18f86753428433.png)

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-b3717e07bb6e22095b145a05600925c9b8088c1e.png)

可以看到给出了完整的回复。

这就成功地微调出了我们私人订制的红队安全大模型。

参考：
===

1\. <https://airmdr.com/blog/beyond-gpt4-why-fine-tuning-llms-is-the-future-of-cyber-defense>

2\. <https://www.lakera.ai/blog/llm-security>

3\. <https://medium.com/@gurpartap.sandhu3/fine-tuning-llms-using-openais-gpt3-5-to-build-a-hyper-focussed-grumpy-greg-6ecddceedd09>

4\. <https://testvox.com/role-of-qa-in-cyber-security/>

5\. <https://thehackersmeetup.medium.com/unveiling-cyber-threats-the-role-of-log-analysis-in-cybersecurity-and-digital-forensics-73331d1eb0b8>

6\. <https://www.crowdstrike.com/en-us/cybersecurity-101/advisory-services/red-team-vs-blue-team/>

7\. <https://huggingface.co/datasets/Nitral-AI/Cybersecurity-ShareGPT>

8\. <https://serokell.io/blog/guide-to-foundation-models>

9\. <https://www.sangfor.com/blog/cybersecurity/what-is-cve-common-vulnerabilities-exposures>

10\. <https://pub.towardsai.net/low-rank-adaptation-lora-fedf37b92026?gi=a23b8faa11db>

11\. <https://llamafactory.readthedocs.io/zh-cn/latest/index.html>

发表于 2025-05-23 09:00:02
阅读 ( 303 )
分类：AI 人工智能

网络安全大模型微调：红队大模型

0 条评论