近日，由360集團(tuán)創(chuàng)始人周鴻祎，360集團(tuán)首席科學(xué)家、360數(shù)字安全集團(tuán)CTO潘劍鋒等領(lǐng)銜的研究團(tuán)隊(duì)所提出的《HyperGLLM：基于超圖增強(qiáng)大語(yǔ)言模型的高效終端威脅檢測(cè)框架》，被AAAI 2026收錄并在大會(huì)現(xiàn)場(chǎng)進(jìn)行報(bào)告展示。該研究針對(duì)當(dāng)前終端安全中攻擊隱蔽、行為復(fù)雜等難題，提出了一種融合超圖推理與大語(yǔ)言模型的新型高效架構(gòu)，不僅推進(jìn)了大模型在安全場(chǎng)景中的落地應(yīng)用，也為終端威脅檢測(cè)技術(shù)的進(jìn)一步發(fā)展奠定了扎實(shí)基礎(chǔ)。

AAAI是國(guó)際人工智能領(lǐng)域最具影響力與權(quán)威性的學(xué)術(shù)會(huì)議之一，今年適逢其第四十屆年會(huì)。本屆會(huì)議共收到23680篇有效投稿，創(chuàng)歷史新高，其中4167篇被錄用，接收率僅為17.6%，為近三年最低。

隨著高級(jí)持續(xù)性威脅(APT)與隱蔽攻擊的日益普遍，終端檢測(cè)與響應(yīng)(EDR)系統(tǒng)已成為現(xiàn)代安全防護(hù)體系的核心支柱。然而，傳統(tǒng)基于規(guī)則或機(jī)器學(xué)習(xí)的方法，在面對(duì)持續(xù)演化、高度復(fù)雜的攻擊手法時(shí)，往往顯得力不從心。

近年來(lái)，大語(yǔ)言模型(LLM)憑借強(qiáng)大的語(yǔ)義與行為理解能力，為終端行為分析提供了新的可能。但在真實(shí)安全場(chǎng)景中，其落地仍面臨雙重考驗(yàn)：一是終端事件規(guī)模龐大、實(shí)時(shí)性要求極高;二是攻擊行為往往交錯(cuò)復(fù)雜，隱蔽而零散的惡意操作藏在海量正常行為中，對(duì)系統(tǒng)的長(zhǎng)上下文建模與威脅行為檢測(cè)提出了嚴(yán)峻挑戰(zhàn)。

為此，360研究團(tuán)隊(duì)創(chuàng)新地將超圖推理與大語(yǔ)言模型相結(jié)合，提出HyperGLLM框架。該框架首先構(gòu)建屬性-值的關(guān)系圖，以捕捉低階結(jié)構(gòu)語(yǔ)義并減少文本冗余;隨后，引入集成多粒度聚類的微分超圖模塊，用于捕捉交錯(cuò)事件中的高階行為依賴關(guān)系;將超圖增強(qiáng)的語(yǔ)義表示與大語(yǔ)言模型對(duì)齊，從而實(shí)現(xiàn)對(duì)潛在惡意行為的高效上下文推理。

HyperGLLM框架

為了深入驗(yàn)證研究結(jié)果，團(tuán)隊(duì)構(gòu)建了大規(guī)模數(shù)據(jù)集EDR3.6B-63F，涵蓋36億條事件和63個(gè)行為家族。實(shí)驗(yàn)評(píng)估顯示，HyperGLLM框架在惡意行為種類判別上準(zhǔn)確性高達(dá)94.65%，誤報(bào)率僅為1.67%。不僅顯著提升了大語(yǔ)言模型對(duì)超長(zhǎng)EDR日志的建模效率，還在保持高效推理模型能力的同時(shí)，性能顯著優(yōu)于現(xiàn)有基線模型。

該項(xiàng)研究不僅推進(jìn)了大語(yǔ)言模型在安全場(chǎng)景中的落地能力，也為終端威脅檢測(cè)領(lǐng)域的研究提供了堅(jiān)實(shí)的基礎(chǔ)。目前，360在安全大模型賦能下，構(gòu)建了覆蓋威脅感知、分析、響應(yīng)的終端智能體蜂群體系，為政府、金融、能源、醫(yī)療等關(guān)鍵基礎(chǔ)設(shè)施提供持續(xù)進(jìn)化的安全防御能力。未來(lái)，團(tuán)隊(duì)將繼續(xù)推動(dòng)AI與安全技術(shù)的深度融合，助力行業(yè)應(yīng)對(duì)日益復(fù)雜的新型威脅。