CTI-Specialist：面向威胁情报领域的多模态大语言模型

CTI-Specialist是一款针对网络安全威胁情报领域微调的多模态大语言模型，能够处理文本、代码和结构化数据，定位为安全分析师的智能助手，辅助完成恶意样本分析、IOC提取、攻击链重构等任务，解决传统方法和通用大模型在威胁情报领域的不足。

当今网络安全威胁复杂隐蔽，APT、勒索软件等新型攻击层出不穷；威胁情报工作面临数据海量、格式多样、专业门槛高的问题，传统规则匹配难以应对变种威胁，通用大模型缺乏安全领域专业知识。

基础模型选择：基于7B-13B参数的开源模型，平衡效果与部署成本； 领域数据构建：整合MISP、VirusTotal等公开源、安全厂商报告、漏洞数据库、恶意样本分析报告及专家标注数据； 微调策略：三阶段（领域预训练→指令微调→多模态对齐），注入安全领域知识与多模态能力。

1. 恶意脚本分析：解读混淆脚本逻辑，识别可疑行为；
2. 威胁报告摘要：自动提取报告关键信息生成结构化摘要；
3. 攻击事件调查：整合线索还原攻击链，提供调查方向；
4. 情报问答：自然语言查询威胁知识，返回准确结果及来源。

• 数据敏感性：采用脱敏处理+合成数据生成保护隐私；
• 知识时效性：结合RAG技术查询最新情报弥补知识截止问题；
• 误报风险：强调可解释性，提供分析依据辅助人工复核；
• 对抗攻击：引入对抗样本训练提升鲁棒性。

• 传统规则引擎：灵活性差，难以应对未知威胁；
• 机器学习分类器：通用性不足，仅针对特定任务；
• 通用大模型：缺乏安全专业知识； CTI-Specialist优势：结合通用语言能力与领域知识，支持多模态数据直接处理。

项目开源内容包括：微调模型权重、脱敏训练数据集、完整微调代码、威胁情报任务评测基准，旨在促进安全AI领域协作与技术共享。

局限性：覆盖新兴威胁不足、非英语支持待提升、实时性较差、需关注伦理合规； 未来方向：扩展威胁覆盖范围、增强多语言能力、优化实时推理、建立使用准则与审核机制。