近日，由360集團創(chuàng)始人周鴻祎，360集團首席科學(xué)家、360數(shù)字安全集團CTO潘劍鋒等領(lǐng)銜的研究團隊所提出的《HyperGLLM：基于超圖增強大語言模型的高效終端威脅檢測框架》，被AAAI 2026收錄并在大會現(xiàn)場進行報告展示。該研究針對當(dāng)前終端安全中攻擊隱蔽、行為復(fù)雜等難題，提出了一種融合超圖推理與大語言模型的新型高效架構(gòu)，不僅推進了大模型在安全場景中的落地應(yīng)用，也為終端威脅檢測技術(shù)的進一步發(fā)展奠定了扎實基礎(chǔ)。

AAAI是國際人工智能領(lǐng)域最具影響力與權(quán)威性的學(xué)術(shù)會議之一，今年適逢其第四十屆年會。本屆會議共收到23680篇有效投稿，創(chuàng)歷史新高，其中4167篇被錄用，接收率僅為17.6%，為近三年最低。

隨著高級持續(xù)性威脅(APT)與隱蔽攻擊的日益普遍，終端檢測與響應(yīng)(EDR)系統(tǒng)已成為現(xiàn)代安全防護體系的核心支柱。然而，傳統(tǒng)基于規(guī)則或機器學(xué)習(xí)的方法，在面對持續(xù)演化、高度復(fù)雜的攻擊手法時，往往顯得力不從心。

近年來，大語言模型(LLM)憑借強大的語義與行為理解能力，為終端行為分析提供了新的可能。但在真實安全場景中，其落地仍面臨雙重考驗：一是終端事件規(guī)模龐大、實時性要求極高;二是攻擊行為往往交錯復(fù)雜，隱蔽而零散的惡意操作藏在海量正常行為中，對系統(tǒng)的長上下文建模與威脅行為檢測提出了嚴(yán)峻挑戰(zhàn)。

為此，360研究團隊創(chuàng)新地將超圖推理與大語言模型相結(jié)合，提出HyperGLLM框架。該框架首先構(gòu)建屬性-值的關(guān)系圖，以捕捉低階結(jié)構(gòu)語義并減少文本冗余;隨后，引入集成多粒度聚類的微分超圖模塊，用于捕捉交錯事件中的高階行為依賴關(guān)系;將超圖增強的語義表示與大語言模型對齊，從而實現(xiàn)對潛在惡意行為的高效上下文推理。

HyperGLLM框架

為了深入驗證研究結(jié)果，團隊構(gòu)建了大規(guī)模數(shù)據(jù)集EDR3.6B-63F，涵蓋36億條事件和63個行為家族。實驗評估顯示，HyperGLLM框架在惡意行為種類判別上準(zhǔn)確性高達94.65%，誤報率僅為1.67%。不僅顯著提升了大語言模型對超長EDR日志的建模效率，還在保持高效推理模型能力的同時，性能顯著優(yōu)于現(xiàn)有基線模型。

該項研究不僅推進了大語言模型在安全場景中的落地能力，也為終端威脅檢測領(lǐng)域的研究提供了堅實的基礎(chǔ)。目前，360在安全大模型賦能下，構(gòu)建了覆蓋威脅感知、分析、響應(yīng)的終端智能體蜂群體系，為政府、金融、能源、醫(yī)療等關(guān)鍵基礎(chǔ)設(shè)施提供持續(xù)進化的安全防御能力。未來，團隊將繼續(xù)推動AI與安全技術(shù)的深度融合，助力行業(yè)應(yīng)對日益復(fù)雜的新型威脅。