文章总结： 该文档介绍了一个基于大模型的入侵日志分析程序，能够自动识别网络攻击行为如扫描、爆破和注入尝试，区分攻击者IP与正常IP，并输出包含攻击时间、次数等信息的结构化JSON结果。文档提供了完整的提示词设计和Python实现方案，展示了实际分析效果。 综合评分： 82 文章分类： 安全运营,威胁情报,AI安全,安全工具,漏洞分析

基于大模型的入侵日志分析程序

原创

hyang0 hyang0

生有可恋

2026年5月12日 09:58 湖北

在小说阅读器读本章

去阅读

使用大模型分析日志中的攻击行为，输出攻击者IP及次数。

提示词：

你是一个网络安全分析专家。请分析下面这段日志，完成以下任务：1. 识别可能的网络攻击行为（如扫描、爆破、注入尝试、非正常频率请求等）。2. 区分“正常IP”和“攻击者IP”：   - 攻击者IP：在短时间内有多次失败请求、高频访问敏感路径、或明显恶意特征。   - 正常IP：无上述行为，仅正常访问。3. 对每个攻击者IP，提取：   - 攻击开始时间（日志中该IP首次出现恶意行为的时间）   - 攻击结束时间（日志中该IP最后一次出现恶意行为的时间）   - 攻击次数（恶意行为的请求次数）4. 按以下 JSON 格式输出，不要输出其他任何解释或额外字段。输出格式示例（如有多个攻击IP）：{  "attackers": [    {      "ip": "192.168.1.100",      "attack_start_time": "2025-05-11 08:12:03",      "attack_end_time": "2025-05-11 08:15:22",      "attack_count": 47    }  ],  "normal_ips": ["10.0.0.1", "10.0.0.2"]}如果不存在攻击行为，输出：{  "attackers": [],  "normal_ips": ["所有去重后的IP列表"]}以下是日志内容：{日志内容}

demo 效果如下：

实测效果：

真实日志信息：

完整软件实现提示词：

使用 python 实现一个基于大模型的日志分析程序，大模型的信息如下：  api-key:  your-key  open-ai 格式的 API base url :  https://ark.cn-beijing.volces.com/api/coding/v3  模型：ark-code-latest提示词：。。。最终程序接受一个或多个文件，输出 json 格式的数据

全文完。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：生有可恋 hyang0 hyang0《基于大模型的入侵日志分析程序》