АВТОМАТИЗАЦИЯ ОЦЕНКИ ВРЕДОНОСНОСТИ СКРИПТОВ НА ОСНОВЕ БОЛЬШИХ ЯЗЫКОВЫХ МОДЕЛЕЙ ПРИ РАССЛЕДОВАНИИ КОМПЬЮТЕРНЫХ ИНЦИДЕНТОВ

В статье рассматривается возможность автоматизации одного из самых трудоёмких этапов расследования компьютерных инцидентов — анализа скриптов на предмет вредоносности. Для этого нами разработан специализированный датасет, включающий 98 скриптов на языках Python, PowerShell и Bash, размеченных экспертами на «вредные» и «безвредные». На основе этого датасета проведено сравнительное исследование проприетарной модели gpt-4-turbo и открытой LLaMA-3.1-70B с использованием подхода Chain-of-Thought (CoT) для повышения интерпретируемости выводов. Эксперимент показал, что LLaMA-3.1-70B достигла 100% точности (F1=1,0), хотя такой результат, вероятно, связан с ограниченным составом датасета. Модель gpt-4-turbo продемонстрировала более умеренные, но реалистичные метрики (F1=0,72), однако с высоким числом ложноположительных срабатываний. Полученные данные подтверждают перспективность интеграции больших языковых моделей в процессы цифровой криминалистики, при этом подчёркивают критическую важность учёта контекста выполнения скриптов.