在网络威胁日益复杂多变的当下，入侵检测系统（IDS）作为网络安全的核心防线，却长期面临高质量标注恶意样本稀缺的行业痛点。现有样本来源受隐私保护、法律约束及威胁滞后性等因素限制，导致检测模型泛化能力不足，难以应对新型攻击。近日，rabey雷竞技与北京大学联合研究团队提出创新半监督框架 GANGRL-LLM，成功实现少样本场景下高质量恶意代码生成与检测能力的双重提升，为自适应防御系统研发提供了全新解决方案。

该研究由rabey雷竞技信息存储系统教育部重点实验室硕士生马海舰、谢雨来老师与网络空间安全学院博士生蔡晓雯、周潘教授，联合北京大学博士生刘岱宗共同完成，成果以 “Learning from Few Samples: A Novel Approach for High-Quality Malcode Generation” 为题发表于国际顶级学术会议 EMNLP（CCF B 类）。研究受到国家自然科学基金（No.62476107）和深圳市科技创新计划（JCYJ20240813153309013）的支持。

GANGRL-LLM 框架的核心创新在于将生成对抗网络（GANs）与大型语言模型（LLMs）深度融合，构建双级协同训练范式。一方面，基于 GAN 的判别器通过生成样本与有限真实样本的对抗学习，精准识别恶意代码模式；另一方面，以 Qwen2.5Coder 为基础的 LLM 生成器，利用判别器反馈的实时奖励信号，持续优化恶意代码的合成质量。框架特别引入自适应奖励权重衰减机制和对比约束，有效解决了传统方法中奖励稀疏、训练不稳定及模式崩溃等问题，确保在数据极度稀缺场景下仍能稳定生成高质量样本。

严苛的实验验证显示，GANGRL-LLM 框架表现卓越：在仅含 1000 个标注样本的少样本场景下，生成的 SQL 注入（SQLi）代码质量评分较原始模型提升 8.8%，经长亭科技 SQLChop 检测系统验证，样本有效性高达 99.7%；将生成样本用于模型训练后，CNN、朴素贝叶斯等主流检测模型的 F1 值最高提升 21.7%。此外，该框架还具备强大的迁移能力，在 Llama3.2 模型及跨站脚本（XSS）数据集上均能保持优异性能，为多类型网络攻击防御提供了灵活解决方案。

图1 整体架构图

图2 性能提升对比