深信服北京分公司解决方案主管 张昊

近年来，大模型技术发展火热。从咨询机构数据可知，产业界对大模型的态度已从追捧期进入冷静期，从技术探索回归到大模型的商业价值实现，例如利用大模型实现业务降本增效、重塑业务流程、提升市场反应速度等。在网络安全领域，需要思考如何让大模型产生 “击穿式” 效果，击穿过往数字化、自动化、智能化难以逾越的墙壁，在关键场景和节点实现质与量的飞跃，结合AIGC重塑安全工作流程，形成规模化、智能化方案。

大模型为网络安全带来全新的机遇和想象空间，网络安全领域与大模型擅长的能力有很高的匹配度，从大模型“涌现”能力的基本特性出发，找到“安全场景”与“文本语义”、“工具智能”的契合点，能够重塑各领域安全应用。第一是超强的语言/语义理解能力，可应用于代码识别/审计、漏洞挖掘、文档管理、权限治理等场景；第二是海量知识嵌入和检索能力，能够把行业知识、安全知识、威胁情报融入到安全事件分析、研判的过程中，提高事件分析的准确性和全面性；第三是文本生成和推理能力，有助于生成基于安全事件的问答和解决方案。第四是任务规划与工具使用，能够形成自动化、智能化的联动和攻防能力。基于这四种模型能力进行产品化就构建出安全的大模型，如威胁检测大模型、安全运营大模型、数据安全大模型、身份安全大模型、代码开发安全大模型等。

然而，安全大模型看起来很美好，但建设落地和发挥效果上还面临诸多挑战。一是如何与现有安全体系平滑对接，激活已有安全投资建设；二是如果一个一个大模型来建设、升级、验证，会造成重复对接、投资分散，资源浪费；三是大模型技术和安全场景在不断发展变化，如何持续和平滑演进；四是每个企业的业务场景、管理制度、安全建设要求各不相同，大模型如何能懂业务、懂场景、懂客户；五是大模型落地需要大量算力，叠加国产化要求，如何灵活适配和交付。

针对这些挑战，我们的思考与浅见：一是相信大模型能够给网络安全能够带来本质上的变化，是网络安全的未来；二是不建议在每个安全细分领域同时、全面开展大模型的建设，建议按照场景和优先级，逐步地探索、实践和打磨；三是为了给安全体系带来真正的效果，应与实际的业务环境紧密连接，构建涵盖“感知-规划-行动-反馈”完整的安全智能体形态，而不只是智能对话和问答；四是大模型建设应化繁为简，避免“烟囱”或“盒子”的建设方式，建议整体统筹安全AI建设规划，统一数据与模型底座是必要的，以更好的实现场景扩展、性能优化、资源调度、可用性、可靠性、可维护性等要求；五是大模型开始改变传统甲乙双方的建设和协同关系，安全智能体层面的共创和协同会逐渐成为一种选择趋势。

在解决方案上，基于大模型的安全智能体广泛对接现有的安全设备和平台，通过多场景专家模型赋能多个安全场景。主要的思路是，现有安全设备和平台通过标准通道发送所需数据到数据和模型底座，进行接入、分发和调度，为AI安全平台提供数据支持。AI安全平台上的各个专家大模型实现威胁告警分析研判、任务指导、知识赋能等能力，同时能够调用威胁情报、API、SOAR、搜索引擎等工具，另外能够基于反馈指导模型持续学习业务特征，降低误报漏报。

其建设架构为：建设一套安全数据湖底座，安全数据一次性接入和治理，所有领域专家模型共享，避免重复对接和网络消耗。建设一套大模型管理底座，同时支撑威胁检测、安全运营、数据安全、零信任等多个安全细分领域专家模型的算力调度和优化，并提供高可用性和高可靠性保障。未来能够在这个AI安全平台上去持续的演进和迭代，逐步探索大模型和安全智能体的开放性，让它成为一个能够持续生长的平台，赋能更多的安全场景。

目前较为成熟的领域专家模型包括：安全运营大模型，实现全量告警自动研判，聚合、去冗、降噪、分类定性。能够基于事件研判结论，自动推荐处置方式。能够基于自然语言处理，进行态势解读、情报分析、威胁研判、安全百科等；Web威胁检测大模型，实现高对抗、高混淆Web攻击威胁与攻击成功检测，基于自然语言的Web攻击解读；钓鱼威胁检测大模型，实现高对抗、高混淆钓鱼邮件威胁与攻击检测，分析维度包括邮件文本内容、加密附件文档、二维码图片、URL链接等各环节异常；另外还有数据访问风险大模型、权限与行为风险大模型等。

在建设落地阶段，建议优先搭建统一的数据湖底座和大模型管理底座，做好数据对接规范设计与治理工作，然后优先选择高价值场景，以及已有一定实践效果的模型熟度高的模型进行部署上线，如安全运营、威胁检测、钓鱼等模型。在第一批模型使用中，迭代优化南北向数据对接规范和流程，通过持续的数据飞轮运营，比如模型升级、客制化规范导入、误报告警标注等，不断完善和调整模型固有知识和输出，引导模型更加贴合业务。逐步上线第二批模型，如数据访问风险大模型、权限与行为风险大模型。未来可以探索新的细分领域专家模型，比如资产安全治理大模型、端点威胁检测大模型等，或基于AI安全平台进行客制化的安全大模型训练或安全智能体的开发。

安全大模型在2024年国家实战攻防演练中已崭露头角，深信服在30多个用户中部署了安全大模型，并在攻防演练中取得显著成效，我们得出了一些数据。

安全运营大模型，在攻防演练过程中，告警量相较于平时会有大幅上升，随着演练时间的不断延长，安全人员难以应对海量告警，难以通过高强度的“多班倒”进行人员集中防护，监测分析疲于奔命、处置不过来。安全大模型可以扮演安全专家的角色，7*24小时实时在线，实现N+E+X告警关联与安全事件研判，生成威胁运营报表报告。从效果上看，安全大模型通过接入各个厂商设备报送的海量告警，以智能体的方式全量逐条分析安全告警，平均降噪率可达99%，处置效率是普通人的200倍，大幅提升了安全运营效率，实质上解决了企业安全人员不足的困境。使2人+安全运营大模型的效能相当于25人+传统安全运营平台，让信息化人员精力充分释放出来，去研究数字化业务创新，而不是陷入在海量的威胁告警中。

Web 威胁检测大模型，突出的自然语言处理、长上下文关联能力，可以高效解析系统命令、SQL、Java、php等专有安全文本，对webshell加密通信、加密漏洞（如shiro）、Java反序列化等高危攻击风险有很好的检出效果，远超传统引擎。检测精准率达96.6%，高对抗攻击检出率95%，并实现了40 起 0-Day 攻击利用独报。在已经披露的190个0 Day漏洞中，安全大模型可以无先验知识检测出其中的182个，0 Day检出率95.8%。在头部的电网客户中，通过大模型上报告警近5000条，其中高对抗检出占比30%以上，大模型二次分析后重点事件16起，多为大模型独报。

钓鱼威胁检测大模型，能够基于邮件内容语义理解，识别钓鱼意图，能够很好地解决过去检测规则难以区分的钓鱼问题，如基于二维码的钓鱼攻击、基于加密附件的钓鱼攻击、基于文本+图片的钓鱼攻击等。在24年攻防演练期间，钓鱼检测大模型每分析邮件超十万封，检测精准率 96%以上，意味着每检出100封邮件至少有96封是确定钓鱼，其余可能是可疑及业务不规范的邮件内容，可以通过人员反馈和标记持续优化，在实战中很好地解决了大量二维码钓鱼、加密文档钓鱼（密码附在不同上下文中）问题，为用户有效缩减了至少40%的人工审核工作量。独报钓鱼邮件2400封，实现了252个定向钓鱼攻击的检出，相比传统邮件安全方案有质和量的变化。

在数据安全方面，致力于构建网数融合的架构，通过共享数据湖对各个场景的设备及日志进行集中汇聚、分析，实现网络安全、数据安全统一分析、统一运营的安全新态势。大模型可以赋能动态数据识别，我们取得了以下一些成果：自动推理准确率提升至85.82%、整体分类分级效率提升13.41倍、成型一套大模型分类分级的工作流程、开发了一套数据聚类筛选算法、推出置信度方案，进一步降低人工投入、推出增量学习方案，让模型更具普适性，相信未来能够通过大模型有效解决当前在数据安全方面，分级分类难、数据流转可视度不足等问题。
 

✦精彩推荐✦

（点击下方图片查看详情）






添加CIO时代“小希”，