安恒信息：恒脑·安全垂域大模型详解20230902

一、安全垂域大模型——恒脑 今天主要汇报一下安恒在大模型上的实践以及现阶段的一些成果。ChatGPT带来大模型的技术和产业的浪潮，未来的国内外的各大巨头也是先后地发布了通用大模型，当前的通用大模型，它具备了非常强的通用知识的能力、推理的能力以及语言对话的能力。安恒信息是一家专注于网络与数据安全的一家企业，如何利用大模型在安全产品、安全服务以及内部运营上带来一些质的提升和变化，是安恒投入大模型的一个原动力。 通过半年的努力，我们构建了安全垂域大模型——恒脑，让网络安全产品安全更易用、更高效、更可靠。 恒脑大模型的诞生，不是一蹴而就的。对于垂域大模型来说，最重要的是海量细分领域的安全知识数据。幸运的是，安恒在过去16年的时间拥有了宝贵的实战经验，更重要的是我们真正意义上的把这类的安全业务数据变成能力知识数据，把专家数据形成了平台级的能力知识数据。 在过去的半年中，通过7轮大规模的增量预训练以及数十次的微调，形成了恒脑的雏形。我们在半年中喂了各种领域的数据，包括安全测试，安全运营的数据，恒脑全盘吸收。在我们的训练过程中，我们每一位在从事大模型训练的人是真正更加切身感受到大模型的魅力。同时在过去我们也是结合了大运会安保经验的实战打磨，现在我们的恒脑大模型已经具备了非常优异的一些成绩。 在应用安全、威胁分析、安全运维、渗透测试的某些具体领域里面，我们发现恒脑的很多的能力已经优于了绝大部分国内外非常领先的通用大模型。 举一个针对于本地文件包含与远程文件包含之间区别的例子。在左边的这一幅图是由ChatGPT生成的，我们问了他这一个问题，其实大家可以看到他整体回答的从一眼看的角度是非常专业的，有文字的，有代码的，有比较的一些叙述 。但是仔细看发现他回答的是错的。他整体的回答其实指的本地文件包含跟远程文件包含核心的区别点是在于调用的函数不一样。 但是我们的恒脑其实更多从一些角度准确回答，包括它的影响范围、攻击的复杂度以及防御的难度多个维度进行了全面性的阐述，所以恒脑在很多的知识领域里面，尤其在在数据安全的知识领域里面已经优于了通用的大模型。当然客观地说ChatGPT因为它有海量的知识训练，它里面包含了部分的安全知识，所以ChatGPT本身在一些安全知识上回答得也是非常不错。但是我们相信随着我们对于安全技术的理解，包括人工智能的理解，以及我们不断地安全知识的投喂，包括未来针对于各类的安全实战场景下的打磨和实践，未来恒脑一定会在安全领域方面全面超过通用。 我们认为在安全领域中，安恒恒脑大模型的下半场是智能体的大爆发。对于安全垂域大模型来说，不仅是让他变成一种问答专家，同时我们更需要的是让他能帮助我们去处理更多的任务。 去年安恒专门成立了opensecurity的能力中台，把我们的产品标准化、接口化 ，形成了我们产品的原子化，再结合我们的恒脑基础之上，形成了以感知、决策、执行、反馈等全链条的智能化解决方案。 在感知层面，每一次的用户交互变革都是一次重新洗牌的机会。其实对于大模型来说，它天然具有了非常强的自然语言的对话能力，这可以让很多的产品都值得用大模型重新再做一遍。 第二，在决策方面，因为对于很多的安全任务来说，它是一个复杂的推理过程 ，凭借恒脑强大的推理能力，再结合我们的一些小模型，各类的技术插件，可以实现对于安全任务的再分析、再拆解以及在安全垂域知识的掌握，以及对于安全知识的掌握进行再次的研判。 第三，针对于系统信息以及用户反馈，将形成更大尺度的训练和提升。我们大模型和智能体的上下文处理能力，打造更广泛的一个数据飞轮，不断地自我进化，不断地扩展处理安全的能力边界。 目前我们已经建立调用各类的原子能力，实现了数十项的插件集成。在未来一段时间内，我们将利用大模型的代码生成能力，通过大模型去生成API，去调用更多第三方的插件，最终使得借助大模型为核心的智能体，在安全领域里面成为真正的全能安全副驾驶，成为真正的靠谱的安全小伙伴。 在以恒脑为核心的智能化一体解决方案里，我们形成了1+4+X的模式，基于一个能力底座，四种身份定位，实现X种可能性。针对于目前我们是实现了包括安全培训、安全运营、安全咨询与安全门诊医生的四种角色，未来我们在角色上面会进行无限的延伸，去服务更多的安全场景。 未来我们主要有五个战略发展方向。 第一是提升我们产品的能力。我们目前的大模型为核心的智能体已经支持了云化以及私有化的部署方式，提升我们的产品竞争力。今天也会发布第一款安全运营类的产品，未来我们也会不断地去发布全新的产品，更多的产品接入。 第二是用大模型去提升我们服务能效。这里面涉及到几个方面，第一个方面是利用大模型的一些能力化身为导师，帮助我们的安全从业人员更好地去处理一些安全问题，实现真正的服务产品化、服务标准化。第二方面大模型本身借助它的一些插件能力、调用能力等等，实现可以代替安全服务人员工作的能力。 第三个是赋能更广泛的客户。我们接下推出的互联网安全医院，通过大模型结合SaaS化，可以让用户更好地、更易用地去进行咨询，包括安全的诊断，安全的处置等。 第四个是填补人才缺口。这边有一组数据显示2027年我们全国的网络安全人才缺口有300万。针对于大模型，它一方面是可以去代替人的一些工作，去减少这里人才的一些缺口，但另一方面大模型可以化身为网安人才的私教，然后通过全天候陪伴教学，实现人才培养的加速。 第五是助力生态合作伙伴。我们会把恒脑开放出来，以帮助我们的生态合作伙伴共同去建立安全运营中心。同时我们会让更多的内部产品接入到外部，也让更多的外部产品接入到恒脑大模型里面，助力整个安全产业的发展。 从智能大模型到智能体，它是一个以知促行，知行合一的过程。我们在安恒大模型的事情上会稳扎稳打，知行合一一步一个脚印，包括今天我们会推出安全运营平台的全面升级，然后在网络安全周里面会去上线我们的恒脑体验中心， 在亚运会中我们会对天穹运营中心进行全面升级，包括后面的互联网大会，我们针对于互联网安全医院会进行全面的升级。另外我相信在对于安全的理解驱动下，我们安恒恒脑大模型一定会不断地成长，为网络安全事业的建设添砖加瓦。 二、安全运营平台升级发布 安全运营目标结果很明确，就是为了去确保零事故的发生，但实际上通过人工智能的引入，我们希望能够在安全运营的过程中，在人机协作中更好的去控制成本，提高效率。安恒的安全运营平台经过前期四年的发展，我们也一步步的走来。 第一阶段，我们以SOR技术为基础，通过自动化编排这种联动剧本，实现了自动化的触发式的响应。 第二阶段，其实我们也发现很多客户对于安全运营的需求越来越旺盛，它的运营团队实现了规模化，它的安全管理更加制度化，在这个过程中，我们通过平台软件能够灵活编排这种复杂协作流程，满足客户复杂场景规模化运营。 第三个阶段，其实我们也发现很多安全的客户在建设过程中，它其实是循序渐进的，并且在这个过程中，很多安全能力是多厂商异构的，其实为了符合这种建设现状，我们把整个安全能力进行了解耦。目前我们整个安全运营平台能够支持业内主流的态势感知，包括安全分析的平台，实现了开放式的一个运营架构。 第四阶段，当下随着大模型技术的成熟和演进，我们希望通过大模型的赋能，给我们的专家提供更好的智能化辅助，能够降低我们的运营成本，提高我们的易用性和效能。 此次安全平台的升级对于安全分析师来说可以分为两大板块：如何通过大模型的辅助完成单兵作战，以及通过人机协作，针对复杂场景进行多人模式的联合运营。在单兵作战这种分析师的场景中，其实我们基本上是完成一个基本的解读文件的检测，包括情报查询和指令下发。在联合作战场景中，其实我们是进行了多人协作，包括规则编写、分工执行，闭环跟踪。 安全分析师是整个安全运营的核心大脑，而安全运营的管理者其实也是很关键的角色。针对于安全管理者，我们是如何能够通过人工智能辅助来提高易用性的体验感呢？这边列举了四个场景。 第一个场景就是报告服务。报告服务是一个比较常见的场景，我们需要去把我们的成果和价值进行输出的一种形式，那么传统的模式的话，我们可能会通过安全分析的结论来补充，我们有哪些相关的修复的建议，完善一些平台运行的建议和方案。 那么在引入了恒脑能力之后，这一块我们直接能够通过恒脑小助手来进行相关建议的补充。不管是关于运行的指导，还是专家建议的优化，我们都可以直接通过自然语言来提出相关的问题，来帮我们来补充相关的内容。并且在我们完成相关内容的专家填充之后，我们能够快速一键生成相关的分析报告，完成最终结果的提交。 第二个场景化就是针对于数据分析的场景。我们在做安全运营的时候，科学的决策经常需要必要的数据支撑，在这个环节，传统的模式化需要通过数据分析的意图，首先去选择当前这个数据意图关联的数据项和数据表，在这个过程中 ，我们也尝试去用一些低代码的技术，通过配置化去做一些灵活的选择。通过这种灵活选择之后，通过关联的逻辑去筛选出当前数据分析期望的结果。 当我们引入了恒脑的这种安全的智能能力之后，我们就可以通过自然语言来提问，然后恒脑的能力就会赋能给我们平台自动调取里面相关的数据内容，并且我们针对数据的展现形式来提出自己的一些要求。比如说我们希望把它展示成一个图表状，它就可以去帮我们去筛选当前这个数据如何来进行一个可视化的展示。 第三个场景就是针对流程设置。不管是安全分析的流程，还是在安全运营的过程中的流程管理，实际上每个客户单位和客户场景都会有一定的差异。我们经常需要在客户项目实施过程中来进行这种传统的业务配置，每个环节我们需要去介入一些关联数据，包括一些关联接口来实现这种连续的业务逻辑分析，包括业务协作。 引入了恒脑的能力之后，其实我们在这一块创建了一个AI指令分析组件，在这个组件里面我们可以提出一个问题，然后它会去帮我们持续推荐当前这个问题下的相关业务动作，这样就能够快速生成流行的配置，只需要去检查和复核这个流程来进行微调就可以了。 第四个场景就是针对态势呈现。态势呈现是运营管理者经常需要关心的运营成果的输出窗口。在这一块，其实原来也能够通过拖拉拽的方式去完成一个大屏的快速构建。比如说我们会选择一些关联的数据内容，比如说关联数据呈现的一些形式，在我们进行一些相关的配置，去完成一个大屏的呈现。 引入恒脑之后，这个事情比原来更加简单了。我们可以提出一个主题类的问题 ，比如说我们关心一个针对于攻击态势的大屏，那么恒脑首先会筛选一下，大家可以选择一个基础的模板来进行修改或者优化。比如说我们希望调整筛选的时间窗变成一周，包括我们能够快速去变化一些主题的样式，比如说更改配色 ，我们就能够快速的应用到我们的客户现场。 平台升级针对运营管理者主要是在体验方面，通过这种高易用性让体验价值有所提升。传统的模式我更愿意把它总结成一种低代码交互的方式。比如说报告服务，数据分析，流程设置和态势呈现，其实都在原来已经通过低代码的技术实现了部分的配置化和灵活化。但是大模型时代的到来给我们创造了新的机会 。比如说针对报告服务，我们可以通过专家经验的导入、内容的润色来进行快速的完成。 针对数据分析，我们可以通过自然语言的交互来输出相关的这种报表。包括流程，我们可以通过智能意图的理解来简化流程的编辑。包括态势呈现，我们可以经过主题的这种需求识别来优化我们这种大屏的设计，这个实际上是针对于运营管理者的一些易用性的体验提升。 希望除了安全分析师和运营管理者，我们的合作伙伴可以帮助我们一起共建生态。其实我们在这一次安全运营平台里面，会有一个专门的渠道版本，希望除了我们安恒自建的运营中心，包括我们客户直销的运营中心之外，未来也能够 更多的赋能给我们的合作伙伴，一起来去让更多的客户感受到这种智能化辅助的支持，与合作伙伴一起来共建共享，服务于更多的客户。 最后在这里简单小结一下。我们通过安恒恒脑的赋能，针对于安全分析师已经实现了智能化研判的辅助，包括平时的单兵攻关和联合作战。然后我们也在持续打磨与探索如何围绕着运营管理者提升体验价值。未来我们的