行业研究公司研究宏观策略财报招股书会议纪要中央经济工作会议低空经济 DeepSeek AIGC 智能驾驶大模型

大模型加速走向真运营

信息技术2024-09-25梁浩极客传媒y***

AI智能总结

安全运营现状分析及大模型应用总结

安全运营普遍需求

安全运营的核心目标是识别、评估和管理安全风险，采取必要措施降低风险，确保网络的安全性和可用性，并持续维护和提升系统安全性。具体需求包括：

重大活动保障：在重大节日或重要活动期间实现7×24小时全天候安全值守，事前查漏补缺，事中实时监测，事后启动应急响应。
安全工作协同：通过行业联防联控机制，提升整体网络安全保障水平。
日常运营支撑：针对行业应用系统或数据资源开展常态化安全监测，感知网络安全态势，并结合最新情报快速通报预警。
安全合规建设：落实网络安全监测预警和通报制度，建立健全风险评估和应急机制，确保安全策略动态有效性，满足合规需求。

传统SIEM平台的困境与挑战

随着企业信息化程度提升，传统SIEM平台面临以下困境：

数据量激增：日志、告警等安全数据呈指数级增长，传统SIEM系统数据处理能力不足。
威胁情报集成不足：难以整合外部威胁情报，导致无法及时识别新型威胁。
数据类型多样化：对非结构化数据（文本、图片、视频等）的处理能力有限。
检测规则僵化：基于预设规则的检测方式无法应对不断变化的威胁手法，导致漏报和误报率高。
实时处理需求：面对高级威胁和零日漏洞，实时数据处理能力不足。
响应速度慢：缺乏自动化响应机制，人工介入延误最佳响应时机。
威胁检测与响应滞后：精准检测往往牺牲全面性，全面检测又牺牲准确性，威胁检测覆盖度与人工分析能力难以两全。

大模型如何改变安全运营现状

大模型作为核心引擎，有望解决传统SIEM平台的局限性，实现安全运营的智能化升级：

技术目标：构建AI原生安全运营平台，实现规则到思考的转型，客户环境自适应，模块化控制业务，提供方案灵活性。
大模型擅长领域：内容安全、数据安全、攻击特征/代码识别、世界知识赋能。
大模型当前应用：告警分析和解释、误报判断、报告生成、辅助规则生成与调优。
大模型局限性：特定问题处理的实操经验不足、自我知识强化和持续学习能力有限、大量结构化数据分析能力受限、海量数据处理能力不足、复杂任务处理效率低。
工程实践：采用小参数、多智能体协作模式，优化安全大数据到事件小数据的逐层精炼工程。

大模型应用效果总结

产品升级：通过智能化升级分析、响应和管理，实现真运营。
真运营实现：智能辅助持续降低运营成本，实现有人味的数字人互动讲解。
核心观点：大模型不是魔法，但有望实现真运营。

安恒信息/梁浩目录 Content 安全运营的现状分析01 大模型如何改变安全运营现状02 大模型应用效果总结03 安全运营的现状分析安全运营普遍需求重大活动保障安全工作协同日常运营支撑安全合规建设识别、评估和管理所面临的安全风险，并采取必要的措施并采取必要的措施来降低风险。通过网络安全运维，防范各种网络安全威胁，确保网络的安全性和可用性，使网络系统的安全性得到持续维护和提升。落实网络安全监测预警和通报制度，建立健全网络安全风险评估和应急机制，有效识别和消除安全隐患，落实管理和技术举措，保障安全策略动态有效性、满足安全合规需求。在一些重大节日或重要活动等时间节点，能够7×24小时全天候安全值守，事前查漏补缺，补齐安全短板，事中实时监测，快速研判分析，事后启动应急消除事件影响，实战化要求越来越高。针对行业应用系统或数据资源开展常态化安全监测，感知网络安全态势，结合最新情报快速通报预警，形成行业联防联控网络安全风险能力，整体提升行业网络安全保障水平。传统SIEM平台的困境数据量激增威胁情报集成不足随着企业信息化程度的提升，日志、告警等安全数据呈指数级增长，传统SIEM系统的数据处理能力已难以应对。传统SIEM系统在整合外部威胁情报方面能力有限，导致无法及时识别新型威胁。数据类型多样化检测规则僵化面临的挑战与局限性除了结构化数据，非结构化数据（如文本、图片、视频等）在安全分析中的价值日益凸显，而传统SIEM系统对此类数据的处理能力有限。基于预设规则的检测方式无法应对不断变化的威胁手法，导致漏报和误报率居高不下。实时处理需求响应速度慢面对高级威胁和零日漏洞，实时数据处理能力至关重要，传统SIEM系统在这方面存在明显不足。由于缺乏自动化响应机制，传统SIEM系统在发现威胁后往往需要人工介入，延误了最佳响应时机。威胁检测与响应有滞后性数据处理能力有瓶颈运营现状：精准检测，牺牲全面性关注和响应高质量、高风险和高确定性告警！现实情况：高级威胁（或针对性攻击）所采用的技术，如攻击特征隐藏/特征消除、无代码攻击、白利用、加密通信等，具有隐蔽性增强、潜伏周期长的特点，想要实现精准检测很困难，通常会产生大量异常/可疑类的行为特征、统计特征告警（如ueba、时间序列异常检测、加密通信算法检测等告警），在精准检测以求降噪和降低告警分析工作量的场景下，不得不降低或关闭此类泛化的弱信号检测，造成高级威胁漏报。威胁检测覆盖度与依赖人工的分析能力难两全运营现状：全面检测，牺牲准确性关注覆盖更多的攻击技战术！现实情况： •有经验的分析师1天能分析多少告警？•有经验的分析师是否整天都在分析告警？•有经验的分析师是否一直愿意分析告警？一个"典型的"中型企业每日告警量：针对已知威胁1k - 10k告警，针对未知威胁10k - 100k告警。在这海量告警中，有明显特征的告警：至少需要分析师“看一眼”->核查误报，打标结果，提交处置；无明显特征的告警：更需要借助工具（如splunk）做多步详细调查（统计、聚合、趋势分析、上下文挖掘、情报分析和验证等）->规避漏报，识别风险，远程取证。威胁检测覆盖度与依赖人工的分析能力难两全真运营目标：全面检测，精准检测安全大数据->事件小数据的逐层精炼工程大模型如何改变安全运营现状真运营的希望：大模型技术目标：AI原生应用产品设计-思考AI从简单使用AI到AI原生现有平台业务整合，对外一个平台数据利用-知识驱动数据与知识生态驱动围绕运营体系集成基础产品能力 AI原生安全运营平台规则到思考-客户环境自适应模块化控制业务，提供方案灵活性智能化-自动化与MSS统一，沉淀全公司运营体系技术架构：大模型作为核心引擎大模型擅长做什么 内容安全（天然匹配，识别恶意/有害/敏感内容）->面相公众的信息发布审核、内容风险治理数据安全（非结构化数据的分析和处理）->数据分级分类（数据安全的基础）、API风险监测、DLP告警分析攻击特征/代码识别（语义理解能力）->基础安全方向的核心需求（威胁检测+告警研判）世界知识赋能（安全基础培训）大模型目前可以做什么类比自动驾驶L3，人机协作 告警分析和解释：攻击特征分析、攻击代码解释、攻击过程还原误报判断：DLP、社工钓鱼、业务风险等类型告警辅助判断报告生成：安全事件分析报告，Summary能力辅助规则生成与调优：辅助生成和优化各类规则和配置文件大模型不擅长做什么特定问题处理的实操经验例如，在处理失陷账号告警时，大模型可能无法准确判断告警的真实性，需要通过电话、钉钉、邮件等强身份联系方式进行二次确认。自我知识强化和持续学习大模型本身的训练成本极高，无法根据用户的反馈和不同的环境条件进行输出，导致无法在客户现场快速适应达到最佳效果。大量结构化数据分析在自然语言处理、推荐系统等领域，大模型需要处理大量结构化数据。然而，由于性能和成本的限制，大模型在这些场景下的应用可能受到一定程度的制约。海量数据处理大模型在处理处理长上下文、海量数据时，受到token限制，性能和开销较高。在海量数据的处理模式下对大模型提出了更高的要求。复杂任务大模型在处理复杂任务时，需要进行慢思考，即“let’s think step by step”。这是因为大模型在处理复杂任务时，需要充分考虑各种因素，以确保得出正确的结论。工程实践：小参数、多智能体协作工程实践：小参数、多智能体协作工程实践：小参数、多智能体协作工程实践：优化安全大数据->事件小数据的逐层精炼工程大模型应用效果总结产品升级：智能化升级分析+响应+管理真运营：智能辅助，持续降低运营成本有人味：数字人互动讲解总结：大模型不是魔法，但有望实现真运营

点击免费查看完整报告