中国安全大模型技术与应用研究报告(2023)
赛迪顾问股份有限公司2023年12月 目录 一安全大模型概述4 �一�安全大模型定义4 1�什么是大型语言模型�42�什么是安全行业大模型�4�二�AI安全发展历程51�网络安全与人工智能初步融合52�ChatGPT技术引发行业变革53�安全行业大模型形成应用6 二安全大模型框架8 �一�技术层8�二�能力层10�三�应用层12 三中国安全大模型厂商产品分析13 3�奇安信集团15 四中国安全大模型发展趋势研判22 1�加速赋能现有安全产品23 2�持续推动智能化安全运营24 3�逐步向智能体角色转变24 4�安全培训逐渐受到市场关注25 前言 近年来�随着数字化转型的深入推进�云计算�5G�物联网等先进科技得到了广泛应用�在享受数字化转型带来红利的同时�海量数据�复杂信息�高度的互联化其背后的数据安全�信息安全�网络安全等一些列安全问题彰显�近年来利用AI技术实施网络攻击的事件快速增长�攻击者通过运用AI技术绕过现有的防御�发起高度隐蔽�复杂�自动化攻击�突破企业的安全防御体系�这一趋势不仅改变了攻击者的策略�也对网络安全领域带来了前所未有的挑战�传统的安全防御手段已无法满足快速应对和应急响应的需求�同时�网络安全专家人才的巨大缺口对企业安全运营造成重大阻碍� 随着安全大模型的崭露头角�安全行业正迎来前所未有的机遇与挑战�这一创新技术�凭借其卓越的自然语言交互�广泛的适应性和精准的推理能力�将为安全防护领域带来显著的智能化升级�未来�网络安全行业需持续深化创新探索�积极应对各种挑战�并加大技术研发和应用实践的力度�通过不断提升大模型技术在网络安全防护中的实际应用价值和效益�增强网络环境的安全性和稳定性�同时�也需要加强与政府�企业以及社会各界的紧密合作�共同推动网络安全技术的稳步发展和广泛应用� 一安全大模型概述 1�什么是大型语言模型� 大型语言模型�Large Language Model�是一种利用深度学习技术开发的自然语言处理模型�通过预训练�微调等步骤�逐步实现对自然语言的深入理解�为机器赋予了与人类相似的语言智能�具有模型结构容量大�参数多的特点�通常为超过10亿个参数的深度神经网络模型�大型语言模型在理解和生成自然语言文本方面具有显著优势�因此�这类模型在依赖语言体系和流程性工作的行业中能够产生广泛影响�通过准确理解语言的意图并根据这些意图合理分配任务�在翻译�智能客服�情感分析�问答系统等多个领域提供了强大的技术支持和赋能� 2�什么是安全行业大模型� 安全大模型是针对安全垂直领域的大型语言模型�通过大量的专业的安全知识进行设计和训练�使其具备处理海量数据和执行安全行业特定任务的能力�对于保护企业和个人的信息安全�提高网络安全防护效率具有重要意义�鉴于网络安全产品所采用的语言体系相对统一�安全大模型在网络安全行业的应用前景极为广阔�凭借其卓越的学习和理解能力�它能够为企业和个人提供更为高效实时的网络安全保障� �二�AI赋能网络安全发展历程 1�网络安全与人工智能初步融合 传统的网络安全模型往往基于简单的机器学习算法�对复杂的网络安全问题进行了简化的处理�早在2010年�安全公司已经开始利用AI技术来解决实际的安全问题�例如360开发了具有自学习�自进化能力的反病毒引擎�并运用到样本静态查杀场景� 然而�尽管传统安全模型在某种程度上得到了应用�但它们的发展并不能满足日益增长的网络安全需求�随着网络攻击手段的不断升级和变化�这种简化的处理方式已经无法应对日益复杂的网络安全威胁�例如�在模型训练和更新过程中由于数据规模和质量的限制�这些模型往往无法充分学习和理解复杂的网络安全环境�从而在面对动态威胁时无法做出迅速有效的响应�因此�传统安全模型需要大量人工参与分析�对于安全工作的效率提升有限�安全行业仍然面临专业人才短缺的问题� 2�ChatGPT技术引发行业变革 生成式人工智能技术的发展显著地推动了模型的改进�提高了安全防御的效率和准确性�自ChatGPT推出以来�其在网络安全领域的应用前景备受关注�大模型技术具有出色的交互能力�主动性和创造性�对网络安全攻防两端均带来影响�为应对这一挑战�安全行业的研究者和工作者们正在积极探索将大模型技术应用于情报分析�运营辅助�攻击预测�网络钓鱼内容生成�恶意代码编写等攻防场景�大模型的预训练加微调方法�使其能够通过无监督学习预训练模型的 基座�从而捕捉到各种语言和句式的模式�在微调阶段�利用不同任务样本和大规模的强化学习方法进行优化�实现与特定安全任务适配�这种训练方法在提升模型泛化能力的同时�也提高了模型在完成特定安全任务时的精确度�相较于传统的单向生成模型�ChatGPT具备更出色的上下文相关性理解能力�并能够基于上下文提供连贯的回复�通过采用迭代对话的方式�大模型可实现智能交互�有助于安全团队更好地应对复杂的网络攻击和威胁�提升整体防御能力�同时�大模型的主动性和创造性可以在安全领域的工作中发挥重要作用�模型能够主动搜索信息�提供信息�提出问题并引导对话的方向�例如发现威胁情报并分析可采取的安全措施等�这种能力支撑大模型成为安全团队的有力助手�协助安全团队开展安全运营等工作� 3�安全行业大模型形成应用 国内外安全厂商均已深刻认识到大模型在安全领域的应用价值�并持续投入研发安全行业大模型产品�海外安全厂商如PaloAltoNetworks推出了一款基于大模型的网络安全防御系统�该系统能够自动化地检测和防御各种网络攻击,包括恶意软件�病毒�钓鱼网站等�CrowdStrike公司推出基于大模型的开源安全平台�该平台利用大模型技术对网络流量进行实时分析�发现潜在的安全威胁并及时响应�有效提高了企业的网络安全防护能力�在国内�安全厂商也积极探索大语言模型在安全领域的应用�例如360数字安全发布了360安全大模型且已在360内部和自有产品完成落地应用�安恒信息推出了恒脑·安全垂域大模型�奇安信集团推出Q-GPT和大模型卫士� 绿盟科技�天融信集团等厂商也推出相关产品� 目前�各大厂商的安全大模型落地应用均以安全运维为核心�通过安全大模型结合已有产品�为企业提供更加全面�高效的安全管理和运营服务�这些服务可以帮助企业及时发现和处理安全问题�减少安全风险和损失�提高企业的网络安全防护能力�随着技术的不断进步和应用场景的不断拓展�大模型在安全领域的应用将会更加广泛和深入� 二安全大模型框架 �一�技术层 数据 大模型的训练中通常需要处理数十亿甚至百亿级别的数据量�且数据质量对于模型的质量和性能具有决定性的影响�网络安全产业是知识密集型产业�涉及计算机科学�数学�通信技术�法律等领域�需要深厚的技术背景和广泛的知识体系�由于安全领域涉及的问题复杂多变�通用大模型缺乏对于专业知识的深入理解�在安全任务上表现不佳�因此�作为垂直领域的大模型�安全大模型不能仅仅依托于公开的通用型数据�而是需要基于安全领域的高质量数据�包括安全术语�日志�应急措施解决方案�漏洞及利用代码�攻击特征等安全知识储备�再结合丰富的实战攻防和重保经验等进行训练�只有足够多的个性场景和基于这些场景的实践经验持续的投喂�才能持续为大 模型提供深入分析理解行业具体任务的能力� 算力 算力是基于芯片的人工智能发展的硬件基础和平台�安全大模型因其庞大的参数量和复杂的计算任务�需要强大的算力支撑�高算力能够加快安全大模型的学习和收敛�提高模型的准确度等各项性能�增强模型的泛化能力�适应能力以及响应速度�直接影响到模型威胁检测和防御效果�同时�庞大的计算资源也能保障模型的稳定性�减少数据噪声等情况对于模型性能的影响� 算法 预训练加微调的方式能够增强模型的泛化能力并实现与安全任务的适配�当模型参数数量庞大时�传统的全参数调整方法会产生数量庞大的梯度�导致计算资源消耗巨大�甚至使得训练过程变得不可行�因此�目前大多数安全大模型采用预训练加微调的训练方法�利用大规模的行业无标注数据�通过无监督学习预训练模型的基座以提高模型的泛化能力�也可以通过增加监督精调的数据使行业大模型在预训练过程中就学习到更多的知识�从而构建一个更全面�语义理解更准确的基础模型�在基座模型构建完成后�再利用下游不同安全任务的有标注数据进行监督学习微调�实现下游任务的适配�微调的过程是大模型能力生成的关键环节�需要通过对大量安全设备间数万个API接口任务进行不同领域的调用�这种预训练加微调的训练方式解决了传统方法中参数数量庞大的问题�减少了训练过程中的计算资源 消耗�提高训练效率和模型性能� 此外�分布式训练能够实现多节点并行�充分利用资源�提升推理速度�模型规模的扩大带来了更高的精度和更深入的理解能力�然而也给硬件资源带来了巨大的挑战�单一的GPU或CPU设备在训练效率上显得捉襟见肘�无法满足大型语言模型的训练需求�通过分布式训练�一个大模型可以拆分到多个计算节点上进行训练�每个节点只需处理模型的一部分�从而充分利用多个计算节点的计算资源�避免单个计算节点的计算资源过载�并减少了网络传输的负担�更多的硬件环境得以参与到模型的训练中�使得参数量巨大的大型语言模型的训练速度进一步提升�训练过程更加流畅通顺�为未来的大语言模型的研究应用奠定坚实的基础� �二�能力层 告警分析研判 告警分析研判技术使模型能够精准识别威胁�从而减少误报和漏报的情况�大模型通过采集大规模�多渠道的碎片式攻击或异常数据�包括恶意软件�IP地址�域名�URL以及攻击者的行为和手段等�集中进行深度融合�归并和分析�形成与网络安全防护有关的威胁信息线索�进而帮助安全专家了解网络安全威胁的性质�来源和目的�同时�在此基础上进行主动�协同式的网络安全威胁预警�检测和响应�有效降低平均威胁检测时间�MTTD��平均威胁响应时间�MTTR��缩短自由攻击时间�降低网络安全威胁的防护成本�提升整体的网络安全防护效率�大模型还能够根据历史数据和实时数据进行分析�提 供更加全面和深入的告警分析研判�提高安全系统的效率和准确性�帮助企业和组织更好地应对各种安全挑战� 安全日志智能解析 安全大模型的安全日志智能解析技术�是一种基于人工智能技术的日志分析解决方案�它利用先进的机器学习算法�对安全日志数据进行自动分类�聚类和异常检测�从而能够快速地识别出潜在的安全事件和攻击行为�大模型基于更强大的自然语言理解能力�具有更高的效率和准确性�能够大大减轻安全人员的工作负担�提高企业的安全防护能力�同时�还能够提供详细的日志解析和可视化报告�帮助安全人员更好地理解日志数据�还能够为企业的安全决策提供有力的支持� 对抗样本生成 安全大模型可以基于大模型的生成能力结合安全知识图谱�来构造海量多样化样本�并利用这些模拟样本进行模型的训练�持续迭代优化检测模型�从而更快地应对新的威胁方式� 智能策略下发 安全大模型的智能策略下发技术能够实现高效�精准的策略部署�同时�还可以根据系统运行情况和安全威胁的变化�自动调整和优化安全策略�进一步提高系统的安全性和稳定性�降低了人为错误的风险� 攻击事件溯源 结合以上成果所产出的关联威胁情报�安全大模型的攻击事件溯 源技术能够有效地追踪和识别网络攻击的来源�对攻击方进行组织画像和溯源�同时�能够提供详细的攻击路径和动机分析�帮助企业及时发现和应对网络攻击�不仅可以对攻击方进行组织画像和溯源�利用威胁情报构建的攻击知识库�还能实现对APT攻击的智能化攻击意图推理及样本变种自动化跟踪等� �三�应用层 安全运营 安全大模型在安全运营工作中能够大幅提升高频�重点场景的工作效率�实现自动化智能运维�传统的安全运营方式通常依赖人工监控一系列日志和告警�通过综合判断和分析风险情况�使用对应的安全工具进行威胁处置和追溯分析�这种方式存在很多局限性�如运营效果不清晰�安全能力不直观�威胁识别不准确等�而传统的AI技术也一直在安全运维里持续投入�比如XDR希望
