一、分享环节 深信服AI投入:深信服是国内安全产业当中最早投资人工智能的公司之一,2015年开始将AI技术应用到安全领域,最开始应用到终端安全,但使用传统规则库方式无法对各种各样的病毒变种进行全面检测,因此考虑使用AI技术升级杀毒引擎。2016年出品第一个基于AI的杀毒引擎,SAVE引擎,随后应用于EDR产品中。目前为止,深信服人工智能应用于文件检测、行为检测、日志分析等十几个不同安全技术领域,并且效果很好,同时这些技术被大量运用于深信服产品和用户深度使用场景,包括终端安全、网络安全、安全运维、攻防对抗等,取得客户认可。 AI技术运用典例:1、终端安全SAVE引擎迭代高3.0版本,最大的特点是对病毒的变种、未知威胁,尤其是勒索攻击检出率很高,在Virustotal横向对比测试中,对未知病毒的检出率国内排名第一,使得深信服在国际市场和全球终端安全厂商的比拼当中赢得很多订单。2、安全和安全运营相结合,利用人工智能将安全事件、安全日志进行关联分析、去重,大幅提高安全检测效果,减少误报,大幅提高安全运营人员工作效率。通过AICycleOps技术,公司在云端提供MSS安全托管服务,比在线下提供人工安服工作效率提高3-4倍,取得较好效果。3、提高云原生安全,云原生应用中会使用大量开源软件,带来便利的同时也带来供应链安全风险。通过AI自动学习微服务间的调用关系和访问数据,建立安全基线,在0day漏洞爆出后,其调用关系和安全基线不同,立即引发告警和阻断,由于使用AI做训练,所以误报率非常低。公司利用过去积累的安全模型、小模型技术、安全数据、部分开源大模型技术和其他自研技术结合,研制国内第一个应用到安全垂直领域的大模型。深信服自研安全GPT是大模型算法+海量安全数据+威胁情报+安全知识训练形成。 安全GPT特点:效果好(利用多年积累的优质安全数据和小模型),专业强(学习海量安全专业知识和威胁情报),个性化(连接用户自身安全日志和产品),快速迭代(专家调优改进模型扩展更多空间)、自主研发、安全可控,云端部署。 安全GPT实现能力:1、提升流量和日志的安全检查能力,已经应用至XDR平台和新一代防火墙联动。2、对安全现状自动分析,生成建议。3、自动化调查、分析、研判、提高安全运营效率。4、自然语言交互,提高用户体验,降低专业性要求。 安全GPT发展计划:未来深信服所有产品都会接入安全GPT。1、应用于终端安全(加强终端安全检测能力),2、数据安全(分级分类保护),3、安全运营(加强自动化编排和处置能力),4、攻防对抗(自动化挖掘漏洞和安全演练)等。深信领跑具有充足条件:1、技术储备足(专业人员能力,模型积累丰富,充足云端算力),2、数据情报积累强。 二、演示环节 1、高级威胁检测场景 装载混淆后的Payload,所有主流厂商无检出,深信服XDR检出告警。针对52-045漏洞的十次攻击绕过测试结果如下: 深信服安全GPT具备5KW样本,500W混淆类高级攻击手法: 深信服安全GPT可以分析报文,失去可读性的代码还原成真实的代码: 深信服安全GPT可以进一步分析攻击特征: 总结:安全引擎对攻击理解能力弱,安全GPT解读能力强,相当于5年经验的安全专家 2、安全监测调查场景 (1)Q:最近几天的安全趋势如何? 可以通过图像,形象可视化看安全趋势: (2)Q:哪些事件需要重点关注? (3)Q:解读一下某个安全事件? 可以图片呈现入侵路径: (4)Q:查看当前告警的数据包内容? (5)Q:解读一下这个安全告警的内容? (6)Q:受害者资产的责任人信息? (7)攻击者IP还攻击过内网其他哪些主机? (8)Q:当前告警的攻击者信息? (9)Q:应该如何进行处置? 总结:安全监测用时缩短从3-6小时—>几分钟 3、热门漏洞排查场景 (1)Q:介绍某个漏洞的危害和原理? (2)Q:排查内网哪些资产存在这个漏洞? (3)Q:内网哪些资产遭受过该漏洞的攻击? (4)Q:如何修复该漏洞? (5)Q:补充提问 (6)Q:继续提问 总结:安全+大模型成为安全建设新范式:重新定义了安全运营场景和高级威胁检测安全运营场景:1*安全工程师*安全GPT=N*高级安全专家 高级威胁检测:检测能力=对攻击的深度理解能力(泛化检测+高质量解释) 三、问答环节 Q:安全GPT的开发难点和创新点? A:1、创新协同。安全GPT是安全领域的垂直大模型,需要安全人才和AI人才,如何碰撞出对于创新机制是很大考验。2、安全GPT回答问题的精准性。安全行业是严谨行业,公司使用创新方法,依赖深信服积累的安全小模型,进行强化学习,对回答进行微调,使得回答更加精准。3、让GPT能够理解安全日志。安全GPT和本地客户安全知识的打通和连接。4、安全GPT运算资源解决。公司不断投入算法工程师、算力工程师。 Q:使用的模型是什么?是否有数据出境问题? A:深信服安全GPT是安全垂直领域大模型,基于开源大模型,融入专家知识和海量情报训练而成,不依赖任何大模型厂商提供的服务,实现完全自主可控。不存在数据出境问题,安全GPT完整部署在深信服托管云上,深信服托管云融合深信服安全能力,严格管理对外攻防和对内权限管理进,保证安全GPT的安全性。