2024安全大模型技术与市场研究报告

安全大模型技术与市场研究报告 2024年6月25日 目录 法律声明1 前言2 一、概述4 (一)主要发现5 (二)推荐7 二、人工智能用于解决网络安全的历史9 (一)深度学习技术出现之前，传统AI技术在网络安全领域中的应用9 1.专家系统9 2.机器学习算法10 1)支持向量机（SVM）10 2)决策树11 3)遗传算法12 4)模糊逻辑12 5)贝叶斯网络12 (二)深度学习技术在网络安全领域的应用13 1.恶意软件检测与分类13 2.入侵检测系统13 3.钓鱼网站识别13 4.域名生成算法(DGA)检测14 5.基于行为的欺诈检测14 6.数据安全15 (三)知识图谱在网络安全领域的应用15 1.威胁情报分析15 2.攻击检测和响应15 3.安全态势感知16 4.漏洞管理16 5.安全知识的教育与培训16 (四)AI技术在网络安全领域的应用总结16 1.异常检测（AnomalyDetection）16 2.恶意软件和病毒检测（MalwareandVirusDetection）17 3.垃圾邮件和钓鱼攻击过滤（SpamandPhishingDetection）17 4.身份认证和访问控制（IdentityAuthenticationandAccessControl）17 5.网络流量分析（NetworkTrafficAnalysis）17 6.安全策略管理（SecurityPolicyManagement）17 7.自动化响应（AutomatedResponse）18 8.欺诈检测（FraudDetection）18 9.数据安全（DataSecurity）18 (五)前大模型时代AI在解决网络安全问题上遇到的问题18 1.误报率18 2.数据质量和可用性19 3.模型泛化能力20 4.可解释性问题20 5.实时性能20 6.人工智能自身的安全问题20 7.人工智能人才稀缺21 三、大模型带来的AI驱动安全22 （一)大模型带来了哪些新可能性？22 1.自然语言处理能力的提升22 2.多种AI任务性能的提升22 3.推理和逻辑23 4.AI驱动的网络攻击23 5.AI驱动的风险识别24 6.新业态的出现25 （二)产业界的热点方向25 1.AI赋能的威胁检测产品25 1）恶意代码检测25 2）攻击流量检测26 3）用户和实体行为分析(UEBA)26 4）加密流量分析26 2.AI赋能网络安全运营27 1）告警降噪27 2）攻击研判28 3）自动响应与处置28 4）报告的自动生成29 3.AI赋能数据安全29 1）数据分类分级29 2）数据脱敏29 3）风险评估与策略制定30 4.鉴伪与认知安全30 四、市场分析33 （一)国外安全大模型代表性供应商33 1.Anomali33 2.CheckPointSoftwareTechnologies34 3.Cisco36 4.CrowdStrike38 5.Darktrace39 6.DropzoneAI41 7.Elastic42 8.Flashpoint43 9.Fortinet44 10.GoogleCloud45 11.Microsoft47 12.PaloAltoNetworks49 13.Proofprint&Tessian51 14.SentinelOne52 15.SparkCognition53 16.Trellix54 17.VectraAI54 18.ZScaler55 （二)国内安全大模型代表性厂商57 1.360数字安全集团57 2.安恒信息59 3.金睛云华60 4.海云安62 5.华清未央62 6.华为65 7.火山引擎67 8.酷德啄木鸟67 9.灵云数科69 10.绿盟科技69 11.奇安信70 12.深信服72 13.腾讯73 14.天融信75 15.云起无垠77 16.中国电信77 五、企业安全大模型能力评估79 (一)评估纬度79 1.安全能力79 2.深度学习技术能力79 3.基础大模型能力79 4.安全数据能力79 5.大模型精调能力80 6.算力能力80 7.产品化能力80 8.用户场景的覆盖能力80 (二)国内部分网络安全公司安全大模型能力评估81 1.360数字安全集团81 2.安恒信息81 3.海云安82 4.华清未央82 5.华为83 6.火山引擎83 7.金睛云华84 8.酷德啄木鸟84 9.绿盟科技85 10.灵云数科85 11.奇安信86 12.深信服86 13.天融信87 14.腾讯安全87 15.云起无垠88 16.中国电信88 (三)国内安全大模型产品推荐供应商89 1.安全运营大模型推荐供应商89 2.威胁检测大模型推荐供应商89 3.数据安全大模型推荐供应商89 4.邮件安全大模型推荐供应商90 5.自动渗透大模型推荐供应商90 6.漏洞挖掘大模型推荐供应商90 7.安全开发大模型推荐供应商91 六、解决方案与案例92 (一)360安全大模型92 1.应用场景92 2.技术方案93 3.部署形态93 4.硬件要求94 5.效果评估94 6.特色94 7.标杆客户95 8.客户价值96 (二)安恒恒脑安全大模型介绍98 1.应用场景98 2.技术方案98 3.部署形态99 4.硬件要求99 5.效果评估100 6.特色100 7.标杆客户101 (三)金睛云华安全运营智能体案例102 1.应用场景102 2.技术方案102 3.部署形态104 4.硬件要求105 5.效果评估105 6.特色105 7.标杆客户106 (四)深信服安全GPT107 1.应用场景107 2.技术方案110 3.部署形态111 4.硬件要求111 5.效果评估111 6.特色112 7.标杆客户112 (五)天融信天问安全大模型方案113 1.应用场景113 2.技术方案114 3.部署形态115 4.硬件要求116 5.效果评估116 6.特色116 7.标杆客户117 (六)中国电信安全见微安全大模型118 1.应用场景118 2.技术方案118 3.部署形态120 4.硬件要求121 5.效果评估121 6.特色121 7.标杆客户122 法律声明 本报告版权归属于北京赛博英杰科技有限公司，报告中的文字、表格均受到中华人民共和国知识产权法律法规的保护，禁止任何商业性质的更改、报道、摘录以及引用；任何非商业性质的报道、摘录以及引用请务必注明版权来源，并获得北京赛博英杰科技有限公司的书面授权。 本报告中的调研数据均采用行业公开信息、深度访谈、实地调研、桌面研究得到。本公司不承担因使用本报告而产生的任何法律责任。 前言 网络安全领域有一个“锤子”和“钉子”的理论：把网络安全中待解决的问题比喻作“钉子”，把解决问题的手段比喻作“锤子”。已经遇到过的问题叫“老钉子”，新遇到的问题叫“新钉子”，已知的解决问题的方法叫“老锤子”，新发明的方法叫“新锤子”。每当找到一把“新锤子”，人们会拿这把“新锤子”把“老钉子”都再砸一遍，看是否更好用，遇到“新钉子”也会先拿“老锤子”来砸一通，看是不是还管用。 生成式人工智能（AIGC）大语言模型（LLM，简称大模型）技术无疑是网络安全从业 者拿到的一把“新锤子”，这把“锤子”已经在自然语言对话、写作、文生图、文生视频领域取得了令人震惊的效果，网络安全从业者自然是不会放过这样一个机会的，深信服、360、奇安信、安恒、绿盟、天融信、永信至诚、启明星辰等网络安全上市公司纷纷宣布自己发布了安全大模型产品，金睛云华等过去基于深度学习技术开发网络安全产品的公司也及时转向了AIGC大模型技术路线，新的安全创业公司也在纷纷采用人工智能大模型提升自身产品能力，如云起无垠在Fuzzing模糊测试方面，灵云数科在邮件安全方面都在使用人工智能大模型。 自2010年以来，我们拿到的“新锤子”包括机器学习技术、大数据技术、知识图谱技术等，用来砸网络安全的“老钉子”和“新钉子”，也取得了一定的成果，但网络安全的基本盘并没有改变： 攻防速度不对等：攻击者突破防线、偷走数据的速度远远快于防守方发现攻击、阻断攻击的速度，防守方的响应速度不够快； 据:Unit42CloudThreatReport-Volume7,2023,Unit42EngagementExperience中披露的数据，目前的响应与处置时间已经提高到6天，比数年前的数 月有了很大的进步，但攻击者进攻得手的时间已经提高到数小时级别，攻防依然在速度上不对等。 图1攻破到数据被盗窃的时间VS响应与处置时间 来源:Unit42CloudThreatReport-Volume7,2023,Unit42EngagementExperience 现有网络安全防御方法的效率性价比不够高：现有的防御方式下，需要大量的安全工程师，中国、美国所公布的网络安全防御人才缺口都是几百万人，暂且不说培养出这么多网络安全从业者相当困难，雇佣这些人的成本也会是企业难以承受之重。 检出率不够高与误报率太高：基于规则的引擎对新型攻击的检出率不够高，规则引擎与AI引擎的误报率都太高。 AIGC的异军突起，给了大家一个新的希望。本报告通过对基于LLM的AIGC在网络安全中的应用做了分析，希望给网络安全从业者提供一些有用的信息。 一、概述 自2022年底开始，以LLM（大语言模型，简称大模型）为核心的AIGC（生成式人工智能）带来了一场人工智能驱动的技术与产业革命，人工智能被广泛认为是可以改变“游戏规则”的战略性科技。国内开启了“百模大战”，国资委在2024年2月27日召开国 大模型也被寄予厚望，解决了多年来困扰网络安全行业的攻防不对等、安全专业人员严重不足的问题。 网络安全行业一直存在攻防不对等的问题：攻击者在暗处，防守者在明处；攻击者可以在任何时候发起攻击，防守者则需要7X24设防；攻击者100次攻击有1次成功即宣告成功，而防守者100次防守，1次失守就算失败；全社会数字化转型背景下，需要防守的目标众多，而我国教育系统每年培养出的网络安全人才只有不到3万人，加上自学成才的 人员，也还是远远难以满足构建网络安全防线的需求。并且由于人的反应速度问题、工作 有企业改革深化提升行动2024年第1次专题推进会上再次点题人工智能，要求国企结合自身技术资源禀赋和产业基础，科学决策纳入发展规划，加大投入，把资源用在刀刃上，有力提高国有企业战略支撑作用。 效率以及工作任务排队的问题，对安全告警的处理时间往往要30分钟以上，而攻击者在 30分钟之内已经得手。 美国以微软为代表的企业在大模型爆发之初，就开始将大模型用于构建网络安全产品和服务，微软2023年3月28日即推出MicrosoftSecurityCopilot，PaloAltoNetworks、CrowdStrike、Fortinet等公司也快速跟进。国内深信服、奇安信、360、安恒信息、绿盟、天融信、永信至诚、金睛云华等公司也纷纷宣布自己已经推出，或即将推出基于大模型的 网络安全产品，在2023年年底，已经可以看到一些大模型赋能的网络安全产品的成功应用。 (一)主要发现 1.供给侧视角： 在AI赋能网络安全概念下，各家所采用的AI技术五花八门，既有最新的AIGC大语言模型，也有深度学习技术甚至是机器学习技术，或者是多种技术的混用。 愿意提供纯软件部署方式，以解决在对华限售智能算力平台的大形势下，安全公司自身采购智算硬件的难题。 安全大模型的主要应用场景有：安全运营辅助、数据安全、威胁检测、电子邮件安全、开发安全、安全策略管理、渗透测试、安全培训。 安全大模型在各应用场景下的效果差异较大，在数据分类分级场景下取得的效果最好，能有几十倍的工作效率提升；在安全运营场景下，效果差异较大，与供应商安全大模型训练数据集与用户使用场景的匹配程度、供应商的技术水平都有关系。 产品有安全智能体与聊天机器人两种主要形态，目前聊天机器人是主要产品形态。 人工智能大模型技术会带来网络安全产品格局