2024安全行业大模型技术应用态势发展报告

版权声明 本报告版权属于云计算标准和开源推进委员会，并受法律 保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：云计算标准和开源推进委员会”。违反上述声明者，本联盟将追究其相关法律责任。 报告愿景及目标读者 从国家宏观层面来看，数字经济已经成为我国经济发展的重要战略支柱。随着人工智能技术的迅速发展，大模型在各行各业的应用日益广泛，安全行业也积极使用大模型技术来推动行业的数字化转型和智能化升级，提升整体安全防护能力。在此背景下，深入剖析和梳理大模型在安全领域的应用态势，对于推动安全行业创新、提升安全行业整体防护水平以及促进数字经济健康发展具有重要意义。 本报告从大模型技术与应用概述、安全行业大模型技术应用现状、安全行业大模型技术落地关键点、安全行业大模型技术应用发展趋势与展望几个方面进行洞察和分析，为安全行业从业者、技术开发者以及企业决策者提供参照，促进大模型技术在安全行业的深度应用，推动行业创新，提升整体安全防护能力，为数字经济的健康发展保驾护航。 主要撰稿人 马铭洋、卫斌、李忠权、郭雪、左鹏、高志民、黄超、朱季峰、王肖斌、刘斌、刘刚、王永霞、冯大刚、杨剑、王龑、卞超轶、李栋、马琳、刘春鸣、姚鸿富、李雨含、梁伟、唐佳伟、应缜哲、张运鹏、包沉浮、高磊、李智杰、章玉龙、梁栋、陈正刚。 （排名不分先后） 一、大模型技术与应用概述1 （一）大模型技术发展不断演进，引领人工智能迅速发展1 （二）政策促进大模型应用落地，助力行业提升服务能力3 二、大模型技术安全行业应用现状5 （一）大模型赋能威胁检测，全面提升场景效能5 （二）大模型改写传统运营方式，推动全局智能化10 （三）大模型推动行业信息互通，强化安全知识互联16 三、安全行业大模型技术应用落地关键点19 （一）发挥大模型技术优势，深入应用创新19 （二）防范大模型应用风险，加强规范建设22 四、安全行业大模型技术应用发展趋势与展望26 （一）技术日益成熟，持续赋能安全行业26 （二）产业逐渐完善，推动生态优化升级27 （三）标准体系愈发清晰，行业应用更趋规范28 附录大模型技术在安全行业的创新应用案例30 图12020-2024全球人工智能市场规模1 图2大模型发展历程2 图3大模型行业应用4 图4传统威胁检测方式弊端5 图5大模型关联分析示意图8 图6典型安全知识图谱构建过程9 图7传统安全运营风险12 图8日志低维语义空间分析示意图13 图9大模型安全编排自动化响应示意图15 图10大模型技术应用安全行业优势19 图11大模型应用需深入一线需求21 图12安全运营智能体平台技术架构32 图13安全运营平台技术架构34 图14“小微”基本架构图37 图15智能安全运营技术架构图40 一、大模型技术与应用概述 （一）大模型技术发展不断演进，引领人工智能迅速发展 数字化时代快速发展，人工智能成为影响经济发展的关键力量。人工智能技术作为科技创新的核心驱动力，成为加快培育发展新质生产力的重要引擎，引领新一轮的科技革命和产业变革。根据公开数据，截至2023年7月份，我国人工智能核心产业规模已达5000亿元，企业数量超过4300家。根据《2024年我国人工智能产业发展形势展望》报告显示，预计2024年全球人工智能市场规模将达 6158亿美元，我国将突破7993亿元。 数据来源：《2024年我国人工智能产业发展形势展望》 图12020-2024全球人工智能市场规模 大模型作为当今人工智能领域的核心技术之一，技术架构不断 演进。大模型的核心特征在于其庞大的参数规模和高度复杂的网络结构，通过深度学习原理，对大量的数据和计算资源进行训练，学习数据中的深层次特征与规律，实现较高的性能和泛化能力。一是在2017年之前，深度学习已经在图像识别、语音识别等领域取得了成果。二是在2017年，Google研究人员提出了Transformer架构，奠定了当前主流大模型预训练算法架构的基础。三是在2018年，OpenAI发布了大模型产品，展示了自回归语言模型潜力，能够生成连贯的文本，极大地提高了性能，预训练大模型时代逐渐来临。四是在2022年，OpenAI发布的ChatGPT具备极强的对话交互能力，展现了大模型在自然语言理解和生成方面的巨大潜力，促进了AI应用的普及和公众认知。同时国内大模型迎来爆发期，多家企业和研究机构推出大规模预训练模型。五是在近年来，国内外更多大模型产品纷纷发布，更新迭代，大模型开始迈向多模态领域，不仅处理文本，还能理解图像、视频等，进一步拓宽了AI的应用场景。 图2大模型发展历程 （二）政策促进大模型应用落地，助力行业提升服务 能力 我国对人工智能领域的重视程度不断提升，促进人工智能大模型技术快速发展。从顶层设计到具体实施全面布局，将人工智能转化为实际生产力，助力国家数字化战略的推进。一是国务院于2017年发布我国在人工智能领域进行的第一个系统部署的文件《新一代人工智能发展规划》。重点对我国新人工智能发展的总体思路、战略目标和主要任务、保障措施进行系统的规划和部署。二是科技部等六部门于2022年印发《关于加快场景创新以人工智能高水平应用促进经济高质量发展的指导意见》。旨在贯彻落实党中央、国务院关于推动人工智能发展的决策部署，统筹推进人工智能场景创新，着力解决人工智能重大应用和产业化问题，全面提升人工智能发展质量和水平。三是2024年《政府工作报告》中提出开展“人工智能 +”行动。政府工作报告第一次提出“人工智能+”，为人工智能新技术新应用创造更好的发展机遇，加速推动了数字技术和实体经济深度融合，促进了社会生产力实现新的跃升。 大模型助力千行百业提升服务效率。虽然通用大模型在人工智能领域扮演着重要角色，但它们在企业级场景中的应用常常存在缺乏行业深度、与业务结合不足等局限性。相比之下，行业大模型通过针对性地训练特定行业数据，深刻理解该领域的内在逻辑与细微 差别，能够提供更为精确、贴合实际业务场景的解决方案，展现出与行业深度融合的巨大潜力。如今，大模型已经渗透到各行各业，如金融、教育、医疗、网络安全、政务、互联网等领域，被用于智能客服、智能写作、自动摘要、文本生成、知识问答、个性化推荐等多个应用场景，改变传统生产方式，有效提升行业服务效率和服务质量，创造更高经济价值。 图3大模型行业应用 安全大模型赋能网络安全的创新变革。网络安全作为互联网发展的基石，是保障现代社会基础设施政策运作的基础。安全大模型通过整合网络安全领域的知识、技术和数据，形成统一、具有高度智能化和自适应能力的安全管理与防护系统。安全大模型凭借其庞大的参数量与深度学习能力，在深度理解行业特性和业务流程的基础上，实现对复杂攻击模式的精准判断和预警，促进安全资源的精准配置与合规性管理的自动化，为网络安全防护体系带来创新变革的智能化水平提升，构建更加智能、高效、全面的安全防护生态系统，以适应数字化时代复杂多变的安全挑战。 二、大模型技术安全行业应用现状 大模型技术的迅速发展给安全行业的核心业务场景带来深远的影响。基于对大规模数据的深度学习和复杂模式识别能力，大模型在多个关键领域展现出显著的潜力。随着技术的持续演进，大模型正逐渐成为驱动安全行业创新和转型的关键力量，推动着安全防御从被动响应向主动预防的范式转变。 （一）大模型赋能威胁检测，全面提升场景效能 1.传统检测方法在面对新型威胁时效率不足 在当前复杂多变的威胁环境下，如图4所示，传统检测方法的效率和精度已无法满足不断更迭的安全需求，难以应对新型威胁。 图4传统威胁检测方式弊端 一是传统方法高度依赖人力投入，传统的威胁检测方法主要依靠安全专家手工定义规则，通过特征匹配的方式来识别已知威胁。这种方法对安全专家的经验和技能要求较高，且规则制定的周期较 长。一旦出现新型威胁，现有规则难以及时更新，导致检测存在盲区。攻击者可利用这一缺陷，通过变换攻击策略，规避检测。 二是传统方法难以应对未知威胁，当前网络环境日益复杂、新型攻击手段层出不穷，零日漏洞、APT等新型威胁不断涌现，而传统方法只能检测已知威胁，对未知威胁难以奏效。攻击者不断变换策略，采用多种隐蔽技术，使攻击行为更加难以捕捉和识别。传统威胁检测因其规则更新滞后，导致检测效率低下，无法及时发现潜在威胁。 三是传统威胁检测数据处理量级受限，难以处理海量安全数据。随着网络规模的不断扩大，安全设备、终端用户数量激增，每天产生的安全日志、网络流量等数据呈爆炸式增长，达到了PB级别。传统方法采用关系型数据库进行存储和查询，其性能难以满足大数据处理的需求。此外，安全数据来源多样，格式各异，传统方法难以实现多源异构数据的融合分析，无法全面挖掘数据价值。 四是传统方法缺乏多维度关联分析能力，很难精准识别威胁的行为特征。攻击者往往采用多种手段，利用不同层面的漏洞，形成攻击链。但传统方法主要关注单一维度，如IP、域名等，忽视了威胁在网络环境、时间序列上的关联性。缺乏立体化的分析视角，难以准确把握威胁全貌。传统方法分析也多采用规则和阈值的方式，泛化能力不足，难以应对威胁的多样性和变化性。综上所述，面对 日益严峻的网络安全形势，传统威胁检测方法暴露出效率低、精度 差、分析能力弱等诸多不足，亟需创新的智能化手段来弥补短板，增强威胁检测的针对性和有效性。 2.大模型提升传统威胁检测准确性和全面性 一方面，大模型能够快速处理量级较大的安全数据，利用并行计算架构实现数据的高效存储和查询，为威胁检测提供了坚实的数据基础。传统方法受制于数据处理能力，往往只能对采样数据进行分析，而大模型可以处理大量安全数据，最大限度地挖掘数据价值。通过对流量、日志、文件等数据的深入分析，大模型能够发现更多隐藏在数据中的威胁蛛丝马迹。IBM的一项研究表明，使用人工智能和机器学习的组织在检测和响应网络安全事件方面的效率提高了3倍1。 另一方面，大模型可以从多个维度挖掘威胁的关联特征，采用深度学习、图神经网络等先进算法，从网络流量、日志、文件、行为中自动生成检测模型，显著提升检测有效性。如图5所示，从全局视角关联分析多源异构信息，可有效加强关键节点和类团外节点的挖掘，通过关联分析减少威胁情报的漏报和误报，显著提升检测准确率，且检测的威胁类型更加全面。麦肯锡的一份报告表明，采用人工智能和机器学习技术的网络安全解决方案可以将威胁检测的准确率提高3倍，同时将误报率降低5倍2。相比传统的特征工程， 1IBM《TheWhatWhyandHowofAIandThreatDetection（2024）》 2《TheFourTypesofThreatDetection（2018）》 大模型能够自动学习提取威胁的本质特征，捕捉威胁在不同环节、不同时间的活动规律。通过端到端的特征表示学习，可最小化人工设计的局限性，全面刻画威胁行为的异常模式。 数据来源：《基于关联数据的类簇语义揭示模型研究》图5大模型关联分析示意图 3.大模型为威胁检测提供新技术和新范式 首先，传统的威胁预测主要依赖专家经验和统计模型，难以全面把握威胁的复杂演变规律。大模型则可以从海量的历史攻击事件数据中自动学习提取威胁的关键特征和演变模式，建立起威胁知识图谱3，从数据来源、本体设计、图谱构建等环节，为威胁检测提供技术支撑，如图6所示。 3绿盟科技《2022年中国威胁情报市场报告》 图6典型安全知识图谱构建过程 数据来源：公开数据整理 其次，基于图神经网络等技术，大模型能够深入理解攻击事件之间的内在联系和时序规律，从而对未来一段时间内可能出现的攻击类型、攻击目标、攻击手法等进行预判。例如，一些研究机构利用门控循环单元(GRU)等深度学习模型，对APT攻击的生命周期进行建模，通过对攻击事件的时间序列分析，预测APT组织未来的攻击活动，准确率可达80%以上4。 最后，大模型生成的威胁预测情报可以帮助安全团队更加主动、精准地制定防御策略，提前采取针对性的防护措施，最小化安全风险。一方面，模型预警的高危攻击事件可以作为输入，触发应急响应流程，