中国安全大模型技术与应用研究报告（2023）

中国安全大模型技术与应 用研究报告2023 赛迪顾问股份有限公司 2023年12月 录 目 一安全大模型概述4 一安全大模型定义41什么是大型语言模型4 2什么是安全行业大模型4 二AI安全发展历程51网络安全与人工智能初步融合5 2ChatGPT技术引发行业变革5 3安全行业大模型形成应用6 二安全大模型框架8 一技术层8 二能力层10 三应用层12 三中国安全大模型厂商产品分析13 一重点企业及产品介绍131360数字安全13 2安恒信息14 3奇安信集团15 4绿盟科技16 5深信服17 6天融信集团17 7启明星辰集团18 二指标体系181技术层指标19 2能力层指标20 3应用层指标20 四中国安全大模型发展趋势研判22 1加速赋能现有安全产品 23 2持续推动智能化安全运营24 3逐步向智能体角色转变24 4安全培训逐渐受到市场关注25 前 言 近年来随着数字化转型的深入推进云计算5G物联网等先进科技得到了广泛应用在享受数字化转型带来红利的同时海量数据复杂信息高度的互联化其背后的数据安全信息安全网络安全等一些列安全问题彰显近年来利用AI技术实施网络攻击的事件快速增长攻击者通过运用AI技术绕过现有的防御发起高度隐蔽复杂自动化攻击突破企业的安全防御体系这一趋势不仅改变了攻击者的策略也对网络安全领域带来了前所未有的挑战传统的安全防御手段已无法满足快速应对和应急响应的需求同时网络安全专家人才的巨大缺口对企业安全运营造成重大阻碍 随着安全大模型的崭露头角安全行业正迎来前所未有的机遇与挑战这一创新技术凭借其卓越的自然语言交互广泛的适应性和精准的推理能力将为安全防护领域带来显著的智能化升级未来网络安全行业需持续深化创新探索积极应对各种挑战并加大技术研发和应用实践的力度通过不断提升大模型技术在网络安全防护中的实际应用价值和效益增强网络环境的安全性和稳定性同时也需要加强与政府企业以及社会各界的紧密合作共同推动网络安全技术的稳步发展和广泛应用 一安全大模型概述 一安全大模型定义 1什么是大型语言模型 大型语言模型LargeLanguageModel是一种利用深度学习技术开发的自然语言处理模型通过预训练微调等步骤逐步实现对自然语言的深入理解为机器赋予了与人类相似的语言智能具有模型结构容量大参数多的特点通常为超过10亿个参数的深度神经网络模型大型语言模型在理解和生成自然语言文本方面具有显著优势因此这类模型在依赖语言体系和流程性工作的行业中能够产生广泛影响通过准确理解语言的意图并根据这些意图合理分配任务在翻译智能客服情感分析问答系统等多个领域提供了强大的技术支持和赋能 2什么是安全行业大模型 安全大模型是针对安全垂直领域的大型语言模型通过大量的专业的安全知识进行设计和训练使其具备处理海量数据和执行安全行业特定任务的能力对于保护企业和个人的信息安全提高网络安全防护效率具有重要意义鉴于网络安全产品所采用的语言体系相对统一安全大模型在网络安全行业的应用前景极为广阔凭借其卓越的学习和理解能力它能够为企业和个人提供更为高效实时的网络安全保障 AI赋能网络安全发展历程 二 1网络安全与人工智能初步融合 传统的网络安全模型往往基于简单的机器学习算法对复杂的网络安全问题进行了简化的处理早在2010年安全公司已经开始利用AI技术来解决实际的安全问题例如360开发了具有自学习自进化能力的反病毒引擎并运用到样本静态查杀场景 然而尽管传统安全模型在某种程度上得到了应用但它们的发展并不能满足日益增长的网络安全需求随着网络攻击手段的不断升级和变化这种简化的处理方式已经无法应对日益复杂的网络安全威胁例如在模型训练和更新过程中由于数据规模和质量的限制这些模型往往无法充分学习和理解复杂的网络安全环境从而在面对动态威胁时无法做出迅速有效的响应因此传统安全模型需要大量人工参与分析对于安全工作的效率提升有限安全行业仍然面临专业人才短缺的问题 2ChatGPT技术引发行业变革 生成式人工智能技术的发展显著地推动了模型的改进提高了安全防御的效率和准确性自ChatGPT推出以来其在网络安全领域的应用前景备受关注大模型技术具有出色的交互能力主动性和创造性对网络安全攻防两端均带来影响为应对这一挑战安全行业的研究者和工作者们正在积极探索将大模型技术应用于情报分析运营辅助攻击预测网络钓鱼内容生成恶意代码编写等攻防场景大模型的预训练加微调方法使其能够通过无监督学习预训练模型的 基座从而捕捉到各种语言和句式的模式在微调阶段利用不同任务样本和大规模的强化学习方法进行优化实现与特定安全任务适配这种训练方法在提升模型泛化能力的同时也提高了模型在完成特定安全任务时的精确度相较于传统的单向生成模型ChatGPT具备更出色的上下文相关性理解能力并能够基于上下文提供连贯的回复通过采用迭代对话的方式大模型可实现智能交互有助于安全团队更好地应对复杂的网络攻击和威胁提升整体防御能力同时大模型的主动性和创造性可以在安全领域的工作中发挥重要作用模型能够主动搜索信息提供信息提出问题并引导对话的方向例如发现威胁情报并分析可采取的安全措施等这种能力支撑大模型成为安全团队的有力助手协助安全团队开展安全运营等工作 3安全行业大模型形成应用 国内外安全厂商均已深刻认识到大模型在安全领域的应用价值并持续投入研发安全行业大模型产品海外安全厂商如PaloAltoNetworks推出了一款基于大模型的网络安全防御系统该系统能够自动化地检测和防御各种网络攻击,包括恶意软件病毒钓鱼网站等CrowdStrike公司推出基于大模型的开源安全平台该平台利用大模型技术对网络流量进行实时分析发现潜在的安全威胁并及时响应有效提高了企业的网络安全防护能力在国内安全厂商也积极探索大语言模型在安全领域的应用例如360数字安全发布了360 安全大模型且已在360内部和自有产品完成落地应用安恒信息推 出了恒脑·安全垂域大模型奇安信集团推出Q-GPT和大模型卫士 绿盟科技天融信集团等厂商也推出相关产品 目前各大厂商的安全大模型落地应用均以安全运维为核心通过安全大模型结合已有产品为企业提供更加全面高效的安全管理和运营服务这些服务可以帮助企业及时发现和处理安全问题减少安全风险和损失提高企业的网络安全防护能力随着技术的不断进步和应用场景的不断拓展大模型在安全领域的应用将会更加广泛和深入 二安全大模型框架 图1中国安全大模型框架 数据来源赛迪顾问202312 一技术层 数据 大模型的训练中通常需要处理数十亿甚至百亿级别的数据量且数据质量对于模型的质量和性能具有决定性的影响网络安全产业是知识密集型产业涉及计算机科学数学通信技术法律等领域需要深厚的技术背景和广泛的知识体系由于安全领域涉及的问题复杂多变通用大模型缺乏对于专业知识的深入理解在安全任务上表现不佳因此作为垂直领域的大模型安全大模型不能仅仅依托于公开的通用型数据而是需要基于安全领域的高质量数据包括安全术语日志应急措施解决方案漏洞及利用代码攻击特征等安全知识储备再结合丰富的实战攻防和重保经验等进行训练只有足够多的个性场景和基于这些场景的实践经验持续的投喂才能持续为大 模型提供深入分析理解行业具体任务的能力 算力 算力是基于芯片的人工智能发展的硬件基础和平台安全大模型因其庞大的参数量和复杂的计算任务需要强大的算力支撑高算力能够加快安全大模型的学习和收敛提高模型的准确度等各项性能增强模型的泛化能力适应能力以及响应速度直接影响到模型威胁检测和防御效果同时庞大的计算资源也能保障模型的稳定性减少数据噪声等情况对于模型性能的影响 算法 预训练加微调的方式能够增强模型的泛化能力并实现与安全任务的适配当模型参数数量庞大时传统的全参数调整方法会产生数量庞大的梯度导致计算资源消耗巨大甚至使得训练过程变得不可行因此目前大多数安全大模型采用预训练加微调的训练方法利用大规模的行业无标注数据通过无监督学习预训练模型的基座以提高模型的泛化能力也可以通过增加监督精调的数据使行业大模型在预训练过程中就学习到更多的知识从而构建一个更全面语义理解更准确的基础模型在基座模型构建完成后再利用下游不同安全任务的有标注数据进行监督学习微调实现下游任务的适配微调的过程是大模型能力生成的关键环节需要通过对大量安全设备间数万个API接口任务进行不同领域的调用这种预训练加微调的训练方式解决了传统方法中参数数量庞大的问题减少了训练过程中的计算资源 消耗提高训练效率和模型性能 此外分布式训练能够实现多节点并行充分利用资源提升推理速度模型规模的扩大带来了更高的精度和更深入的理解能力然而也给硬件资源带来了巨大的挑战单一的GPU或CPU设备在训练效率上显得捉襟见肘无法满足大型语言模型的训练需求通过分布式训练一个大模型可以拆分到多个计算节点上进行训练每个节点只需处理模型的一部分从而充分利用多个计算节点的计算资源避免单个计算节点的计算资源过载并减少了网络传输的负担更多的硬件环境得以参与到模型的训练中使得参数量巨大的大型语言模型的训练速度进一步提升训练过程更加流畅通顺为未来的大语言模型的研究应用奠定坚实的基础 二能力层 告警分析研判 告警分析研判技术使模型能够精准识别威胁从而减少误报和漏报的情况大模型通过采集大规模多渠道的碎片式攻击或异常数据包括恶意软件IP地址域名URL以及攻击者的行为和手段等集中进行深度融合归并和分析形成与网络安全防护有关的威胁信息线索进而帮助安全专家了解网络安全威胁的性质来源和目的同时在此基础上进行主动协同式的网络安全威胁预警检测和响应有效降低平均威胁检测时间MTTD平均威胁响应时间MTTR缩短自由攻击时间降低网络安全威胁的防护成本提升整体的网络安全防护效率大模型还能够根据历史数据和实时数据进行分析提 供更加全面和深入的告警分析研判提高安全系统的效率和准确性 帮助企业和组织更好地应对各种安全挑战 安全日志智能解析 安全大模型的安全日志智能解析技术是一种基于人工智能技术的日志分析解决方案它利用先进的机器学习算法对安全日志数据进行自动分类聚类和异常检测从而能够快速地识别出潜在的安全事件和攻击行为大模型基于更强大的自然语言理解能力具有更高的效率和准确性能够大大减轻安全人员的工作负担提高企业的安全防护能力同时还能够提供详细的日志解析和可视化报告帮助安全人员更好地理解日志数据还能够为企业的安全决策提供有力的支持 对抗样本生成 安全大模型可以基于大模型的生成能力结合安全知识图谱来构造海量多样化样本并利用这些模拟样本进行模型的训练持续迭代优化检测模型从而更快地应对新的威胁方式 智能策略下发 安全大模型的智能策略下发技术能够实现高效精准的策略部署同时还可以根据系统运行情况和安全威胁的变化自动调整和优化安全策略进一步提高系统的安全性和稳定性降低了人为错误的风险 攻击事件溯源 结合以上成果所产出的关联威胁情报安全大模型的攻击事件溯 源技术能够有效地追踪和识别网络攻击的来源对攻击方进行组织画像和溯源同时能够提供详细的攻击路径和动机分析帮助企业及时发现和应对网络攻击不仅可以对攻击方进行组织画像和溯源利用威胁情报构建的攻击知识库还能实现对APT攻击的智能化攻击意图推理及样本变种自动化跟踪等 三应用层 安全运营 安全大模型在安全运营工作中能够大幅提升高频重点场景的工作效率实现自动化智能运维传统的安全运营方式通常依赖人工监控一系列日志和告警通过综合判断和分析风险情况使用对应的安全工具进行威胁处置和追溯分析这种方式存在很多局限性如运营效果不清晰安全能力不直观威胁识别不准确等而传统的AI技术也一直在安全运维里持续投入比如XDR希望实现自动化检测和响应安全大模型则能够扮演安全运营专家的角色结合安全知识库首先可以形成Copilot助手类产品通过快速理解和分析大量的日志和告警信息提供中级安全分析师的能力来辅助研判减轻告警疲劳大模型也能和XDRSOC等结合形成自动化日志告警事件的处理能力大幅提升运维效率同时它还能够进行高级溯源分析以帮助企业了解攻击的来源和路径安全态势分析以及时发现潜在的风险点并进行安全事