2024安全行業(yè)大模型技術(shù)應用態(tài)勢發(fā)展報告

安全行業(yè)大模型技術(shù)應用態(tài)勢發(fā)展報告中國通信標準化協(xié)會TC608云計算標準和開源推進委員會版權(quán)聲明保護。轉(zhuǎn)載、摘編或利用其它方式使用本報告文字或者觀點報告愿景及目標讀者析和梳理大模型在安全領(lǐng)域的應用態(tài)勢，對于推提升安全行業(yè)整體防護水平以及促進數(shù)字經(jīng)濟狀、安全行業(yè)大模型技術(shù)落地關(guān)鍵點、安全行業(yè)大模型技術(shù)應展趨勢與展望幾個方面進行洞察和分析，為安全行業(yè)從業(yè)者、開發(fā)者以及企業(yè)決策者提供參照，促進大模型技術(shù)在安全行業(yè)度應用，推動行業(yè)創(chuàng)新，提升整體安全防護能力，為數(shù)字主要撰稿人（排名不分先后） 1 1（二）政策促進大模型應用落地，助力行 3 5 5 10 16 19 22 26 27 28 1 2 4 5 8 9 1一、大模型技術(shù)與應用概述(一)大模型技術(shù)發(fā)展不斷演進，引領(lǐng)人工智能迅速數(shù)據(jù)，截至2023年7月份，我國人工智能核心產(chǎn)業(yè)規(guī)模已達50006158億美元，我國將突破7993億元。數(shù)據(jù)來源：《2024年我國人工智能產(chǎn)業(yè)發(fā)展形勢展望》圖12020-2024全球人工智能市場規(guī)模2圖2大模型發(fā)展歷程3（二）政策促進大模型應用落地，助力行業(yè)提升服務型技術(shù)快速發(fā)展。從頂層設計到具體實施全面布年發(fā)布我國在人工智能領(lǐng)域進行的第一個系統(tǒng)部署的文人工智能發(fā)展規(guī)劃》。重點對我國新人工智能發(fā)略目標和主要任務、保障措施進行系統(tǒng)的規(guī)劃和部署。關(guān)于推動人工智能發(fā)展的決策部署，統(tǒng)籌推進人工智能著力解決人工智能重大應用和產(chǎn)業(yè)化問題，全面技術(shù)新應用創(chuàng)造更好的發(fā)展機遇，加速推動了數(shù)字技術(shù)安全行業(yè)大模型技術(shù)應用態(tài)勢發(fā)展報告(2024)4差別，能夠提供更為精確、貼合實際業(yè)務場景的解決方案，展現(xiàn)出與行業(yè)深度融合的巨大潛力。如今，大模型已經(jīng)滲透到各行各業(yè)，如金融、教育、醫(yī)療、網(wǎng)絡安全、政務、互聯(lián)網(wǎng)等領(lǐng)域，被用于智能客服、智能寫作、自動摘要、文本生成、知識問答、個性化推薦等多個應用場景，改變傳統(tǒng)生產(chǎn)方式，有效提升行業(yè)服務效率和服務質(zhì)量，創(chuàng)造更高經(jīng)濟價值。行業(yè)大模型行業(yè)大模型互聯(lián)網(wǎng)大模型政務大模型金融大模型醫(yī)療大模型安全大模型電商大模型教育大模型工業(yè)大模型安全大模型賦能網(wǎng)絡安全的創(chuàng)新變革。網(wǎng)絡安全作為互聯(lián)網(wǎng)發(fā)展的基石，是保障現(xiàn)代社會基礎(chǔ)設施政策運作的基礎(chǔ)。安全大模型通過整合網(wǎng)絡安全領(lǐng)域的知識、技術(shù)和數(shù)據(jù)，形成統(tǒng)一、具有高度智能化和自適應能力的安全管理與防護系統(tǒng)。安全大模型憑借其龐大的參數(shù)量與深度學習能力，在深度理解行業(yè)特性和業(yè)務流程的基礎(chǔ)上，實現(xiàn)對復雜攻擊模式的精準判斷和預警，促進安全資源的精準配置與合規(guī)性管理的自動化，為網(wǎng)絡安全防護體系帶來創(chuàng)新變革的智能化水平提升，構(gòu)建更加智能、高效、全面的安全防護生態(tài)系統(tǒng)，以適應數(shù)字化時代復雜多變的安全挑戰(zhàn)。5大模型技術(shù)的迅速發(fā)展給安全行業(yè)的核心業(yè)務場景帶來深遠的影響。基于對大規(guī)模數(shù)據(jù)的深度學習和復雜模式識別能力，大模型在多個關(guān)鍵領(lǐng)域展現(xiàn)出顯著的潛力。隨著技術(shù)的持續(xù)演進，大模型正逐漸成為驅(qū)動安全行業(yè)創(chuàng)新和轉(zhuǎn)型的關(guān)鍵力量，推動著安全防御從被動響應向主動預防的范式轉(zhuǎn)變。(一)大模型賦能威脅檢測，全面提升場景效能1.傳統(tǒng)檢測方法在面對新型威脅時效率不足在當前復雜多變的威脅環(huán)境下，如圖4所示，傳統(tǒng)檢測方法的效率和精度已無法滿足不斷更迭的安全需求，難以應對新型威脅。圖4傳統(tǒng)威脅檢測方式弊端一是傳統(tǒng)方法高度依賴人力投入，傳統(tǒng)的威脅檢測方法主要依靠安全專家手工定義規(guī)則，通過特征匹配的方式來識別已知威脅。這種方法對安全專家的經(jīng)驗和技能要求較高，且規(guī)則制定的周期較6隨著網(wǎng)絡規(guī)模的不斷擴大，安全設備、終端用戶數(shù)生的安全日志、網(wǎng)絡流量等數(shù)據(jù)呈爆炸式增長，達到了PB級別。傳統(tǒng)方法采用關(guān)系型數(shù)據(jù)庫進行存儲和查詢，其性據(jù)處理的需求。此外，安全數(shù)據(jù)來源多樣，格式各異，傳以實現(xiàn)多源異構(gòu)數(shù)據(jù)的融合分析，無法全面挖掘7為中自動生成檢測模型，顯著提升檢測有效性。如圖5所示，從全準確率提高3倍，同時將誤報率降低5倍2。相比傳統(tǒng)的特征工程，1IBM《TheWhatWhyandHowof2《TheFourTypesofThreatDetection（2018）》8圖5大模型關(guān)聯(lián)分析示意圖3.大模型為威脅檢測提供新技術(shù)和新范式安全行業(yè)大模型技術(shù)應用態(tài)勢發(fā)展報告(2024)9結(jié)構(gòu)化數(shù)據(jù)結(jié)構(gòu)化數(shù)據(jù)資產(chǎn)信息網(wǎng)絡空間測繪非/半結(jié)構(gòu)化數(shù)據(jù)軟件供應鏈安全博客論壇應急響應分析新聞網(wǎng)站APT威脅追蹤企業(yè)智能安全運營圖譜構(gòu)建知識表示兩安融合的工業(yè)系圖譜推理其次，基于圖神經(jīng)網(wǎng)絡等技術(shù)，大模型能夠深入理解攻擊事件之間的內(nèi)在聯(lián)系和時序規(guī)律，從而對未來一段時間內(nèi)可能出現(xiàn)的攻擊類型、攻擊目標、攻擊手法等進行預判。例如，一些研究機構(gòu)利用門控循環(huán)單元(GRU)等深度學習模型，對APT攻擊的生命周期進行建模，通過對攻擊事件的時間序列分析，預測APT組織未來的攻擊活動，準確率可達80%以上4。最后，大模型生成的威脅預測情報可以幫助安全團隊更加主動、精準地制定防御策略，提前采取針對性的防護措施，最小化安全風險。一方面，模型預警的高危攻擊事件可以作為輸入，觸發(fā)應急響應流程，調(diào)整安全策略配置，對潛在目標進行加固。另一方面，研判攻擊者的意圖、偏好、未來行動，有助于圍繞攻擊者展開態(tài)勢感知，進行威懾、誘捕、溯源等主動防御行動。4IEEE《LongShortTermMemoryRecurrentNeuralNe歷史未知威脅的演化規(guī)律，利用Few-shotLearning等算法，有望在提到，預訓練語言模型強大的語義理解和表示還能實現(xiàn)跨場景、跨領(lǐng)域的威脅知識復用，有效應對“未知未見”（二）大模型改寫傳統(tǒng)運營方式，推動全局智能化身的安全狀態(tài)，缺乏可量化、可溯源的風險評估被動應對已發(fā)生的攻擊，難以未雨綢繆，對未來一段時6《資產(chǎn)測繪與攻擊面管理助力構(gòu)建數(shù)字化安全運營體系（2022）》7IEEE《ASurveyonDeepLearningTechniquesforMalwareDetectionandClassification（2022）》經(jīng)驗共享機制弱等風險，如圖7所示。圖7傳統(tǒng)安全運營風險8《2023年中國AI大模型應用研究報告》圖8日志低維語義空間分析示意圖3.大模型技術(shù)強化人機協(xié)同，改寫傳統(tǒng)運營分析方式 的收集、清洗、融合等前置工作都可交由大模型完成，讓專家直接分析結(jié)構(gòu)化的信息。深度學習模型可自動學習抽象出高維特征，揭示被數(shù)據(jù)所掩蓋的關(guān)鍵模式，為專家的分析提供協(xié)同作戰(zhàn)，既發(fā)揮了人的探索創(chuàng)新能力，又利用了機器的海量傳統(tǒng)的自動化局限于既定場景下的處置動作，缺10《2023-2029年中國人機交互行業(yè)現(xiàn)狀分析與前景趨勢安全行業(yè)大模型技術(shù)應用態(tài)勢發(fā)展報告(2024)整體安全策略。同時，大模型可實時感知網(wǎng)絡安全態(tài)勢變化，預測攻擊事件的發(fā)生概率和可能路徑，針對性地動態(tài)調(diào)整各領(lǐng)域的防護策略和響應預案11。二是，大模型可自主編排端到端的安全響應流程。傳統(tǒng)的響應流程通常是事先定義的，缺乏靈活性和適應性。大模型可結(jié)合安全事件的嚴重性、影響范圍、攻擊階段等多種因素，實時生成最優(yōu)的響應流程。例如，對于高危事件，模型會自動觸發(fā)流量隔離、加固防護、通知下線等一系列聯(lián)動措施；對于低風險事件，模型則會執(zhí)行威脅監(jiān)視、調(diào)查取證、記錄跟蹤等常規(guī)流程12。三是，大模型可以通過平衡封堵成本和防護收益，動態(tài)調(diào)整策略閾值和流程參數(shù)，使安全編排越來越智能。大模型強化學習等技術(shù)，從海量的響應日志和效果反饋中自主學習和優(yōu)化，可持續(xù)評估不同防護動作的時效性和有效性，實現(xiàn)告警、分析、響應、處置的全流程自動化，從而極大提升運營效率，如圖9所示。入侵檢測系統(tǒng)入侵檢測系統(tǒng)響應系統(tǒng)i防火墻惡意程序檢測數(shù)字取證權(quán)限控制網(wǎng)絡流量終端數(shù)據(jù)惡意程序網(wǎng)絡數(shù)據(jù)身份權(quán)限圖9大模型安全編排自動化響應示意圖11《基于安全態(tài)勢感知的智能決策與聯(lián)動防護方案研究(2022)》12《基于安全編排自動化與響應技術(shù)在網(wǎng)絡安全應急響應中的應用探索(2022)》（三）大模型推動行業(yè)信息互通，強化安全知識互聯(lián)傳統(tǒng)安全行業(yè)的知識鏈接存在時效性差、覆蓋不全、全從業(yè)者會利用搜索引擎嘗試檢索互聯(lián)網(wǎng)上全企業(yè)利用大模型技術(shù)，從安全資訊、技術(shù)器人為安全行業(yè)帶來了全新的交互方式，傳統(tǒng)的安全依賴用戶之間的互動來解決問題和分享知識，時間和人員的限制，而基于大模型的智能客服系統(tǒng)可的安全知識問答服務，用戶可以隨時提出問題能客服系統(tǒng)利用自然語言處理和機器學習技術(shù)，理解圖，并從海量的安全知識庫中檢索出最相關(guān)的答案。常見的逆向分析、漏洞挖掘、安全工具使用等以通過與用戶的持續(xù)互動，不斷學習和優(yōu)化知確性和覆蓋面。這種智能化的交互方式極大地提高了務質(zhì)量，使得安全從業(yè)者能夠更加便捷地獲取所需的檢索方式通常依賴關(guān)鍵詞匹配，難以處理復雜的語義關(guān)系和領(lǐng)征，導致檢索結(jié)果的相關(guān)性和準確性不高。一方面，大模用深度學習算法，通過對海量安全文獻、代碼庫、社區(qū)討論等進行訓練，學習到了豐富的語義表示和領(lǐng)域知識。這使得基于包含行業(yè)專業(yè)詞匯、縮寫、上下文依賴等復雜因素，也能準斷出用戶的真實需求，返回最相關(guān)的結(jié)果14。另一方面，大模型技14《大模型在威脅情報中應用可行性研究報告（2024）》安全行業(yè)大模型技術(shù)應用態(tài)勢發(fā)展報告(2024)1.充分發(fā)揮大模型技術(shù)優(yōu)勢，促進安全行業(yè)智能化升級大模型技術(shù)的持續(xù)發(fā)展正在為網(wǎng)絡安全領(lǐng)域帶來革命性的變革，推動整個行業(yè)邁向一個全新的防護時代。如圖10所示，充分發(fā)揮大模型的技術(shù)優(yōu)勢，不僅可以顯著提升威脅檢測的響應效率、加強對復雜威脅的適應能力，還能夠?qū)崿F(xiàn)更加主動和智能的安全防御策略，為構(gòu)建更加安全、可靠的網(wǎng)絡環(huán)境奠定堅實基礎(chǔ)。大模型技術(shù)應用安全行業(yè)優(yōu)勢提升威脅應答速度大模型技術(shù)應用安全行業(yè)優(yōu)勢提升威脅應答速度模型被集成到SOC中，實現(xiàn)自動化安全事件處理。一旦模型識別出可疑活動，能夠立即觸發(fā)預設的響應動作，如隔離受感染設備、封鎖惡意IP地址等，無需人工干預。顯著縮短響應時間。大模型技術(shù)通過自動化分析、預測和決策大大減輕了安全運維人員的工作負擔，提高了效率和準確性，使得安全防護更加智能和自主。大模型技術(shù)憑借其強大的數(shù)據(jù)處理能力和模式識別能力，能夠自動學習和適應不斷演變的攻擊策略，為應對復雜多變的威脅環(huán)境提供了新的技術(shù)通路圖10大模型技術(shù)應用安全行業(yè)優(yōu)勢一是，大模型技術(shù)可以幫助安全行業(yè)應對更加復雜多變的威脅環(huán)境，隨著網(wǎng)絡空間的不斷擴張和信息技術(shù)的快速發(fā)展，網(wǎng)絡安全威脅呈現(xiàn)出多元化、隱蔽化和智能化的特點。傳統(tǒng)的基于規(guī)則的安全解決方案在處理海量數(shù)據(jù)、識別新型攻擊模式方面顯得力不從心。大模型技術(shù)憑借其強大的數(shù)據(jù)處理能力和模式識別能力，能夠自動學習和適應不斷演變的攻擊策略，為應對復雜多變的威脅環(huán)境提供了新的技術(shù)通路。諸如在對大數(shù)據(jù)的高效處理和分析上，通過整合Gartner在2022年的網(wǎng)絡安全預測報告中指出，到2025年，將有變的威脅形勢15。報告強調(diào)，大模型技術(shù)將在智能威脅檢測 15Gartner《網(wǎng)絡安全預測報告（2022）》安全行業(yè)大模型技術(shù)應用態(tài)勢發(fā)展報告(2024)策略的制定和調(diào)整提供科學依據(jù)。2.堅持安全行業(yè)應用創(chuàng)新，持續(xù)推動大模型技術(shù)落地一是堅持基于業(yè)務場景進行創(chuàng)新，安全行業(yè)涉及網(wǎng)絡安全、數(shù)據(jù)安全、終端安全等多個領(lǐng)域，每個領(lǐng)域都有其特定的技術(shù)挑戰(zhàn)和業(yè)務痛點。如圖11所示，大模型應用須深入一線，洞察行業(yè)需求，針對具體問題設計解決方案，只有緊貼實際，才能研發(fā)出契合行業(yè)特點，滿足用戶需要的應用產(chǎn)品，唯有以需求為牽引，以問題為導向，在跨界融通中探索突破，大模型才能在安全行業(yè)內(nèi)深入應用。數(shù)據(jù)安全補J行業(yè)大模型安全大模型網(wǎng)絡安全終端安全二是勇于探索新的應用模式，傳統(tǒng)安全解決方案往往基于規(guī)則和特征碼，而大模型則可通過強大的數(shù)據(jù)挖掘和關(guān)聯(lián)分析能力，實現(xiàn)更智能、全面的安全防護。例如基于大模型構(gòu)建智能安全運營中心，通過多源異構(gòu)數(shù)據(jù)關(guān)聯(lián)分析，實時洞察全網(wǎng)安全態(tài)勢；也可以利用大模型實現(xiàn)自適應安全策略，根據(jù)環(huán)境變化動態(tài)調(diào)整防護措施。這些創(chuàng)新的應用模式，有望極大提升安全防護的智能化水平。三是建立有效的評估機制，由于安全領(lǐng)域的特殊性，對大模型威脅，需要在底層技術(shù)上不斷精進，針對安全領(lǐng)域的特定問題對抗樣本、小樣本學習等，展開有效攻關(guān)，通過技術(shù)創(chuàng)新強模型性能，提升行業(yè)任務處理的精準度和效率，讓大模（二）防范大模型應用風險，加強規(guī)范建設如差分隱私或同態(tài)加密，以保護個人身份信息和次，需要采用高強度的加密算法進行數(shù)據(jù)傳輸和傳輸或存儲過程中被截獲或竊取。再次，還應建立全面的周期管理策略，從數(shù)據(jù)收集、處理、使用到最及時發(fā)現(xiàn)和修復潛在的安全漏洞。通過這些全方位、措施，可以最大限度地保護敏感數(shù)據(jù)的安全，據(jù)訪問審計，記錄所有對敏感數(shù)據(jù)的訪問操作，以便追蹤和回溯。立完善的合規(guī)框架，確保大模型的訓練和使用符夠應對潛在的審計和監(jiān)管檢查，包括實施數(shù)據(jù)主如允許用戶訪問、更正、刪除其個人數(shù)據(jù)的權(quán)誤報率以及抗干擾性，在威脅檢測、漏洞分全任務中，模型的每一個決策都可能影響到防御體模型還需要具備強大的抗干擾能力，能夠應對可能程和依據(jù)。這對于安全分析師理解和驗證模型的判斷擊時，模型應能夠詳細說明其判斷依據(jù)，包括觀察到匹配的威脅特征等，以便安全團隊能夠迅速驗證和四、安全行業(yè)大模型技術(shù)應用發(fā)展趨勢與展望（一）技術(shù)日益成熟，持續(xù)賦能安全行業(yè)安全大模型將突破傳統(tǒng)的數(shù)據(jù)孤島限制，實現(xiàn)云端、終端設備、物（二）產(chǎn)業(yè)逐漸完善，推動生態(tài)優(yōu)化升級1.供給側(cè)：技術(shù)與產(chǎn)品持續(xù)創(chuàng)新，推動安全大模型應用普及功案例不斷涌現(xiàn)，越來越多的企業(yè)和機構(gòu)將意識到全管理效率、增強威脅應對能力的重要作用。安全于在預算中增加對大模型相關(guān)產(chǎn)品和服務的投入，的網(wǎng)絡安全威脅，傳統(tǒng)的人工分析方法難以應助大模型的智能分析能力，通過海量數(shù)據(jù)的快智能化運營閉環(huán)，通過深入應用大模型技術(shù)提（三）標準體系愈發(fā)清晰，行業(yè)應用更趨規(guī)范訓練方法、數(shù)據(jù)處理等核心技術(shù)環(huán)節(jié)的標準化規(guī)范地將為安全行業(yè)廠商的產(chǎn)品提供良好的基礎(chǔ)，推動出更高的落地要求，隨著實踐探索的日益深更加規(guī)范。行業(yè)領(lǐng)軍企業(yè)和研究機構(gòu)將聯(lián)合全大模型應用的自動化測試工具將被更為廣應用的整體合規(guī)水平，通過覆蓋開發(fā)、測試續(xù)迭代和質(zhì)量提升的閉環(huán)，進一步推動安全附錄大模型技術(shù)在安全行業(yè)的創(chuàng)新應用案例案例1基于AI大語言模型的SAST安全治理代碼掃描模塊：SAST工具負責初步的源代碼、字節(jié)碼或二修復建議生成模塊：基于大模型對每個實際存在低至20%以下，相較于傳統(tǒng)方法減少了20個百分點。成本問題。采用先進的污點分析技術(shù)和大模型集成，提高了測的準確性，將誤報率降低到20%以下。同時，通過大模型生成自實現(xiàn)了從檢測到修復的高效閉環(huán)，推動了安全監(jiān)測技術(shù)的智能化發(fā)展。安全行業(yè)大模型技術(shù)應用態(tài)勢發(fā)展報告(2024)某企業(yè)在日常運維中面臨著海量的安全日志分析帶來大量誤報和漏報的問題，安全運維人員每天都要處理大量的監(jiān)控日志和警報，如何從中篩選出真正的威脅信息成為一大挑戰(zhàn)。誤報和漏報的問題也可能導致團隊浪費大量時間在無關(guān)緊要的警報上，進而錯過實際二、案例介紹安全運營智能體平臺提供了全流程的安全運營智能化解決方案，采用分層的技術(shù)架構(gòu)來不斷優(yōu)化智能運營場景的業(yè)務效果。自底向上分成模型層、框架層和應用層。Agent架構(gòu)層告警驗證專家一智能體協(xié)作框架安全工具鏈/工具集安全知識管理報告生成資產(chǎn)定位止損服務安全加固動靜態(tài)結(jié)合工作流圖12安全運營智能體平臺技術(shù)架構(gòu)模型層采用Post-Pretrain、SFT、Dagger等機制，通過安全專業(yè)領(lǐng)域語料提升基礎(chǔ)模型安全知識水平；利用安全專家經(jīng)驗提取的思型的智能體落地到實際安全運營場景更可控、更可被觀測。通過動靜態(tài)結(jié)合的工作流編排，在運營流程的可控性和發(fā)揮大模型的腦洞思維方面取得平衡。構(gòu)建安全領(lǐng)域知識管理能力，沉淀私有運營經(jīng)驗，結(jié)合外部安全情報和內(nèi)部資產(chǎn)數(shù)據(jù)，通過檢索增強技術(shù)運營偏好及當前的安全態(tài)勢，使模型決策和推理更有依據(jù)。全領(lǐng)域的工具集，減少安全產(chǎn)品孤島效應、充分解放工具的效率。制整個安全運營流程及跟Agent交互。靜成的工作流，滿足智能化安全運營全場景需求。構(gòu)建了安鍵環(huán)節(jié)Agent，結(jié)合到安全運營平臺線上化、自動化、智能化的處節(jié)的效率和效果。特別是在告警運營、事件處置提升了安全運營的效率。在關(guān)鍵場景的指標達到90%或以上的準確安全行業(yè)大模型技術(shù)應用態(tài)勢發(fā)展報告(2024)案例3基于AI大模型的新一代安全運營平臺某集團在信息安全運營中引入“安全垂直領(lǐng)域AI大模型”,逐步實現(xiàn)從“人工運營”為主到“機器運營”為主的智能轉(zhuǎn)變，用安全大模型理解利用AI生成的新型攻擊，協(xié)助集團信息安全運營人員進行主動安全運營，構(gòu)建“AI+人工”共治的新一代安全運營平臺。幫助某集團保護核心資產(chǎn)，建立完善的信息安全運營體系，基于AI大模型的新一代安全運營平臺從下至上分為四層：模安全運營平臺安全運營平臺終端安全態(tài)勢感知防火墻安全GPT運營大模型值守處理增量預訓練指令微調(diào)排查檢索安全服務安全百科數(shù)據(jù)準備部署推理事件研判圖13安全運營平臺技術(shù)架構(gòu)安全領(lǐng)域高質(zhì)量內(nèi)容的生成、推理、摘要、總結(jié)等與集團現(xiàn)網(wǎng)的終端側(cè)安全組件、網(wǎng)絡層安全組件、與大模型進行自然語言交互的方式，輔助分業(yè)互聯(lián)網(wǎng)安全的實戰(zhàn)化、體系化、常態(tài)化和智自動化封禁掃描惡意超過200個IP，封禁時間從之前的30分鐘降案例4智慧家庭“小微”安全運維體系指數(shù)級增加，智慧