2024安全行業(yè)大模型技術應用態(tài)勢發(fā)展報告

安全行業(yè)大模型技術應用態(tài)勢發(fā)展報告中國通信標準化協會TC608云計算標準和開源推進委員會版權聲明保護。轉載、摘編或利用其它方式使用本報告文字或者觀點報告愿景及目標讀者析和梳理大模型在安全領域的應用態(tài)勢，對于推提升安全行業(yè)整體防護水平以及促進數字經濟狀、安全行業(yè)大模型技術落地關鍵點、安全行業(yè)大模型技術應展趨勢與展望幾個方面進行洞察和分析，為安全行業(yè)從業(yè)者、開發(fā)者以及企業(yè)決策者提供參照，促進大模型技術在安全行業(yè)度應用，推動行業(yè)創(chuàng)新，提升整體安全防護能力，為數字主要撰稿人（排名不分先后） 1 1（二）政策促進大模型應用落地，助力行 3 5 5 10 16 19 22 26 27 28 1 2 4 5 8 9 1一、大模型技術與應用概述(一)大模型技術發(fā)展不斷演進，引領人工智能迅速數據，截至2023年7月份，我國人工智能核心產業(yè)規(guī)模已達50006158億美元，我國將突破7993億元。數據來源：《2024年我國人工智能產業(yè)發(fā)展形勢展望》圖12020-2024全球人工智能市場規(guī)模2圖2大模型發(fā)展歷程3（二）政策促進大模型應用落地，助力行業(yè)提升服務型技術快速發(fā)展。從頂層設計到具體實施全面布年發(fā)布我國在人工智能領域進行的第一個系統(tǒng)部署的文人工智能發(fā)展規(guī)劃》。重點對我國新人工智能發(fā)略目標和主要任務、保障措施進行系統(tǒng)的規(guī)劃和部署。關于推動人工智能發(fā)展的決策部署，統(tǒng)籌推進人工智能著力解決人工智能重大應用和產業(yè)化問題，全面技術新應用創(chuàng)造更好的發(fā)展機遇，加速推動了數字技術安全行業(yè)大模型技術應用態(tài)勢發(fā)展報告(2024)4差別，能夠提供更為精確、貼合實際業(yè)務場景的解決方案，展現出與行業(yè)深度融合的巨大潛力。如今，大模型已經滲透到各行各業(yè)，如金融、教育、醫(yī)療、網絡安全、政務、互聯網等領域，被用于智能客服、智能寫作、自動摘要、文本生成、知識問答、個性化推薦等多個應用場景，改變傳統(tǒng)生產方式，有效提升行業(yè)服務效率和服務質量，創(chuàng)造更高經濟價值。行業(yè)大模型行業(yè)大模型互聯網大模型政務大模型金融大模型醫(yī)療大模型安全大模型電商大模型教育大模型工業(yè)大模型安全大模型賦能網絡安全的創(chuàng)新變革。網絡安全作為互聯網發(fā)展的基石，是保障現代社會基礎設施政策運作的基礎。安全大模型通過整合網絡安全領域的知識、技術和數據，形成統(tǒng)一、具有高度智能化和自適應能力的安全管理與防護系統(tǒng)。安全大模型憑借其龐大的參數量與深度學習能力，在深度理解行業(yè)特性和業(yè)務流程的基礎上，實現對復雜攻擊模式的精準判斷和預警，促進安全資源的精準配置與合規(guī)性管理的自動化，為網絡安全防護體系帶來創(chuàng)新變革的智能化水平提升，構建更加智能、高效、全面的安全防護生態(tài)系統(tǒng)，以適應數字化時代復雜多變的安全挑戰(zhàn)。5大模型技術的迅速發(fā)展給安全行業(yè)的核心業(yè)務場景帶來深遠的影響?；趯Υ笠?guī)模數據的深度學習和復雜模式識別能力，大模型在多個關鍵領域展現出顯著的潛力。隨著技術的持續(xù)演進，大模型正逐漸成為驅動安全行業(yè)創(chuàng)新和轉型的關鍵力量，推動著安全防御從被動響應向主動預防的范式轉變。(一)大模型賦能威脅檢測，全面提升場景效能1.傳統(tǒng)檢測方法在面對新型威脅時效率不足在當前復雜多變的威脅環(huán)境下，如圖4所示，傳統(tǒng)檢測方法的效率和精度已無法滿足不斷更迭的安全需求，難以應對新型威脅。圖4傳統(tǒng)威脅檢測方式弊端一是傳統(tǒng)方法高度依賴人力投入，傳統(tǒng)的威脅檢測方法主要依靠安全專家手工定義規(guī)則，通過特征匹配的方式來識別已知威脅。這種方法對安全專家的經驗和技能要求較高，且規(guī)則制定的周期較6隨著網絡規(guī)模的不斷擴大，安全設備、終端用戶數生的安全日志、網絡流量等數據呈爆炸式增長，達到了PB級別。傳統(tǒng)方法采用關系型數據庫進行存儲和查詢，其性據處理的需求。此外，安全數據來源多樣，格式各異，傳以實現多源異構數據的融合分析，無法全面挖掘7為中自動生成檢測模型，顯著提升檢測有效性。如圖5所示，從全準確率提高3倍，同時將誤報率降低5倍2。相比傳統(tǒng)的特征工程，1IBM《TheWhatWhyandHowof2《TheFourTypesofThreatDetection（2018）》8圖5大模型關聯分析示意圖3.大模型為威脅檢測提供新技術和新范式安全行業(yè)大模型技術應用態(tài)勢發(fā)展報告(2024)9結構化數據結構化數據資產信息網絡空間測繪非/半結構化數據軟件供應鏈安全博客論壇應急響應分析新聞網站APT威脅追蹤企業(yè)智能安全運營圖譜構建知識表示兩安融合的工業(yè)系圖譜推理其次，基于圖神經網絡等技術，大模型能夠深入理解攻擊事件之間的內在聯系和時序規(guī)律，從而對未來一段時間內可能出現的攻擊類型、攻擊目標、攻擊手法等進行預判。例如，一些研究機構利用門控循環(huán)單元(GRU)等深度學習模型，對APT攻擊的生命周期進行建模，通過對攻擊事件的時間序列分析，預測APT組織未來的攻擊活動，準確率可達80%以上4。最后，大模型生成的威脅預測情報可以幫助安全團隊更加主動、精準地制定防御策略，提前采取針對性的防護措施，最小化安全風險。一方面，模型預警的高危攻擊事件可以作為輸入，觸發(fā)應急響應流程，調整安全策略配置，對潛在目標進行加固。另一方面，研判攻擊者的意圖、偏好、未來行動，有助于圍繞攻擊者展開態(tài)勢感知，進行威懾、誘捕、溯源等主動防御行動。4IEEE《LongShortTermMemoryRecurrentNeuralNe歷史未知威脅的演化規(guī)律，利用Few-shotLearning等算法，有望在提到，預訓練語言模型強大的語義理解和表示還能實現跨場景、跨領域的威脅知識復用，有效應對“未知未見”（二）大模型改寫傳統(tǒng)運營方式，推動全局智能化身的安全狀態(tài)，缺乏可量化、可溯源的風險評估被動應對已發(fā)生的攻擊，難以未雨綢繆，對未來一段時6《資產測繪與攻擊面管理助力構建數字化安全運營體系（2022）》7IEEE《ASurveyonDeepLearningTechniquesforMalwareDetectionandClassification（2022）》經驗共享機制弱等風險，如圖7所示。圖7傳統(tǒng)安全運營風險8《2023年中國AI大模型應用研究報告》圖8日志低維語義空間分析示意圖3.大模型技術強化人機協同，改寫傳統(tǒng)運營分析方式 的收集、清洗、融合等前置工作都可交由大模型完成，讓專家直接分析結構化的信息。深度學習模型可自動學習抽象出高維特征，揭示被數據所掩蓋的關鍵模式，為專家的分析提供協同作戰(zhàn)，既發(fā)揮了人的探索創(chuàng)新能力，又利用了機器的海量傳統(tǒng)的自動化局限于既定場景下的處置動作，缺10《2023-2029年中國人機交互行業(yè)現狀分析與前景趨勢安全行業(yè)大模型技術應用態(tài)勢發(fā)展報告(2024)整體安全策略。同時，大模型可實時感知網絡安全態(tài)勢變化，預測攻擊事件的發(fā)生概率和可能路徑，針對性地動態(tài)調整各領域的防護策略和響應預案11。二是，大模型可自主編排端到端的安全響應流程。傳統(tǒng)的響應流程通常是事先定義的，缺乏靈活性和適應性。大模型可結合安全事件的嚴重性、影響范圍、攻擊階段等多種因素，實時生成最優(yōu)的響應流程。例如，對于高危事件，模型會自動觸發(fā)流量隔離、加固防護、通知下線等一系列聯動措施；對于低風險事件，模型則會執(zhí)行威脅監(jiān)視、調查取證、記錄跟蹤等常規(guī)流程12。三是，大模型可以通過平衡封堵成本和防護收益，動態(tài)調整策略閾值和流程參數，使安全編排越來越智能。大模型強化學習等技術，從海量的響應日志和效果反饋中自主學習和優(yōu)化，可持續(xù)評估不同防護動作的時效性和有效性，實現告警、分析、響應、處置的全流程自動化，從而極大提升運營效率，如圖9所示。入侵檢測系統(tǒng)入侵檢測系統(tǒng)響應系統(tǒng)i防火墻惡意程序檢測數字取證權限控制網絡流量終端數據惡意程序網絡數據身份權限圖9大模型安全編排自動化響應示意圖11《基于安全態(tài)勢感知的智能決策與聯動防護方案研究(2022)》12《基于安全編排自動化與響應技術在網絡安全應急響應中的應用探索(2022)》（三）大模型推動行業(yè)信息互通，強化安全知識互聯傳統(tǒng)安全行業(yè)的知識鏈接存在時效性差、覆蓋不全、全從業(yè)者會利用搜索引擎嘗試檢索互聯網上全企業(yè)利用大模型技術，從安全資訊、技術器人為安全行業(yè)帶來了全新的交互方式，傳統(tǒng)的安全依賴用戶之間的互動來解決問題和分享知識，時間和人員的限制，而基于大模型的智能客服系統(tǒng)可的安全知識問答服務，用戶可以隨時提出問題能客服系統(tǒng)利用自然語言處理和機器學習技術，理解圖，并從海量的安全知識庫中檢索出最相關的答案。常見的逆向分析、漏洞挖掘、安全工具使用等以通過與用戶的持續(xù)互動，不斷學習和優(yōu)化知確性和覆蓋面。這種智能化的交互方式極大地提高了務質量，使得安全從業(yè)者能夠更加便捷地獲取所需的檢索方式通常依賴關鍵詞匹配，難以處理復雜的語義關系和領征，導致檢索結果的相關性和準確性不高。一方面，大模用深度學習算法，通過對海量安全文獻、代碼庫、社區(qū)討論等進行訓練，學習到了豐富的語義表示和領域知識。這使得基于包含行業(yè)專業(yè)詞匯、縮寫、上下文依賴等復雜因素，也能準斷出用戶的真實需求，返回最相關的結果14。另一方面，大模型技14《大模型在威脅情報中應用可行性研究報告（2024）》安全行業(yè)大模型技術應用態(tài)勢發(fā)展報告(2024)1.充分發(fā)揮大模型技術優(yōu)勢，促進安全行業(yè)智能化升級大模型技術的持續(xù)發(fā)展正在為網絡安全領域帶來革命性的變革，推動整個行業(yè)邁向一個全新的防護時代。如圖10所示，充分發(fā)揮大模型的技術優(yōu)勢，不僅可以顯著提升威脅檢測的響應效率、加強對復雜威脅的適應能力，還能夠實現更加主動和智能的安全防御策略，為構建更加安全、可靠的網絡環(huán)境奠定堅實基礎。大模型技術應用安全行業(yè)優(yōu)勢提升威脅應答速度大模型技術應用安全行業(yè)優(yōu)勢提升威脅應答速度模型被集成到SOC中，實現自動化安全事件處理。一旦模型識別出可疑活動，能夠立即觸發(fā)預設的響應動作，如隔離受感染設備、封鎖惡意IP地址等，無需人工干預。顯著縮短響應時間。大模型技術通過自動化分析、預測和決策大大減輕了安全運維人員的工作負擔，提高了效率和準確性，使得安全防護更加智能和自主。大模型技術憑借其強大的數據處理能力和模式識別能力，能夠自動學習和適應不斷演變的攻擊策略，為應對復雜多變的威脅環(huán)境提供了新的技術通路圖10大模型技術應用安全行業(yè)優(yōu)勢一是，大模型技術可以幫助安全行業(yè)應對更加復雜多變的威脅環(huán)境，隨著網絡空間的不斷擴張和信息技術的快速發(fā)展，網絡安全威脅呈現出多元化、隱蔽化和智能化的特點。傳統(tǒng)的基于規(guī)則的安全解決方案在處理海量數據、識別新型攻擊模式方面顯得力不從心。大模型技術憑借其強大的數據處理能力和模式識別能力，能夠自動學習和適應不斷演變的攻擊策略，為應對復雜多變的威脅環(huán)境提供了新的技術通路。諸如在對大數據的高效處理和分析上，通過整合Gartner在2022年的網絡安全預測報告中指出，到2025年，將有變的威脅形勢15。報告強調，大模型技術將在智能威脅檢測 15Gartner《網絡安全預測報告（2022）》安全行業(yè)大模型技術應用態(tài)勢發(fā)展報告(2024)策略的制定和調整提供科學依據。2.堅持安全行業(yè)應用創(chuàng)新，持續(xù)推動大模型技術落地一是堅持基于業(yè)務場景進行創(chuàng)新，安全行業(yè)涉及網絡安全、數據安全、終端安全等多個領域，每個領域都有其特定的技術挑戰(zhàn)和業(yè)務痛點。如圖11所示，大模型應用須深入一線，洞察行業(yè)需求，針對具體問題設計解決方案，只有緊貼實際，才能研發(fā)出契合行業(yè)特點，滿足用戶需要的應用產品，唯有以需求為牽引，以問題為導向，在跨界融通中探索突破，大模型才能在安全行業(yè)內深入應用。數據安全補J行業(yè)大模型安全大模型網絡安全終端安全二是勇于探索新的應用模式，傳統(tǒng)安全解決方案往往基于規(guī)則和特征碼，而大模型則可通過強大的數據挖掘和關聯分析能力，實現更智能、全面的安全防護。例如基于大模型構建智能安全運營中心，通過多源異構數據關聯分析，實時洞察全網安全態(tài)勢；也可以利用大模型實現自適應安全策略，根據環(huán)境變化動態(tài)調整防護措施。這些創(chuàng)新的應用模式，有望極大提升安全防護的智能化水平。三是建立有效的評估機制，由于安全領域的特殊性，對大模型威脅，需要在底層技術上不斷精進，針對安全領域的特定問題對抗樣本、小樣本學習等，展開有效攻關，通過技術創(chuàng)新強模型性能，提升行業(yè)任務處理的精準度和效率，讓大模（二）防范大模型應用風險，加強規(guī)范建設如差分隱私或同態(tài)加密，以保護個人身份信息和次，需要采用高強度的加密算法進行數據傳輸和傳輸或存儲過程中被截獲或竊取。再次，還應建立全面的周期管理策略，從數據收集、處理、使用到最及時發(fā)現和修復潛在的安全漏洞。通過這些全方位、措施，可以最大限度地保護敏感數據的安全，據訪問審計，記錄所有對敏感數據的訪問操作，以便追蹤和回溯。立完善的合規(guī)框架，確保大模型的訓練和使用符夠應對潛在的審計和監(jiān)管檢查，包括實施數據主如允許用戶訪問、更正、刪除其個人數據的權誤報率以及抗干擾性，在威脅檢測、漏洞分全任務中，模型的每一個決策都可能影響到防御體模型還需要具備強大的抗干擾能力，能夠應對可能程和依據。這對于安全分析師理解和驗證模型的判斷擊時，模型應能夠詳細說明其判斷依據，包括觀察到匹配的威脅特征等，以便安全團隊能夠迅速驗證和四、安全行業(yè)大模型技術應用發(fā)展趨勢與展望（一）技術日益成熟，持續(xù)賦能安全行業(yè)安全大模型將突破傳統(tǒng)的數據孤島限制，實現云端、終端設備、物（二）產業(yè)逐漸完善，推動生態(tài)優(yōu)化升級1.供給側：技術與產品持續(xù)創(chuàng)新，推動安全大模型應用普及功案例不斷涌現，越來越多的企業(yè)和機構將意識到全管理效率、增強威脅應對能力的重要作用。安全于在預算中增加對大模型相關產品和服務的投入，的網絡安全威脅，傳統(tǒng)的人工分析方法難以應助大模型的智能分析能力，通過海量數據的快智能化運營閉環(huán)，通過深入應用大模型技術提（三）標準體系愈發(fā)清晰，行業(yè)應用更趨規(guī)范訓練方法、數據處理等核心技術環(huán)節(jié)的標準化規(guī)范地將為安全行業(yè)廠商的產品提供良好的基礎，推動出更高的落地要求，隨著實踐探索的日益深更加規(guī)范。行業(yè)領軍企業(yè)和研究機構將聯合全大模型應用的自動化測試工具將被更為廣應用的整體合規(guī)水平，通過覆蓋開發(fā)、測試續(xù)迭代和質量提升的閉環(huán)，進一步推動安全附錄大模型技術在安全行業(yè)的創(chuàng)新應用案例案例1基于AI大語言模型的SAST安全治理代碼掃描模塊：SAST工具負責初步的源代碼、字節(jié)碼或二修復建議生成模塊：基于大模型對每個實際存在低至20%以下，相較于傳統(tǒng)方法減少了20個百分點。成本問題。采用先進的污點分析技術和大模型集成，提高了測的準確性，將誤報率降低到20%以下。同時，通過大模型生成自實現了從檢測到修復的高效閉環(huán)，推動了安全監(jiān)測技術的智能化發(fā)展。安全行業(yè)大模型技術應用態(tài)勢發(fā)展報告(2024)某企業(yè)在日常運維中面臨著海量的安全日志分析帶來大量誤報和漏報的問題，安全運維人員每天都要處理大量的監(jiān)控日志和警報，如何從中篩選出真正的威脅信息成為一大挑戰(zhàn)。誤報和漏報的問題也可能導致團隊浪費大量時間在無關緊要的警報上，進而錯過實際二、案例介紹安全運營智能體平臺提供了全流程的安全運營智能化解決方案，采用分層的技術架構來不斷優(yōu)化智能運營場景的業(yè)務效果。自底向上分成模型層、框架層和應用層。Agent架構層告警驗證專家一智能體協作框架安全工具鏈/工具集安全知識管理報告生成資產定位止損服務安全加固動靜態(tài)結合工作流圖12安全運營智能體平臺技術架構模型層采用Post-Pretrain、SFT、Dagger等機制，通過安全專業(yè)領域語料提升基礎模型安全知識水平；利用安全專家經驗提取的思型的智能體落地到實際安全運營場景更可控、更可被觀測。通過動靜態(tài)結合的工作流編排，在運營流程的可控性和發(fā)揮大模型的腦洞思維方面取得平衡。構建安全領域知識管理能力，沉淀私有運營經驗，結合外部安全情報和內部資產數據，通過檢索增強技術運營偏好及當前的安全態(tài)勢，使模型決策和推理更有依據。全領域的工具集，減少安全產品孤島效應、充分解放工具的效率。制整個安全運營流程及跟Agent交互。靜成的工作流，滿足智能化安全運營全場景需求。構建了安鍵環(huán)節(jié)Agent，結合到安全運營平臺線上化、自動化、智能化的處節(jié)的效率和效果。特別是在告警運營、事件處置提升了安全運營的效率。在關鍵場景的指標達到90%或以上的準確安全行業(yè)大模型技術應用態(tài)勢發(fā)展報告(2024)案例3基于AI大模型的新一代安全運營平臺某集團在信息安全運營中引入“安全垂直領域AI大模型”,逐步實現從“人工運營”為主到“機器運營”為主的智能轉變，用安全大模型理解利用AI生成的新型攻擊，協助集團信息安全運營人員進行主動安全運營，構建“AI+人工”共治的新一代安全運營平臺。幫助某集團保護核心資產，建立完善的信息安全運營體系，基于AI大模型的新一代安全運營平臺從下至上分為四層：模安全運營平臺安全運營平臺終端安全態(tài)勢感知防火墻安全GPT運營大模型值守處理增量預訓練指令微調排查檢索安全服務安全百科數據準備部署推理事件研判圖13安全運營平臺技術架構安全領域高質量內容的生成、推理、摘要、總結等與集團現網的終端側安全組件、網絡層安全組件、與大模型進行自然語言交互的方式，輔助分業(yè)互聯網安全的實戰(zhàn)化、體系化、常態(tài)化和智自動化封禁掃描惡意超過200個IP，封禁時間從之前的30分鐘降案例4智慧家庭“小微”安全運維體系指數級增加，智慧