2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢研判報告-深信服科技

深信服千里目sangf。rDeepINsight深信服智安全深信服千里目sangf。rDeepINsight深信服智安全2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢研判DEEPINSIGHTINTOCYBERSECURITYIN2024ANDTRENDANALYSISIN2025千里目安全技術(shù)中心全球Windows系統(tǒng)崩潰，再到黎巴嫩突發(fā)尋本報告旨在深入分析當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的關(guān)鍵趨勢，探討最新的攻擊手段和防御技術(shù)，并提供實用的策略和建議，幫助企業(yè)和組織更好地應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn)。本報告根據(jù)國內(nèi)外開源軟件漏洞發(fā)展現(xiàn)狀，分析當(dāng)前開源軟件漏洞威脅態(tài)勢和治理成效；深入研究國內(nèi)外勒索軟件攻擊發(fā)展趨勢與犯罪特點，給出勒索軟件治理的建議與策略；從實際攻防場景出發(fā)，深入剖業(yè)代表性數(shù)據(jù)，且均明確注明來源，其余數(shù)據(jù)來源于報告編寫團隊，目的僅為幫助讀者及時了解中國或其他地區(qū)網(wǎng)絡(luò)安全本報告中所含內(nèi)容乃一般性信息，不應(yīng)被視為任何意義上的決策意見或依據(jù)，任何編制單位的關(guān)聯(lián)機構(gòu)、附屬機構(gòu)并不因此構(gòu)成提供任何專業(yè)建議或服務(wù)。在作出任何可能影響您的財務(wù)或業(yè)務(wù)的決策或采取任何相關(guān)行動前，或您對本報告內(nèi)容2024年，人工智能大模型深度賦能網(wǎng)絡(luò)安全技術(shù)革新，在安全運營、威據(jù)分級分類場景的大模型正逐步應(yīng)用，全網(wǎng)//2024年典型攻防場景中，在橫向移動階段身份攻擊和免殺對抗是最主//錄開源軟件漏洞態(tài)勢分析01開源軟件漏洞威脅態(tài)勢分析01開源軟件漏洞影響分析03.開源軟件漏洞治理與防御的策略與建議04勒索軟件攻擊發(fā)展趨勢分析05勒索軟件攻擊發(fā)展趨勢分析05勒索軟件網(wǎng)絡(luò)犯罪特點分析06勒索軟件治理與合作的策略與建議07攻防場景發(fā)展趨勢分析09攻防場景下初始訪問階段技戰(zhàn)法分析09攻防場景下橫向移動階段技戰(zhàn)法分析10攻防場景下安全防御能力建設(shè)的策略與建議11人工智能賦能網(wǎng)絡(luò)安全應(yīng)用發(fā)展情況分析13網(wǎng)絡(luò)安全大模型基本概況13人工智能大模型賦能的網(wǎng)絡(luò)安全場景14安全運營15威脅檢測16釣魚郵件檢測17數(shù)據(jù)分級分類18威脅情報整合與分析192025年重點關(guān)注趨勢20參考鏈接22近年來，開源軟件漏洞數(shù)量整體呈增長趨勢，2024年統(tǒng)計供應(yīng)鏈的重要組成部分，一旦爆發(fā)嚴(yán)重漏洞將對整個軟件供應(yīng)鏈帶來極大安全風(fēng)險。開源漏洞數(shù)據(jù)庫（OpenSource年高危及以上漏洞占比均超40%。漏洞數(shù)量逐年增長和高危以上漏洞占比居高，與近年來開源項目的增多和全球開源軟02024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢研判洞攻擊者可以獲取任意代碼執(zhí)行權(quán)限，該類型的漏洞在瀏覽器和O?ce軟件中比較常見。已知被02024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢研判 ·開源軟件漏洞影響分析主要受以下因素影響：開源軟件通常依賴于社區(qū)的支持來發(fā)現(xiàn)和修復(fù)漏洞，社區(qū)的規(guī)模和活躍程度會影響漏洞修復(fù) 二是維護軟件物料清單（SBOM）和開源組件清單。使用自動化工具分析軟件物料清軟件組件、相關(guān)漏洞及其對軟件架構(gòu)的影響。跟蹤項目中使用的所有開源組件對于有效管理和更新漏洞補丁至關(guān)三是持續(xù)地對項目進行監(jiān)控并進行全面的安全評估和審查。使用安全工具持續(xù)監(jiān)控生產(chǎn)中的應(yīng)用程序，自動防止漏洞被利用。對開源工具進行全面的安全評估，確保所有組件定期更新和打補丁。實施嚴(yán)格的代碼審查，并使用2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢研判 ·勒索軟件攻擊發(fā)展趨勢分析個重要原因，RaaS的興起極大地降低了勒索攻擊成本，而因勒索攻擊導(dǎo)致的停數(shù)據(jù)泄露，乃至詐騙等核心元素展開的勒索軟件攻擊黑色產(chǎn)業(yè)索在網(wǎng)絡(luò)犯罪中占有極大的比重。對美國司法部發(fā)布的勒索相關(guān)網(wǎng)絡(luò)犯罪信息進行分析后發(fā)現(xiàn)，勒索軟件網(wǎng)絡(luò)犯罪主要涉二是加密生態(tài)犯罪系統(tǒng)為勒索犯罪提供了非法洗錢服務(wù)，包括非法經(jīng)營匯款業(yè)務(wù)及轉(zhuǎn)移和傳輸非法資金等服務(wù)。2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢研判不同國家的全面贖金禁令效果各異。比如，澳大利亞最有可能通過全國禁令獲得成功，與美國相比，由于其勒索市場相對較小，即使犯罪分子放棄對澳大利亞的勒索攻擊，其網(wǎng)絡(luò)犯罪的目標(biāo)市場也不會顯著萎縮。相比之下，美國是受勒索軟件攻擊最嚴(yán)重的國家，占全球勒索攻擊的50%，勒索犯罪分子并不會因為贖金禁令而放棄攻擊美國。如果我國希望將禁止支付贖金作為阻止資金流入犯罪分子的戰(zhàn)略的重要組成部分，那么一個必不可少的先決條件是國家在應(yīng)對攻擊時采取更有效的干預(yù)措施。勒索軟件現(xiàn)象的核心是經(jīng)濟和政策激勵機制的錯位。雖然各國政府都在努力加強網(wǎng)絡(luò)安全立法和監(jiān)管，但勒索軟件的頻繁出現(xiàn)表明，現(xiàn)有的政策和激勵機制并未能有效阻止這一威脅的蔓延。資源分配不合理、政府與行業(yè)合當(dāng)前，政策激勵機制面臨的主要障礙包括：一是合法私人利益與公共利益的不一致，當(dāng)西方國家的私營考慮支付贖金對公共利益的影響并非他們考慮的范疇。二是目前沒有激勵措施促使犯罪分子克制行動，許多勒索犯罪分子并未受到懲罰。三是企業(yè)在軟件和硬件生產(chǎn)中缺乏商業(yè)激勵，無法在產(chǎn)品設(shè)計中充分考慮安全性，從而為勒索攻擊留下了隱患。如果不對激勵機制進行更廣泛的改革，僅僅剝奪受害者的支型勒索團伙的打擊，減少了全球范圍內(nèi)產(chǎn)生巨大影響的勒索大事件。同時，加強對加密生態(tài)犯罪系統(tǒng)的是黑市買家和賣家的主要渠道，也是勒索軟件犯罪分子進行非法交易的避風(fēng)港，對其瓦解和破壞無疑是對勒索軟件犯罪活動的沉重打擊。此外，針對暗網(wǎng)網(wǎng)絡(luò)犯罪市場的執(zhí)法也不可忽視。BreachForums、合作伙伴共同應(yīng)對勒索軟件威脅，已連續(xù)三年舉行國際勒索軟件倡議（CRI）峰會，已有50多個國家和地區(qū)參與其中。我國也一直致力于加強雙邊、多邊以及聯(lián)合國框架下的國際對話與合作，推動構(gòu)建網(wǎng)絡(luò)空間命運共同體。在關(guān)鍵基礎(chǔ)設(shè)施保護方面的國際合作至關(guān)重要，也是“一帶一路”倡議的重點之一。面對當(dāng)前勒索軟件攻擊態(tài)勢，建議進一步深化在關(guān)鍵基礎(chǔ)設(shè)施保護方面的國際合作。二是增強公共部門和私營部門的合作。當(dāng)前，中小企業(yè)和其他非政府組織往往缺乏獨立抵御勒索軟件攻擊的能力，合法私人利益與公共利益的不一致導(dǎo)致私營部門未完全向有關(guān)部門報告勒索軟件攻擊事件。針對上述公私合作的問題，建議采取進一步措施，加強公共部門與私營部門的協(xié)同聯(lián)動?？紤]組建促進政企網(wǎng)絡(luò)安全合作的專門機構(gòu)，吸引重要網(wǎng)絡(luò)安全企業(yè)參與，并將信息共享升級為操作協(xié)同，通過進一步為中小企業(yè)和非政府組織提供實質(zhì)性幫助，制定對受害者的相應(yīng)鼓勵和補償機制，以有效改善私營部門報告勒索事件的情況，進而緩解缺乏勒索系統(tǒng)數(shù)據(jù)的問題。同時，通過加強信息傳播、宣傳和教育，提高公眾對政府機2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢研判一是通過社工釣魚竊取憑證，隨著現(xiàn)在零信任和單點登錄的逐漸普及，可通惡意二維碼和鏈接的方式釣取重要人員憑證。獲取到憑證后可進一步收集企業(yè)敏感信息或通過內(nèi)對內(nèi)釣魚方式獲取重要人員終端權(quán)限。二是釣魚渠道呈現(xiàn)多樣化，包括發(fā)送釣魚郵件、直接撥打電話、添加目標(biāo)人群微信發(fā)送釣魚文件、加入相關(guān)QQ群發(fā)送釣魚文件、偽裝招聘、應(yīng)聘或通用社交軟件聊天發(fā)送釣魚文件、在公眾號中發(fā)送釣魚文件、向人工在線客服發(fā)送釣魚文件、偽裝相關(guān)業(yè)務(wù)合作發(fā)送釣魚文件等。三是釣魚目標(biāo)更加精準(zhǔn)化，不再進行大范圍釣魚，而是選擇特定目標(biāo)進行精準(zhǔn)釣魚。例如關(guān)鍵設(shè)備的管理員、關(guān)鍵系統(tǒng)的運中漏洞挖掘的主要方向。0day漏洞利用網(wǎng)突破使用的通用組件主要為統(tǒng)一身份認(rèn)證組件和OA組件，由于這兩類組件在國內(nèi)使用量較大，攻擊者但在攻堅內(nèi)外網(wǎng)重要目標(biāo)系統(tǒng)時，會挖掘新漏洞?，F(xiàn)場進行黑盒和白盒漏洞挖掘難度較大但效果很好，可在短時間內(nèi)快速挖掘出高可利用漏洞，從而能最直接獲取重要成果。邏輯漏洞是現(xiàn)場漏洞挖掘的主要方向，原因是邏輯漏洞流量特征弱，當(dāng)前安全設(shè)備無法很好地檢測，邏輯漏洞利用相對隱蔽，不易被發(fā)現(xiàn)，使攻擊更應(yīng)鏈攻擊手法進行突破。目前對供應(yīng)鏈的攻擊手法已趨于成熟，其優(yōu)勢是很難監(jiān)控到供應(yīng)鏈側(cè)的惡意流量和攻擊行為，使攻擊更具隱蔽性，并且供應(yīng)鏈側(cè)內(nèi)部安全建設(shè)較差，更易突破。面對無法直接突破的目標(biāo)，或者希望擴大攻擊面影響范圍時，供應(yīng)鏈攻擊是一個很好的選擇。在初始訪問階段通過供應(yīng)鏈攻擊進行目標(biāo)突破主要使用以下攻擊手法：一是通過攻擊供應(yīng)商獲取重要系統(tǒng)源代碼并進行代碼審計，這種方式十分隱蔽。并且通過定向?qū)徲嬤壿嬄┒催M行突破，邏輯漏洞特征很弱，當(dāng)前安全設(shè)備無法很好檢測，可通過漏洞直接拿下目標(biāo)。二是通過打下供應(yīng)商獲取目標(biāo)憑證，由于運維及技術(shù)支持需要，供應(yīng)商內(nèi)部會存儲大量甲方的系統(tǒng)和安全設(shè)備進行身份攻擊。一是針對常規(guī)集控的身份攻擊，內(nèi)網(wǎng)最敏感且高價值的系統(tǒng)一般為：云管平臺、堡壘機、運維跳板機、運維機器、域控等常規(guī)集控。在成功獲取到此類系統(tǒng)權(quán)限后，可以在短時間內(nèi)接觸到重要目標(biāo)系統(tǒng)，被攻擊者往往沒有足夠時間來進行防御，所以在內(nèi)網(wǎng)橫向中會優(yōu)先考慮攻擊此類系統(tǒng)。二是針對知識密集型應(yīng)用的身份攻擊，信息收集在內(nèi)網(wǎng)橫向階段也是最常見的攻擊手法之一，因此內(nèi)網(wǎng)中的知識對性打擊重要目標(biāo)系統(tǒng)，由于該攻擊手法與正常使用業(yè)務(wù)方式差異不大，隱蔽性極強，降低被發(fā)現(xiàn)概率。三是針對安全設(shè)備的身份攻擊，在內(nèi)網(wǎng)中企業(yè)為方便管理大量個人終端、服務(wù)器，通常會統(tǒng)一安裝終端集控會通過更新投毒直接控制大量的個人終端、服務(wù)器。此外，內(nèi)網(wǎng)中防火墻設(shè)備通常位于不同網(wǎng)段之間的關(guān)鍵將在云上部署，隨著微服務(wù)和云化的逐漸流行，針對微服務(wù)和云化的攻擊呈現(xiàn)增長態(tài)勢。從去年開始攻防場景中針對微服務(wù)和云化的攻擊就已經(jīng)有了一定熱度，攻擊者主要通過漏洞、弱口令、存儲憑證竊取等方式，2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢研目安全技術(shù)中心針對近幾年的典型攻防場景進行分析，發(fā)現(xiàn)攻擊者為保證后滲透階段各環(huán)節(jié)實施隱蔽和穩(wěn)定，在拿到初始權(quán)限后，通常會通過一些高級逃逸技術(shù)和致盲終端安全軟件的方式進行免殺對抗。第一類方法是第二類方法是通過致盲終端安全軟件進行免殺對抗，利用有漏洞的簽名驅(qū)動程序，關(guān)閉終端安全軟件進程或者清除終端安全軟件監(jiān)控功能利用的內(nèi)核回調(diào)機制，或通過創(chuàng)建防火墻策略、WFP（WindowsFilterPlatform）過濾規(guī)則，來阻斷終端安全軟件進程與服務(wù)端的通信。當(dāng)前攻擊者已經(jīng)儲備了成熟穩(wěn)定的逃逸和致盲終端安全軟件工具，可以對抗絕大部分常見國內(nèi)外安全終端軟件，可使終端安全軟件暫時或永久失效。 ·攻防場景下安全防御能力建設(shè)的策略與建議攻防場景的分析，從防御角度深信服千里目安全技術(shù)中心給出以下策略與建議：一是需加強對憑證攻擊盡可能在身份認(rèn)證階段就進行阻斷，不同業(yè)務(wù)使用不同密碼以防御口令噴灑攻擊。二是構(gòu)建基于行為檢測技術(shù)檢測邏輯漏洞能力，但需要結(jié)合多種方法和策略。包括基于訪問圖基線的檢測、基于API模式特征的檢測、基于靜態(tài)分析和動態(tài)分析的混合方法，以及基于行為分析的檢測。三是需要加強對敏感信息泄露的檢測能力與數(shù)據(jù)防泄漏能力，通過實施文件傳輸通道管控技術(shù)來進行數(shù)據(jù)防泄漏安全管控，并結(jié)合審批、審計等技術(shù)產(chǎn)品和管理措施或結(jié)合文件加解密、終端磁盤加解密方式進行管控。四是加強對外典型攻防場景的分析，從防御角度深信服千里目安全技術(shù)中心給出以下策略與建議：一是重點關(guān)注防御逃逸手法檢測，需要結(jié)合多種方法和工具，包括監(jiān)控網(wǎng)絡(luò)流量、識別異常行為、驗證數(shù)字證書等。通過使用自動化檢測工具如CDK和Check，可以提高檢測效率和準(zhǔn)確性。在云原生環(huán)境中，特別需要關(guān)注加對白利用手法的檢測，如利用腳本解釋器加載木馬、利用正規(guī)遠(yuǎn)控和終端管理軟件、利用系統(tǒng)程序加利用行為來綜合研判是否失陷。四是可增加蜜罐蜜網(wǎng)功能，如誘餌蜜罐，可誘導(dǎo)攻擊者進入蜜網(wǎng)，然后再自動進行隔離，不僅可以消耗攻擊者的精力和時間，也可以打斷攻擊者的進攻節(jié)奏，消磨攻擊者的進從防御角度來看，應(yīng)加強對利用集權(quán)設(shè)備進行惡意利用、利用知識密集型應(yīng)用進行信息收2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢研2024年，生成式人工智能技術(shù)賦能網(wǎng)絡(luò)安全防御的應(yīng) 基于規(guī)則和統(tǒng)計算法的威脅檢測和日志分析，該階段中生成式人工智能實現(xiàn)網(wǎng)絡(luò)安全技術(shù)躍遷，從被動防御轉(zhuǎn)向主動防護，未來結(jié)合自適應(yīng)優(yōu)化（Agent在網(wǎng)絡(luò)安全大模型最佳實踐的應(yīng)用模式上，呈現(xiàn)出從輔助運營到自主檢測預(yù)警再到自主決策與智能運營的在網(wǎng)絡(luò)安全大模型最佳實踐的應(yīng)用模式上，呈現(xiàn)出從輔助運營到自主檢測預(yù)警再到自主決策與智能運營的一是對話與輔助運營。在生成式AI技術(shù)初期，大模絡(luò)安全需要大量數(shù)據(jù)分析和報告生成，這些功能被率先應(yīng)用于網(wǎng)絡(luò)安全運營。二是自動檢測與威脅預(yù)警，隨著AI算法的進步，特別是深度學(xué)習(xí)技術(shù)的發(fā)展，結(jié)合網(wǎng)絡(luò)安全領(lǐng)域的大規(guī)模數(shù)據(jù)集，模型實現(xiàn)了異常行為檢測和威脅預(yù)警，替代了傳統(tǒng)基于規(guī)則的方法。大模型應(yīng)用服務(wù)的成熟度評估，結(jié)合國內(nèi)外技術(shù)成熟度評估標(biāo)準(zhǔn)和行業(yè)技術(shù)實踐，將網(wǎng)絡(luò)安全的大模型應(yīng)用領(lǐng)域的成熟度安全運營威脅檢測數(shù)據(jù)安全L1:初始階段，該項技術(shù)的使用僅限于概念驗證和L2:可行階段，技術(shù)已具備基本功能，已開展可行的實踐案例，部分企業(yè)已L3:擴展階段，可滿足進一步的擴展功能，技術(shù)能夠處理更復(fù)雜的場景和更大規(guī)模的數(shù)據(jù)，應(yīng)隨著人工智能技術(shù)的飛速發(fā)展，大模型在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用日益廣泛，特別是在安全運營、威脅檢測、釣魚郵件檢測、數(shù)據(jù)分級分類以及威脅情報整合與分析等關(guān)鍵場景提供了強有力的賦能。例如，在安全運營中，微軟推出的Security的運營效率。在威脅檢測領(lǐng)域，谷歌的BERT及其變體已被用于提升惡意代Proofpoint的大模型增強型釣魚郵件檢測，顯著提升了對高級威脅的識別能力CrowdStrike的釣魚郵件檢測平臺依托其云端威脅圖譜技術(shù)和大模型分析能力，實現(xiàn)了高效、精準(zhǔn)的威脅攔截。這些網(wǎng)絡(luò)安全大模型的應(yīng)用不僅推動了網(wǎng)絡(luò)安全技2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢研還原、分析解讀、威脅定性、響應(yīng)處置等威脅運營工作中重復(fù)、繁瑣的事務(wù)性工作，并逐步構(gòu)建安全運營自主閉環(huán)能力，大模型賦能安全運營實現(xiàn)告警和安全事件自動分析，極大地解決了在安全運營中的人以上的時間消耗。安全運營工作中每天產(chǎn)生上萬級告警，利用生成式人工智能大模型技術(shù)自動化、智能化的篩選和大模型通過對話式輔助運營模式，減少事件響應(yīng)難度，自動生成精準(zhǔn)的響應(yīng)建議。大模型在安全運營中的最佳應(yīng)用實踐是構(gòu)建一個基于自然語言交互的智能安全運營專家，能夠從多個維度（如威脅分析、事件響應(yīng)、漏洞管理等）自動生成精準(zhǔn)的響應(yīng)建議，大幅提升安全運營效率。通過自動化處理復(fù)的手動運營工作，使安全團隊能夠更專注于高價值的戰(zhàn)略任務(wù)，同時降低人為錯誤風(fēng)險，全面提升安全運營的智能化水平。例如在安全事件溯源上，安全技術(shù)人員可以通過對話模式，詢問大模型快速了解的漏洞數(shù)量、漏洞類型和嚴(yán)重程度等，并關(guān)聯(lián)到業(yè)務(wù)的責(zé)任人。在安全事件研判中，通過按鍵觸發(fā)安全輔助，實現(xiàn)人員安全能力賦能，快速閉環(huán)運營工作。整體效果來看，該應(yīng)用能力成熟度可達(dá)到L4水平，是目前主流的應(yīng)用方式，可賦能初級安全工程大模型通過思維鏈自主進行資產(chǎn)梳理、加固預(yù)防、監(jiān)測研判、調(diào)查處置、聯(lián)動處置、情報查詢及溯源總結(jié)等工作，威脅情報分析和基礎(chǔ)信息分析等維度輸出研判處置思考過程，針對人工決策告警支持自動給出具體處置建議，并對事件產(chǎn)出分析報告。通過自動化值守實現(xiàn)安全運營的“自動駕駛”，實現(xiàn)安全告警的自動響應(yīng)閉環(huán)，顯著提升運營自動化+人工監(jiān)督成為行業(yè)標(biāo)桿實踐。目前，自在威脅檢測方面，生成式大模型帶來了顛覆性的突破，在基礎(chǔ)安全能力上極大提升了檢測效率以外，最核心的是帶來了未知威脅的檢測能力，打破了以往在高級對抗大模型賦能威脅檢測帶來了未知威脅檢測能力突破，特別是在0day漏洞檢測和高混淆攻擊檢測上表現(xiàn)出色。大模型賦能威脅檢測補齊了傳統(tǒng)檢測引擎的劣勢，在0day漏洞檢測、高混淆攻擊、未授權(quán)漏洞、APT攻擊等高級威脅檢測上帶來的全新的檢測方法，如在高混淆攻擊檢測上，能通過大模型對攻擊語言的理解實現(xiàn)不同語言、不同版本和復(fù)雜協(xié)議的混淆語法識別，提取出攻擊命令。在0day漏洞檢測方面，利用流量文本向量化技術(shù)，提取疑似0day漏洞攻擊向量，再使用向量相似度算法與歷史攻擊向量比對，篩除術(shù)中心實踐已通過大模型挖掘累計發(fā)現(xiàn)0day漏洞400+。目前，在大模型賦能未知威脅檢測的應(yīng)用成熟度處于L2（可行階段）向脅檢測中，在識別異常行為模式、未知攻擊路徑及復(fù)雜威脅特征展的未知威脅檢測，仍需在算法優(yōu)化、計算效率和實時適應(yīng)性上進一步突破。在大模型賦能檢測精度提高方面已廣泛應(yīng)用，可達(dá)到L4中心實踐，尤其是在處理高度復(fù)雜或混淆類的攻擊時，檢出率可達(dá)聯(lián)動響應(yīng)。隨著AI技術(shù)在威脅檢測中的深度應(yīng)用，大模型能夠?qū)崟r分析網(wǎng)絡(luò)流量、用戶行為等多維數(shù)據(jù)，快速識別異常模式并動態(tài)調(diào)整防御策略。結(jié)合上下文感知分析，模型可預(yù)測攻擊的潛在目標(biāo)與后續(xù)行為，如推斷橫向移動或數(shù)據(jù)竊取意圖，并提前生成阻斷建議。例如，在檢測到異常流量時，系統(tǒng)不僅能判定當(dāng)前風(fēng)險，還可自主決策目前還存在較多阻礙，例如跨平臺聯(lián)動、多源數(shù)據(jù)融合以2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢研網(wǎng)絡(luò)釣魚攻擊在實戰(zhàn)攻防場景中的攻擊比例逐步升高，近年來網(wǎng)絡(luò)釣魚攻擊成為主流的攻擊入口的統(tǒng)計顯示，網(wǎng)絡(luò)釣魚是最主要的攻擊入口，占比高達(dá)41.1%。隨著生成式大模型的應(yīng)用，降低釣魚郵件制作成本，應(yīng)用已經(jīng)處于較為成熟的階段（L4已經(jīng)具備較高的穩(wěn)定性和可靠性，該項技術(shù)已廣泛被應(yīng)用于企業(yè)郵件網(wǎng)關(guān)等安全防大模型通過意圖推理和對自然語言的理解，具備識別情緒誘導(dǎo)的釣魚攻擊的能力。大模型通過意圖推理和對自然語言的理解，具備識別情緒誘導(dǎo)的釣魚攻擊的能力。網(wǎng)絡(luò)郵是針對受害者的社會工程，通過各種手段進行情緒誘導(dǎo)，加上成熟的社會工程學(xué)手段，千變?nèi)f化使受害者防不勝防。例如通過制造恐懼和焦慮，使用“賬戶封禁”或“逾期失效”等急迫語氣驅(qū)或者使用“您的同事分享了一份重要文件，請查看?！痹捫g(shù)，利用人類對未知事物的興趣，并觸發(fā)攻擊；再就是偽裝成權(quán)威機構(gòu)或可信來源，通過偽造身份獲取受害者的信任。大模型能夠容中的語義和情感傾向，提取郵件中的情緒特征，例如語氣、用詞風(fēng)格和情感強度，識別出潛在模式，如一封郵件使用了大量負(fù)面情緒詞匯、是否偏離日常的行為基線。相比傳統(tǒng)方法，大模型測已知的攻擊模式，還能通過在線學(xué)習(xí)不斷適應(yīng)新型威脅。這種能力顯著提升了對復(fù)雜情緒誘導(dǎo)大模型通過多模態(tài)分析技術(shù)實現(xiàn)對各種高對抗性攻擊和繞過手段的檢測，特別是密碼混淆大模型通過多模態(tài)分析技術(shù)實現(xiàn)對各種高對抗性攻擊和繞過手段的檢測，特別是密碼混淆對于加密附件嵌套，大模型能夠多模態(tài)密碼推理理解郵件正文、音頻及視頻內(nèi)容，提取出正通過分析壓縮包文件頭，識別嵌套結(jié)構(gòu)，預(yù)測風(fēng)險路徑，并生成決策樹調(diào)用沙箱環(huán)境獲取解跨資源隱寫注入以及鏈?zhǔn)綈阂廨d荷觸發(fā)的精準(zhǔn)檢測，突破傳統(tǒng)規(guī)則引擎在對抗AST混淆和上下文感知型逃逸攻擊時的技術(shù)瓶頸；對于二維碼切割，大模型通過圖像識別技術(shù)拼接碎片并解碼二維碼內(nèi)本防御機制還原被切割、扭曲或噪聲污染的二維碼碎片，結(jié)合圖神經(jīng)網(wǎng)絡(luò)重建二維碼拓?fù)浣Y(jié)魚郵件檢測依賴規(guī)則引擎和白名單配置，因業(yè)務(wù)場景動態(tài)變化，易因“加白過粗”導(dǎo)致漏報或“加白過細(xì)”經(jīng)深信服千里目安全技術(shù)中心實踐表明，基于100萬封正常郵件的訓(xùn)練與推理優(yōu)化，模型誤報率從傳統(tǒng)方實現(xiàn)跨類型數(shù)據(jù)快速標(biāo)準(zhǔn)化分類。在實際業(yè)務(wù)環(huán)境中，數(shù)據(jù)不僅限于文本，還包括圖像、音頻、視頻等多模態(tài)數(shù)據(jù)。傳統(tǒng)方法通常需要針對不同模態(tài)的實現(xiàn)跨類型數(shù)據(jù)快速標(biāo)準(zhǔn)化分類。在實際業(yè)務(wù)環(huán)境中，數(shù)據(jù)不僅限于文本，還包括圖像、音頻、視頻等多模態(tài)數(shù)據(jù)。傳統(tǒng)方法通常需要針對不同模態(tài)的提取圖像中的文本后再進行分類，或者對音頻數(shù)據(jù)進行轉(zhuǎn)錄后分析。這種分模塊處理的方式不僅效率低下，還容易因標(biāo)準(zhǔn)割裂而導(dǎo)致信息丟失或分類不相比之下，大模型依托多模態(tài)融合技術(shù)（如自然語解析原始數(shù)據(jù)，無需復(fù)雜的預(yù)處理步驟。在多模態(tài)對齊層，大模型將文本、圖像、音頻、視頻等不同類型的數(shù)據(jù)映射到統(tǒng)一的語義空間中，從而實現(xiàn)跨模態(tài)的信息關(guān)聯(lián)與整合。例如，在處理一張包含敏感信息的圖片時，大模型不僅能識別圖片中的文字擎同步解析其中的敏感信息。大模型基于動態(tài)上下文感知架構(gòu)與多模態(tài)在線學(xué)習(xí)系統(tǒng)，構(gòu)建自適應(yīng)分類體系，在動態(tài)數(shù)據(jù)分級分類領(lǐng)域?qū)崿F(xiàn)技術(shù)突破。經(jīng)深信服千里目安全技術(shù)中心實踐表明，依托機器學(xué)習(xí)和深度學(xué)習(xí)，尤其是自然語言處理（NLP大模型通過訓(xùn)練海量數(shù)據(jù)，學(xué)習(xí)復(fù)雜特征和模式，自動識別并分類數(shù)據(jù)，效探針捕獲協(xié)議中的敏感字段，并結(jié)合上下文動態(tài)分析，精準(zhǔn)識別數(shù)據(jù)模式與關(guān)聯(lián)。其次，大模型通過監(jiān)督學(xué)習(xí)使用大量標(biāo)注數(shù)據(jù)，掌握數(shù)據(jù)分類分級規(guī)則，同時借助無監(jiān)督學(xué)習(xí)發(fā)現(xiàn)新類別和隱藏模式，實現(xiàn)動態(tài)分類分級。其遷移學(xué)習(xí)能力可將在一個領(lǐng)域的知識應(yīng)用于其他領(lǐng)域，靈活應(yīng)對數(shù)據(jù)類型和敏感性隨時間、環(huán)境的變化，確保分類結(jié)果的準(zhǔn)確性自動生成符合行業(yè)屬性的分級清單，確保結(jié)果高效且合規(guī)，滿足行業(yè)需求。大模型通過自適應(yīng)技術(shù)持續(xù)學(xué)習(xí)業(yè)務(wù)環(huán)境特征，智能化調(diào)整數(shù)據(jù)分級分類策2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢研威脅情報作為安全事件告警分析和威脅檢測持續(xù)賦能的關(guān)鍵。2024年谷歌發(fā)布最新威脅情報平臺，其利用生成式大模型以多個維度在大規(guī)模范圍上進行威脅情報的關(guān)聯(lián)分析。不僅對企業(yè)內(nèi)部開展情報分析，還能從全球威脅情報平臺、網(wǎng)絡(luò)流量監(jiān)控、社交媒體監(jiān)控、暗網(wǎng)情報源等多個渠道獲取數(shù)據(jù)。匯集多方情報源利用大模型進行關(guān)聯(lián)分析，發(fā)現(xiàn)各個情報之間大模型多模態(tài)情報自動化提取整合，實現(xiàn)數(shù)據(jù)協(xié)同與實時威脅感知。利用生成式大模型信息檢索和語義搜索等技術(shù)自動檢索、提取和整合情報數(shù)據(jù)，包括全球威脅情報平臺、流量監(jiān)控、社交媒體監(jiān)控、暗網(wǎng)大模型通過情報關(guān)聯(lián)分析，能夠發(fā)現(xiàn)傳統(tǒng)威脅情報平臺難以識別的未知威脅活動，顯著提升威脅檢測的使用生成式大模型通過多數(shù)據(jù)源的深度融合和關(guān)聯(lián)分析，識別出潛在的攻擊模式并生成更加精準(zhǔn)的威脅情報，并回溯歷史數(shù)據(jù)，發(fā)現(xiàn)長期潛伏的攻擊活動或已經(jīng)發(fā)生但未被發(fā)現(xiàn)的威脅活動。具體技術(shù)實現(xiàn)上，文進行深度語義理解與關(guān)聯(lián)分析。這種技術(shù)不僅能夠整合結(jié)構(gòu)化數(shù)據(jù)（如日志、事件記錄）和非結(jié)構(gòu)化在此基礎(chǔ)上，大模型通過對歷史數(shù)據(jù)的回溯分析，識別潛在的攻擊模式，推演出完整的攻擊鏈，并生成大模型通過時間序列預(yù)測模型和因果推理算法結(jié)合多源情報分析，構(gòu)建攻擊者行為模式圖譜，預(yù)測威脅活動趨勢。大模型基于全球威脅活動的實時監(jiān)控和多數(shù)據(jù)源關(guān)聯(lián)分析，利用歷史攻擊數(shù)據(jù)預(yù)測新型攻擊及外部威脅活動的發(fā)展趨勢。基于時間序列預(yù)測模型和因果推理算法，構(gòu)建攻擊者行為模式圖譜，包括解析歷史攻擊數(shù)據(jù)中隱藏的TTPs（戰(zhàn)術(shù)、技術(shù)與程序）演化規(guī)律，量化評估漏洞利用周期、惡意軟件變種迭代速率等關(guān)鍵指標(biāo)，預(yù)測APT組織武器化漏洞的優(yōu)與經(jīng)濟、地緣政治事件的動態(tài)關(guān)聯(lián)模型。谷歌2024年推出2025年