【干货分享】深信服张昊:基于大模型全面重塑网络安全

科技   科技   2025-01-13 20:30   天津  

在数字化进程加速的当下,网络安全已成为企业安全的重中之重。随着 AI 技术的发展,如何借助 AI 和大模型构建全方位、智能化的网络安全防护体系,守护企业数字安全与资产,备受关注。2025年1月4日,由CIO时代主办、新基建创新研究院提供智库支持的“AI引领的数字未来”新年论坛暨颁奖典礼在北京隆重举行,百余位来自政府、央国企、金融、制造、能源、新零售和互联网等多个领域的行业专家、研究学者、优秀CIO群体和科技企业代表等大咖欢聚一堂,共同探讨数字化时代的发展趋势和创新实践。会上来自深信服北京分公司解决方案主管张昊,带来《基于大模型全面重塑网络安全》的分享。以下是经过编辑后的演讲内容实录。


深信服北京分公司解决方案主管 张昊



精彩观点

建设一套安全数据湖底座,安全数据一次性接入和治理,所有领域专家模型共享,避免重复对接和网络消耗。建设一套大模型管理底座,同时支撑威胁检测、安全运营、数据安全、零信任等多个安全细分领域专家模型的算力调度和优化,并提供高可用性和高可靠性保障。未来能够在这个AI安全平台上去持续的演进和迭代,逐步探索大模型和安全智能体的开放性,让它成为一个能够持续生长的平台,赋能更多的安全场景。


一、AI 赋能网络安全的机遇与挑战


近年来,大模型技术发展火热。从咨询机构数据可知,产业界对大模型的态度已从追捧期进入冷静期,从技术探索回归到大模型的商业价值实现,例如利用大模型实现业务降本增效、重塑业务流程、提升市场反应速度等。在网络安全领域,需要思考如何让大模型产生 “击穿式” 效果,击穿过往数字化、自动化、智能化难以逾越的墙壁,在关键场景和节点实现质与量的飞跃,结合AIGC重塑安全工作流程,形成规模化、智能化方案。


大模型为网络安全带来全新的机遇和想象空间,网络安全领域与大模型擅长的能力有很高的匹配度,从大模型“涌现”能力的基本特性出发,找到“安全场景”与“文本语义”、“工具智能”的契合点,能够重塑各领域安全应用。第一是超强的语言/语义理解能力,可应用于代码识别/审计、漏洞挖掘、文档管理、权限治理等场景;第二是海量知识嵌入和检索能力,能够把行业知识、安全知识、威胁情报融入到安全事件分析、研判的过程中,提高事件分析的准确性和全面性;第三是文本生成和推理能力,有助于生成基于安全事件的问答和解决方案。第四是任务规划与工具使用,能够形成自动化、智能化的联动和攻防能力。基于这四种模型能力进行产品化就构建出安全的大模型,如威胁检测大模型、安全运营大模型、数据安全大模型、身份安全大模型、代码开发安全大模型等。


然而,安全大模型看起来很美好,但建设落地和发挥效果上还面临诸多挑战。一是如何与现有安全体系平滑对接,激活已有安全投资建设;二是如果一个一个大模型来建设、升级、验证,会造成重复对接、投资分散,资源浪费;三是大模型技术和安全场景在不断发展变化,如何持续和平滑演进;四是每个企业的业务场景、管理制度、安全建设要求各不相同,大模型如何能懂业务、懂场景、懂客户;五是大模型落地需要大量算力,叠加国产化要求,如何灵活适配和交付。


针对这些挑战,我们的思考与浅见:一是相信大模型能够给网络安全能够带来本质上的变化,是网络安全的未来;二是不建议在每个安全细分领域同时、全面开展大模型的建设,建议按照场景和优先级,逐步地探索、实践和打磨;三是为了给安全体系带来真正的效果,应与实际的业务环境紧密连接,构建涵盖“感知-规划-行动-反馈”完整的安全智能体形态,而不只是智能对话和问答;四是大模型建设应化繁为简,避免“烟囱”或“盒子”的建设方式,建议整体统筹安全AI建设规划,统一数据与模型底座是必要的,以更好的实现场景扩展、性能优化、资源调度、可用性、可靠性、可维护性等要求;五是大模型开始改变传统甲乙双方的建设和协同关系,安全智能体层面的共创和协同会逐渐成为一种选择趋势。


二、深信服 AI 安全平台解决方案 


在解决方案上,基于大模型的安全智能体广泛对接现有的安全设备和平台,通过多场景专家模型赋能多个安全场景。主要的思路是,现有安全设备和平台通过标准通道发送所需数据到数据和模型底座,进行接入、分发和调度,为AI安全平台提供数据支持。AI安全平台上的各个专家大模型实现威胁告警分析研判、任务指导、知识赋能等能力,同时能够调用威胁情报、API、SOAR、搜索引擎等工具,另外能够基于反馈指导模型持续学习业务特征,降低误报漏报。


其建设架构为:建设一套安全数据湖底座,安全数据一次性接入和治理,所有领域专家模型共享,避免重复对接和网络消耗。建设一套大模型管理底座,同时支撑威胁检测、安全运营、数据安全、零信任等多个安全细分领域专家模型的算力调度和优化,并提供高可用性和高可靠性保障。未来能够在这个AI安全平台上去持续的演进和迭代,逐步探索大模型和安全智能体的开放性,让它成为一个能够持续生长的平台,赋能更多的安全场景。


目前较为成熟的领域专家模型包括:安全运营大模型,实现全量告警自动研判,聚合、去冗、降噪、分类定性。能够基于事件研判结论,自动推荐处置方式。能够基于自然语言处理,进行态势解读、情报分析、威胁研判、安全百科等;Web威胁检测大模型,实现高对抗、高混淆Web攻击威胁与攻击成功检测,基于自然语言的Web攻击解读;钓鱼威胁检测大模型,实现高对抗、高混淆钓鱼邮件威胁与攻击检测,分析维度包括邮件文本内容、加密附件文档、二维码图片、URL链接等各环节异常;另外还有数据访问风险大模型、权限与行为风险大模型等。


在建设落地阶段,建议优先搭建统一的数据湖底座和大模型管理底座,做好数据对接规范设计与治理工作,然后优先选择高价值场景,以及已有一定实践效果的模型熟度高的模型进行部署上线,如安全运营、威胁检测、钓鱼等模型。在第一批模型使用中,迭代优化南北向数据对接规范和流程,通过持续的数据飞轮运营,比如模型升级、客制化规范导入、误报告警标注等,不断完善和调整模型固有知识和输出,引导模型更加贴合业务。逐步上线第二批模型,如数据访问风险大模型、权限与行为风险大模型。未来可以探索新的细分领域专家模型,比如资产安全治理大模型、端点威胁检测大模型等,或基于AI安全平台进行客制化的安全大模型训练或安全智能体的开发。


三、深信服 AI 安全平台实战实践 


安全大模型在2024年国家实战攻防演练中已崭露头角,深信服在30多个用户中部署了安全大模型,并在攻防演练中取得显著成效,我们得出了一些数据。


安全运营大模型,在攻防演练过程中,告警量相较于平时会有大幅上升,随着演练时间的不断延长,安全人员难以应对海量告警,难以通过高强度的“多班倒”进行人员集中防护,监测分析疲于奔命、处置不过来。安全大模型可以扮演安全专家的角色,7*24小时实时在线,实现N+E+X告警关联与安全事件研判,生成威胁运营报表报告。从效果上看,安全大模型通过接入各个厂商设备报送的海量告警,以智能体的方式全量逐条分析安全告警,平均降噪率可达99%,处置效率是普通人的200倍,大幅提升了安全运营效率,实质上解决了企业安全人员不足的困境。使2人+安全运营大模型的效能相当于25人+传统安全运营平台,让信息化人员精力充分释放出来,去研究数字化业务创新,而不是陷入在海量的威胁告警中。


Web 威胁检测大模型,突出的自然语言处理、长上下文关联能力,可以高效解析系统命令、SQL、Java、php等专有安全文本,对webshell加密通信、加密漏洞(如shiro)、Java反序列化等高危攻击风险有很好的检出效果,远超传统引擎。检测精准率达96.6%,高对抗攻击检出率95%,并实现了40 起 0-Day 攻击利用独报。在已经披露的190个0 Day漏洞中,安全大模型可以无先验知识检测出其中的182个,0 Day检出率95.8%。在头部的电网客户中,通过大模型上报告警近5000条,其中高对抗检出占比30%以上,大模型二次分析后重点事件16起,多为大模型独报。


钓鱼威胁检测大模型,能够基于邮件内容语义理解,识别钓鱼意图,能够很好地解决过去检测规则难以区分的钓鱼问题,如基于二维码的钓鱼攻击、基于加密附件的钓鱼攻击、基于文本+图片的钓鱼攻击等。在24年攻防演练期间,钓鱼检测大模型每分析邮件超十万封,检测精准率 96%以上,意味着每检出100封邮件至少有96封是确定钓鱼,其余可能是可疑及业务不规范的邮件内容,可以通过人员反馈和标记持续优化,在实战中很好地解决了大量二维码钓鱼、加密文档钓鱼(密码附在不同上下文中)问题,为用户有效缩减了至少40%的人工审核工作量。独报钓鱼邮件2400封,实现了252个定向钓鱼攻击的检出,相比传统邮件安全方案有质和量的变化。


在数据安全方面,致力于构建网数融合的架构,通过共享数据湖对各个场景的设备及日志进行集中汇聚、分析,实现网络安全、数据安全统一分析、统一运营的安全新态势。大模型可以赋能动态数据识别,我们取得了以下一些成果:自动推理准确率提升至85.82%、整体分类分级效率提升13.41倍、成型一套大模型分类分级的工作流程、开发了一套数据聚类筛选算法、推出置信度方案,进一步降低人工投入、推出增量学习方案,让模型更具普适性,相信未来能够通过大模型有效解决当前在数据安全方面,分级分类难、数据流转可视度不足等问题。


·END·


CIO时代网
中国行业信息化第一门户,服务中国CIO。
 最新文章