2024 年人工智能技术赋能网络安全应用测试:安天垂直大模型在恶意软件检测场景初露锋芒

科技   2024-09-23 18:06   北京  
点击上方"蓝字"
关注我们吧!



近日,国家计算机网络应急技术处理协调中心发布了 2024 年人工智能技术赋能网络安全应用测试结果,安天澜砥实验室自研的澜砥威胁检测垂直大模型(VILLM)在恶意软件检测场景排名第二。
2024年人工智能技术赋能网络安全应用测试活动,由中央网信办网络安全协调局、中国科学院网信办、中国人民银行科技司指导,国家计算机网络应急技术处理协调中心联合中国网络空间安全协会、中国科学院信息工程研究所、国家信息技术安全研究中心、中国网络安全产业联盟、长安通信科技有限责任公司举办,共有来自47家企事业单位的82个团队报名参加。

三名安天工程师化名为“影子猎手”,代表安天参加了初赛、复赛和专家评审答辩。安天工程师依托安天自研的澜砥威胁检测垂直大模型(VILLM)用于恶意软件检测的独特优势,及现场测试的优异成绩,获得专家一致认可。澜砥垂直大模型属于生成式模型,不受传统分类模型的分类数量限制,具备更强的理解能力和分析能力。在测试中,安天将澜砥垂直大模型部署在华为国产化昇腾硬件平台上,实现了与硬件厂商的适配协作,同时使用该模型的检测能力,实测提升了对于新型未知威胁的检测效率,降低了误报率。

澜砥垂直大模型基于安天赛博超脑20余年积累的海量样本特征工程数据训练而成,本次测试应用的模型,仅采用VILLM Base数据集的千分之一(大约20TB)进行训练。训练数据包括文件识别信息、判定信息、属性信息、结构信息、行为信息、主机环境信息、数据信息等,支持对不同场景下向量特征进行威胁判定和输出详实的知识理解,形成应用不同需求和场景的多形态的检测方式,提升后台隐蔽威胁判定能力,进一步为安全运营赋能。

通过在产品中加装该模型,应用模型检测响应,可有效提升端点产品、流量产品、分析产品和态势感知等产品的场景化检测能力与知识输出能力,支撑对威胁的理解和响应处置。

▲澜砥威胁检测垂直大模型基本运行机理

为了更好地处理二进制数据和执行体分析的特殊需求,安天设计并实施了特定的模型架构。通过调整和优化模型的内部结构,提高了模型对二进制文件的理解能力。通过引入能够更有效处理二进制数据的编码机制,并调整模型的注意力机制,使其更聚焦关注二进制数据中的有效信息。

同时,安天对模型进行特定领域的预训练和微调,使模型在处理任务时更加精准有效。通过使用与网络安全相关的大量数据集进行预训练,模型能够学习和理解与安全威胁相关的复杂模式和特征。此外,通过在特定的威胁检测任务上进行微调,模型的性能和准确性得到进一步提升。

除执行体样本对象外,澜砥垂直大模型还专门适配威胁对抗和安全运营场景,特别改善了对强时序数据对象(如日志、网络数据流)的检测能力。在不同算力环境、不同网络联通或隔离条件下,既能发挥传统反病毒引擎体系的高速、精准、可弹性定制剪裁的优势,也在威胁的检测识别能力方面具有良好的泛化效果和鲁棒性。

基于 “叠加创新”的设计理念,澜砥垂直大模型在赛博超脑侧与安天特征工程和知识工程融合,提升了特征工程和知识工程运行质量。在客户侧,通过生成式大模型技术,为威胁检测和分析产品提供更强的威胁鉴定能力和威胁知识输出能力。安天的端点产品、流量产品、分析产品和态势感知等产品可加装该模块,进一步解决人工智能在数字安全领域的应用需求,协助客户有效应对数字智能时代的安全挑战。

考虑到当前的新的算力危机背景下,绝大多数客户本身难以承载独立的GPU算力体系建设成本。安天针对澜砥垂直大模型,提供了接入赋能、低算力条件部署和独立算力建设三种方案。所需的算力显著低于常见开源模型,在能耗和使用成本方面具有明显优势。

澜砥垂直大模型是安天在AI驱动网络安全技术研发创新方面的重要突破,安天将持续深耕网络安全核心技术创新,为推动网络安全领域的智能化和自动化做出更大贡献。

往期回顾

安天集团
安天是引领威胁检测与防御能力发展的网络安全国家队,依托自主先进核心技术与安全理念,致力为战略客户和关键基础设施提供整体安全解决方案。安天产品和服务为客户构建端点防护、边界防护、流量监测、导流捕获、深度分析、应急处置等基础能力。
 最新文章