2024年安全大模型技术与市场研究报告.pdf

1、 i 安全大模型技术与市场研究报告 2024 年 6 月 25 日 i 目录 法律声明法律声明.1 前言前言.2 一、一、概述概述.4(一)主要发现.5(二)推荐.7 二、二、人工智能用于解决网络安全的历史人工智能用于解决网络安全的历史.9(一)深度学习技术出现之前，传统 AI 技术在网络安全领域中的应用.9 1.专家系统.9 2.机器学习算法.10 1)支持向量机（SVM）.10 2)决策树.11 3)遗传算法.12 4)模糊逻辑.12 5)贝叶斯网络.12(二)深度学习技术在网络安全领域的应用.13 1.恶意软件检测与分类.13 2.入侵检测系统.13 3.钓鱼网站识别.13 4.域名生成

2、算法(DGA)检测.14 ii 5.基于行为的欺诈检测.14 6.数据安全.15(三)知识图谱在网络安全领域的应用.15 1.威胁情报分析.15 2.攻击检测和响应.15 3.安全态势感知.16 4.漏洞管理.16 5.安全知识的教育与培训.16(四)AI 技术在网络安全领域的应用总结.16 1.异常检测（Anomaly Detection）.16 2.恶意软件和病毒检测（Malware and Virus Detection）.17 3.垃圾邮件和钓鱼攻击过滤（Spam and Phishing Detection）.17 4.身份认证和访问控制（Identity Authenticatio

3、n and Access Control）.17 5.网络流量分析（Network Traffic Analysis）.17 6.安全策略管理（Security Policy Management）.17 7.自动化响应（Automated Response）.18 8.欺诈检测（Fraud Detection）.18 9.数据安全（Data Security）.18(五)前大模型时代 AI 在解决网络安全问题上遇到的问题.18 1.误报率.18 2.数据质量和可用性.19 3.模型泛化能力.20 iii 4.可解释性问题.20 5.实时性能.20 6.人工智能自身的安全问题.20 7.人工智

4、能人才稀缺.21 三、三、大模型带来的大模型带来的 AIAI 驱动安全驱动安全.22（一)大模型带来了哪些新可能性？.22 1.自然语言处理能力的提升.22 2.多种 AI 任务性能的提升.22 3.推理和逻辑.23 4.AI 驱动的网络攻击.23 5.AI 驱动的风险识别.24 6.新业态的出现.25（二)产业界的热点方向.25 1.AI 赋能的威胁检测产品.25 1）恶意代码检测.25 2）攻击流量检测.26 3）用户和实体行为分析(UEBA).26 4）加密流量分析.26 2.AI 赋能网络安全运营.27 1）告警降噪.27 2）攻击研判.28 iv 3）自动响应与处置.28 4）报告的

5、自动生成.29 3.AI 赋能数据安全.29 1）数据分类分级.29 2）数据脱敏.29 3）风险评估与策略制定.30 4.鉴伪与认知安全.30 四、四、市场分析市场分析.33（一)国外安全大模型代表性供应商.33 1.Anomali.33 2.Check Point Software Technologies.34 3.Cisco.36 4.CrowdStrike.38 5.Darktrace.39 6.Dropzone AI.41 7.Elastic.42 8.Flashpoint.43 9.Fortinet.44 10.Google Cloud.45 11.Microsoft.47 12

6、.Palo Alto Networks.49 13.Proofprint&Tessian.51 v 14.SentinelOne.52 15.SparkCognition.53 16.Trellix.54 17.Vectra AI.54 18.ZScaler.55（二)国内安全大模型代表性厂商.57 1.360 数字安全集团.57 2.安恒信息.59 3.金睛云华.60 4.海云安.62 5.华清未央.62 6.华为.65 7.火山引擎.67 8.酷德啄木鸟.67 9.灵云数科.69 10.绿盟科技.69 11.奇安信.70 12.深信服.72 13.腾讯.73 14.天融信.75 15.云起

7、无垠.77 16.中国电信.77 vi 五、五、企业安全大模型能力评估企业安全大模型能力评估.79(一)评估纬度.79 1.安全能力.79 2.深度学习技术能力.79 3.基础大模型能力.79 4.安全数据能力.79 5.大模型精调能力.80 6.算力能力.80 7.产品化能力.80 8.用户场景的覆盖能力.80(二)国内部分网络安全公司安全大模型能力评估.81 1.360 数字安全集团.81 2.安恒信息.81 3.海云安.82 4.华清未央.82 5.华为.83 6.火山引擎.83 7.金睛云华.84 8.酷德啄木鸟.84 9.绿盟科技.85 10.灵云数科.85 11.奇安信.86 vi

8、i 12.深信服.86 13.天融信.87 14.腾讯安全.87 15.云起无垠.88 16.中国电信.88(三)国内安全大模型产品推荐供应商.89 1.安全运营大模型推荐供应商.89 2.威胁检测大模型推荐供应商.89 3.数据安全大模型推荐供应商.89 4.邮件安全大模型推荐供应商.90 5.自动渗透大模型推荐供应商.90 6.漏洞挖掘大模型推荐供应商.90 7.安全开发大模型推荐供应商.91 六、六、解决方案与案例解决方案与案例.92(一)360 安全大模型.92 1.应用场景.92 2.技术方案.93 3.部署形态.93 4.硬件要求.94 5.效果评估.94 6.特色.94 viii

9、 7.标杆客户.95 8.客户价值.96(二)安恒恒脑安全大模型介绍.98 1.应用场景.98 2.技术方案.98 3.部署形态.99 4.硬件要求.99 5.效果评估.100 6.特色.100 7.标杆客户.101(三)金睛云华安全运营智能体案例.102 1.应用场景.102 2.技术方案.102 3.部署形态.104 4.硬件要求.105 5.效果评估.105 6.特色.105 7.标杆客户.106(四)深信服安全 GPT.107 1.应用场景.107 2.技术方案.110 3.部署形态.111 ix 4.硬件要求.111 5.效果评估.111 6.特色.112 7.标杆客户.112(五)

10、天融信天问安全大模型方案.113 1.应用场景.113 2.技术方案.114 3.部署形态.115 4.硬件要求.116 5.效果评估.116 6.特色.116 7.标杆客户.117(六)中国电信安全见微安全大模型.118 1.应用场景.118 2.技术方案.118 3.部署形态.120 4.硬件要求.121 5.效果评估.121 6.特色.121 7.标杆客户.122 安全大模型技术与市场研究报告 1 法律声明 本报告版权归属于北京赛博英杰科技有限公司，报告中的文字、表格均受到中华人民共和国知识产权法律法规的保护，禁止任何商业性质的更改、报道、摘录以及引用；任何非商业性质的报道、摘录以及引用

11、请务必注明版权来源，并获得北京赛博英杰科技有限公司的书面授权。本报告中的调研数据均采用行业公开信息、深度访谈、实地调研、桌面研究得到。本公司不承担因使用本报告而产生的任何法律责任。安全大模型技术与市场研究报告 2 前言 网络安全领域有一个“锤子”和“钉子”的理论：把网络安全中待解决的问题比喻作“钉子”，把解决问题的手段比喻作“锤子”。已经遇到过的问题叫“老钉子”，新遇到的问题叫“新钉子”，已知的解决问题的方法叫“老锤子”，新发明的方法叫“新锤子”。每当找到一把“新锤子”，人们会拿这把“新锤子”把“老钉子”都再砸一遍，看是否更好用，遇到“新钉子”也会先拿“老锤子”来砸一通，看是不是还管用。生成式

12、人工智能（AIGC）大语言模型（LLM，简称大模型）技术无疑是网络安全从业者拿到的一把“新锤子”，这把“锤子”已经在自然语言对话、写作、文生图、文生视频领域取得了令人震惊的效果，网络安全从业者自然是不会放过这样一个机会的，深信服、360、奇安信、安恒、绿盟、天融信、永信至诚、启明星辰等网络安全上市公司纷纷宣布自己发布了安全大模型产品，金睛云华等过去基于深度学习技术开发网络安全产品的公司也及时转向了 AIGC 大模型技术路线，新的安全创业公司也在纷纷采用人工智能大模型提升自身产品能力，如云起无垠在 Fuzzing 模糊测试方面，灵云数科在邮件安全方面都在使用人工智能大模型。自 2010 年以来，

13、我们拿到的“新锤子”包括机器学习技术、大数据技术、知识图谱技术等，用来砸网络安全的“老钉子”和“新钉子”，也取得了一定的成果，但网络安全的基本盘并没有改变：l 攻防速度不对等：攻击者突破防线、偷走数据的速度远远快于防守方发现攻击、阻断攻击的速度，防守方的响应速度不够快；据:Unit 42 Cloud Threat Report-Volume 7,2023,Unit 42 Engagement Experience 中披露的数据，目前的响应与处置时间已经提高到 6 天，比数年前的数安全大模型技术与市场研究报告 3 月有了很大的进步，但攻击者进攻得手的时间已经提高到数小时级别，攻防依然在速度上不对

14、等。图 1 攻破到数据被盗窃的时间 VS 响应与处置时间 来源来源:Unit 42 Cloud Threat Report-Volume 7,2023,Unit 42 Engagement Experience l 现有网络安全防御方法的效率性价比不够高：现有的防御方式下，需要大量的安全工程师，中国、美国所公布的网络安全防御人才缺口都是几百万人，暂且不说培养出这么多网络安全从业者相当困难，雇佣这些人的成本也会是企业难以承受之重。l 检出率不够高与误报率太高：基于规则的引擎对新型攻击的检出率不够高，规则引擎与 AI 引擎的误报率都太高。AIGC 的异军突起，给了大家一个新的希望。本报告通过对基于

15、 LLM 的 AIGC 在网络安全中的应用做了分析，希望给网络安全从业者提供一些有用的信息。安全大模型技术与市场研究报告 4 一、概述 自 2022 年底开始，以 LLM（大语言模型，简称大模型）为核心的 AIGC（生成式人工智能）带来了一场人工智能驱动的技术与产业革命，人工智能被广泛认为是可以改变“游戏规则”的战略性科技。国内开启了“百模大战”，国资委在 2024 年 2 月 27 日召开国有企业改革深化提升行动 2024 年第 1 次专题推进会上再次点题人工智能，要求国企结合自身技术资源禀赋和产业基础，科学决策纳入发展规划，加大投入，把资源用在刀刃上，有力提高国有企业战略支撑作用。大模型也

16、被寄予厚望，解决了多年来困扰网络安全行业的攻防不对等、安全专业人员严重不足的问题。网络安全行业一直存在攻防不对等的问题：攻击者在暗处，防守者在明处；攻击者可以在任何时候发起攻击，防守者则需要 7X24 设防；攻击者 100 次攻击有 1 次成功即宣告成功，而防守者 100 次防守，1 次失守就算失败；全社会数字化转型背景下，需要防守的目标众多，而我国教育系统每年培养出的网络安全人才只有不到 3 万人，加上自学成才的人员，也还是远远难以满足构建网络安全防线的需求。并且由于人的反应速度问题、工作效率以及工作任务排队的问题，对安全告警的处理时间往往要 30 分钟以上，而攻击者在30 分钟之内已经得手

17、。美国以微软为代表的企业在大模型爆发之初，就开始将大模型用于构建网络安全产品和服务，微软2023年3月28日即推出Microsoft Security Copilot，Palo Alto Networks、CrowdStrike、Fortinet 等公司也快速跟进。国内深信服、奇安信、360、安恒信息、绿盟、天融信、永信至诚、金睛云华等公司也纷纷宣布自己已经推出，或即将推出基于大模型的安全大模型技术与市场研究报告 5 网络安全产品，在 2023 年年底，已经可以看到一些大模型赋能的网络安全产品的成功应用。(一)主要发现 1.供给侧视角：l 在 AI 赋能网络安全概念下，各家所采用的 AI 技术

18、五花八门，既有最新的 AIGC 大语言模型，也有深度学习技术甚至是机器学习技术，或者是多种技术的混用。l 愿意提供纯软件部署方式，以解决在对华限售智能算力平台的大形势下，安全公司自身采购智算硬件的难题。l 安全大模型的主要应用场景有：安全运营辅助、数据安全、威胁检测、电子邮件安全、开发安全、安全策略管理、渗透测试、安全培训。l 安全大模型在各应用场景下的效果差异较大，在数据分类分级场景下取得的效果最好，能有几十倍的工作效率提升；在安全运营场景下，效果差异较大，与供应商安全大模型训练数据集与用户使用场景的匹配程度、供应商的技术水平都有关系。l 产品有安全智能体与聊天机器人两种主要形态，目前聊天机

19、器人是主要产品形态。l 人工智能大模型技术会带来网络安全产品格局的大变化，AI 将会促成一系列网络安全产品的功能、性能提升，从而造成安全产品此消彼长的态势。2.需求侧视角：l 中国用户与西方用户对产品形态上的要求差别很大，以美国为代表的西方世界市场普遍接受以SaaS服务为主要形态的服务，中国的客户则更愿意接受本地部署。安全大模型技术与市场研究报告 6 l 用户的主要诉求是通过提升自动化水平提升运营效率：缩短 MTTD、MTTR，希望能从天级，缩短到分钟级。l 希望安全大模型结合威胁情报进行安全事件调查分析、取证。l 用户希望通过安全大模型解决降低运营成本、提升运营效率问题。l 用户希望通过安全

20、大模型提升现有安全运营人员水平。l 用户希望通过安全大模型能帮助总结安全事件。3.技术视角：l 国内各厂商所采用的生成式 AI 技术，基本都是在商用或开源的基座大模型的基础上做预训练与精调。只有极个别厂商声称未来会考虑从头训练自己的安全大模型。l 生成式 AI 与传统深度学习、机器学习技术相比，在威胁检测、加密流量分析上，检出率没有什么优势，但运算速度慢很多，大模型与小模型联合使用，会是现阶段比较好的选择。l 在基座大模型的选型上有很高的趋同性，国产大模型选用通义千问的比例较高，国外的开源模型，LlaMa-2 和 MISTRAL 7B 模型的普遍评价比较高。l 国产大模型算力依然在快速发展中，

21、如何提供高性价比的训练、推理芯片，依然是现阶段所面临的挑战。4.市场视角：l 政府部门对安全大模型十分关注，因地方政府建设了很多算力中心，算力问题也基本不成问题，是对安全大模型跟进速度最快的客户群之一。l 金融机构对安全的大模型非常感兴趣，但在当前大环境之下协调 AI 算力资源有困难。安全大模型技术与市场研究报告 7 l 军方对安全大模型的本地化部署、训练、精调等方面有不同于政府和企业客户的要求。l 安全大模型的价格战已经箭在弦上。(二)推荐 1.甲方单位网络安全与风险管理负责人应当 l 开始考虑使用安全大模型提升安全运营的效率，重新考虑人员规划与技术投入的比重。l 根据自身 SOC/SIEM

22、/XDR 等运营工具建设情况，选择相应的安全大模型产品或服务形态，如安全智能体或安全对话机器人。l 开始考虑在数据分类分级、数据脱敏、数据防泄露中引入 AI 大模型用于提升数据安全管理自动化水平。l 在邮件安全网关类产品选择上应优先考虑采用人工智能大模型的产品；l 规划好算力问题如何解决。2.网络安全公司产品负责人应当 l 关注安全大模型对现有安全产品的颠覆性影响，这是网络安全行业的灰犀牛事件，将对全行业的产品构成产生深远的影响，有些产品可能会被安全大模型技术消灭，而有些产品的能力将得到大幅提升。l 对安全大模型研发的技术难度有充分的准备，尤其是数据工程。l 对训练数据的来源给予足够重视，确保

23、合法合规。安全大模型技术与市场研究报告 8 l 时刻关注 AI 大模型底座的更新换代，及时切换到效果更好的 AI 大模型，并将各有特长的 AI 大模型用在最能发挥各自特长的地方。安全大模型技术与市场研究报告 9 二、人工智能用于解决网络安全的历史(一)深度学习技术出现之前，传统 AI 技术在网络安全领域中的应用 在深度学习技术成为主流之前，人工智能（AI）在网络安全领域的应用已经存在了很长时间。传统的 AI 技术在网络安全中的应用主要有：1.专家系统 专家系统在网络安全领域的应用历史可以追溯到 1980 年代末期至 1990 年代。专家系统是一种利用人类专家知识解决复杂问题的人工智能系统。在网

24、络安全领域，专家系统被设计用来模拟安全专家的知识和决策过程，以便自动化地识别、防御和应对各种网络威胁和漏洞。在早期，网络安全的专家系统主要集中在入侵检测系统（IDS）和病毒防护上。例如：l 1987 年，安德森（Anderson）提出了一种基于规则的入侵检测系统的概念，这可以被认为是专家系统在网络安全中应用的早期例子之一。l 1990 年代初期，首个商业化的入侵检测产品开始出现，它们采用了专家系统的技术，如 Sun Microsystems 的 Sun Screen SKIP 和 Digital Equipment Corporation 的SecureWorks 等，这些系统能够利用已知的安

25、全漏洞和攻击特征来识别潜在的安全威胁。随着互联网的快速发展和网络攻击技术的不断演进，专家系统也面临着不断的挑战和需求，包括：安全大模型技术与市场研究报告 10 l 适应性和动态性：网络安全威胁持续变化，专家系统需要不断地更新规则和知识库以匹配新的攻击特征。l 复杂性管理：随着网络环境变得日益复杂，专家系统需要处理更多的数据和情境，提高分析和判断的精确度。l 集成与自动化：为了提高效率和效果，专家系统被要求更好地与其他网络安全工具和系统集成，实现自动化的安全防御。2.机器学习算法 2009 年前后，伴随机器学习技术的一波兴起，机器学习技术开始被应用于网络安全领域。1)支持向量机（SVM）支持向量

26、机是一种监督学习的方法，用于分类和回归分析。在网络安全领域，SVM 可以用于恶意软件检测、网络入侵检测等场景，通过学习区分正常的数据和异常的数据。360 公司的 QVM（Qihoo Vector Machine）引擎是全球第一款基于机器学习（SVM）技术的恶意软件检测引擎，2010 年 7 月投入实际使用，是 360 安全卫士的主引擎。未知恶意软件检出率99%，误报率95%，误报率4%，独报告警占比达 82.8%，并在实际业务环境中发现高混淆攻击案例。安全 GPT 自主研判，实现告警降噪 99.8%以上。高级安全运营人员精力充分释放，工耗降低 25%，安全 GPT 补充了夜间安全监测研判处置力

27、量，实现全天候 7*24 小时安全值守。某顶尖制造企业通过自然语言对话与分析系统交互，快速获取安全数据、识别威胁模式，从而大幅提高安全运营团队分析研判的效率。安全负责人表示，深信服安全 GPT 让运营人员在广度和深度上都能做全局把控。在广度上，少量运营人员即可守护数万资产，每天只需关注安全 GPT 逐一研判后定位的日均 100 条高危告警，准确度超过 97%。在深度上，安全 GPT 对任意一条告警都可解释，直观呈现完整分析过程，帮助运营人员更好理解攻击意图、完成研判决策。安全大模型技术与市场研究报告 113(五)天融信天问安全大模型方案 1.应用场景 天问是天融信所有 AI 能力的统称，以大模

28、型、小模型、机器学习等 AI 技术能力为核心，可为用户提供威胁检测、安全运营、知识问答、算力管理等能力。1）威胁检测 天融信防火墙、僵木蠕、IPS、IDS 等产品内置 AI 安全威胁检测引擎，进行关联分析、识别 DGA 域名、隐蔽通道和恶意加密流量，阻截攻击者的入侵行为，利用 DGA 识别模型对域名进行精准的检测判断，识别出 DGA 域名，完成对 C&C 通信过程的阻断，从而实现对高级威胁的防御。2）安全运营 天融信天问大模型系统提供自动化研判、小天人机对话等功能，大幅提升安全日志研判效率，实现更加精准和便捷化的安全运营。针对海量安全日志，系统基于 AI 技术建立机器学习模型，学习历史告警研判

29、结果与告警来源、告警规则、攻击源 IP 之间的关联关系，建立来源、规则、攻击源 IP 可信性，以此来自动评估新告警的可信度，将高可信度告警推荐给安全人员进行人工确认，简化安全人员操作过程，加快研判信息获取。3）知识问答 云上小天是面向天融信及各行业客户推出的安全问答与能力订阅服务，依托天问基座大模型能力，天融信将自然语言理解、NER 技术应用于威胁情报的分析、生产，大幅提升威胁情报的精准度和产出效率。产品小天是基于天问基座大模型，以组件的形式嵌入到各类网络安全产品中，可智能分析客户提问，理解用户意图，快速响应客户需求。安全大模型技术与市场研究报告 114 4）算力管理 天融信天问智算云平台专为

30、大模型私有化部署场景设计，可提供强大的计算能力和高效的模型管理能力，平台能够管理异构算力 GPU 资源池，并内置开源主流大模型，可帮助用户简化大模型准备过程。通过该平台，用户能够快速、高效地构建和部署 AI 应用，进行 AI 训练和 AI 推理。2.技术方案 天融信下一代可信网络安全架构（NGTNA）是以网络安全为核心、大数据为基础、云服务为交付模式，为客户构建具备全面感知、智能协同、动态防护、聚力赋能的可信网络安全保障体系，该架构可覆盖物理环境、云环境等应用场景，为客户业务系统的安全、可持续性运行实现赋能。图 26 天融信融合 AI 的下一代网络安全架构 安全大模型技术与市场研究报告 115

31、 天融信 NGTNA2.0 架构融合 AI 关键技术、平台及产品能力后，在感知、防护、分析、联动等层面能力全新升级，实现 AI 全面赋能，进而带来体系架构整体能力的提升。详细NGTNA2.0 架构 AI 能力升级如下：架构层 AI 联动能力 聚力赋能 新增云上小天，以云服务的形式为天融信及客户提供安全问答与能力订阅。智能协同 新增天问大模型系统，提供大模型调用服务。大数据分析系统 AI 能力升级，向下驱动各类 AI 安全引擎，同时支持对各类探针数据进行深度分析。全面感知、动态防护 防火墙、IPS、IDS、僵木蠕等安全产品内嵌基于机器学习的 AI 检测引擎，满足本地化的安全防护需求。产品内嵌产品

32、小天，以 AI 助手提供本地的知识问答服务，提升客户的安全运营效率，同时与天问大模型系统、大数据分析系统实现联动，调用大模型知识问答服务。3.部署形态 天问系列产品支持本地部署、云端订阅、嵌入式部署，威胁检测引擎本地部署在防火墙、僵木蠕、IPS、IDS 等设备中，天问大模型系统、云上小天以云服务方式部署，提供云端订阅服务，产品小天嵌入到各类网络安全产品中，以组件形式为客户提供智能问答服务。安全大模型技术与市场研究报告 116 4.硬件要求 支持 Intel CPU+NVIDIA GPU、鲲鹏 CPU+昇腾 GPU,模型推理最低 GPU 显存 16GB及以上。5.效果评估 天融信天问大模型结合机

33、器学习、深度学习等技术，利用大规模数据进行训练和优化，以提升安全研判分析的效果和能力，在实际应用中带来多方面的效果：1.智能自动可以更准确地识别告警，从而减少误报和漏报的情况，提高真实告警的检测效率。实际使用显示，每人天研判告警数目可提升一倍以上。2.通过学习大规模的数据，可以识别和理解更复杂、更隐蔽的安全威胁和异常行为，从而提高研判分析的准确性和精度。实际使用显示，有效告警率可提升 5 倍以上。3.可以识别潜在的安全威胁和漏洞，帮助安全团队及时发现并解决安全问题，降低安全风险。6.特色 l 采用于机器学习、深度学习、自然语言处理、大语言模型、小语言模型、超微语言模型等多种 AI 技术。l 将

34、 AI 技术全面应用于天融信基座大模型平台、安全软件平台、安全硬件平台、安全管理平台、天问算力平台等平台中，提升平台 AI 能力。l 借助平台能力升级，各安全产品即可快速具备全面的 AI 安全能力。l AI 能力覆盖全面，涵盖威胁检测、安全运营、知识问答、算力管理等场景。安全大模型技术与市场研究报告 117 7.标杆客户 天问系列安全产品覆盖威胁检测、安全运营、知识问答、算力管理等应用场景，目前已在金融、运营商、能源等行业内多个大型客户落地应用，并取得了一定的成效。在某金融客户场景中，用户部署了天融信大数据分析系统，通过内置天问大模型，实现大模型赋能；增加产品小天功能，实现人机对话，支撑安全问

35、题智能问答；建立告警分析、漏洞分析、日志分析等插件，对人机对话中的安全运营指令进行接收响应。通过该系统部署率先在安全管理工作中引入了生成式人工智能技术，实现了行业内试点示范，通过项目建设提供的虚拟安全专家，提升了安全运营效率。安全大模型技术与市场研究报告 118(六)中国电信安全见微安全大模型 1.应用场景 电信安全见微安全大模型通过 AI 赋能安全态势感知平台，整合用户网络安全类数据，开展面向不同安全场景的多维智能分析。聚焦安全运营场景中的告警疲劳、效率低下、自动化程度低等问题，让大模型充分发挥价值，实现自动化异常行为分析、自适应防御策略生成、告警评估和攻击研判，让安全运营人员从劳动密集型的

36、任务中得以解救，突破运营效率瓶颈，全方位赋能中国电信的网络安全保障水平。2.技术方案 根据不同的应用场景可选择不同的基座模型，如 Llama3-70B、Qwen1.5-72B 以及Telechat-12B 等。在预训练和微调过程中贴合用户生产环境数据特点，训练出更符合用户使用需求、更能解决用户痛点的私有化安全大模型。整体技术架构如下图，数据源采用运营平台各类原始日志及告警数据作为大模型输入，经数据清洗告警研判告警聚合事件生成等流程后，通过 API 接口反馈给运营平台。安全大模型技术与市场研究报告 119 图 27 电信见微安全大模型项目技术架构 1）告警筛选 筛选的目的是从众多告警中识别出真正

37、需要关注的告警，去除误报，避免信息过载。使用电信安全见微安全大模型后，将在筛选阶段优先去除误报，避免信息丢失。进入研判阶段，则以真实性为优先级。2）重塑聚合 告警聚合是将多个相关联的告警合而为一，以减少告警处置工作量进而提升处理效率。聚合核心是生成告警指纹的生成算法。此阶段大模型会根据告警信息动态生成一个或一组告警指纹，后续可根据指纹优先级对告警进行归并。3）事件研判 事件研判是对聚合后的告警信息进行深入分析，判别客体由原始告警转变为事件，进一步确定事件的真实性、优先性、危害性。安全大模型技术与市场研究报告 120 4）事件处置 处置阶段是对经研判确认需采取行动的事件进行处理。此阶段将使用电信

38、安全见微大模型将研判结果与 Agent 处置工具结合自动化处理掉。对于无法自动化处理的告警，会生成处置建议辅助人工进行处置。5）运营分析 运营分析阶段是对整个告警处理过程进行回顾和评估。通过对全局告警进行全面分析，从而优化未来的响应策略和相应流程。通过自动收集关键数据点和生成易于理解的报告，电信安全见微安全大模型将帮助使用者快速确认安全事件，总结事件处理的效果，并形成对应的文档记录，供使用者作进一步事件复盘。图 28 见微安全大模型侧具体路线图 3.部署形态 电信安全见微安全大模型采用纯软件形式进行交付，与安全运营平台结合，形成从威胁识别、威胁分析、告警压降到事件生成的自动化处置能力。安全大模

39、型技术与市场研究报告 121 4.硬件要求 推荐：英伟达 A100 80G 4 张，或同等算力资源替代。低配（仅推理）：V100 32G 4 张，或同等算力资源替代。国产型号尚在适配中，具体算力需求根据业务需求调整。5.效果评估 在告警研判方面，利用大模型分析能力构建高置信的告警发现引擎，从原始日志或告警中筛选出真实告警，并给出研判依据和处置建议。见微安全大模型研判准确率超 98%，提供的处置建议采纳率达 50%。在告警压降方面，通过指纹、攻击链等智能聚合方式，协助安全运营平台实现告警压降能力，降噪比可达到 99%以上，整体运营效率提升 20%以上。6.特色 l 电信安全见微安全大模型基于中国电信“阡陌数聚”大模型数据集，汇聚万亿级的运营商大网安全日志、威胁情报等数据，拥有区别于传统安全厂商的海量、多样化的基础数据集。l 插件化、服务化落地模式，无需改变客户现有的安全大模型解决方案，能实现快速落地应用，支持多类平台、更具普适性。安全大模型技术与市场研究报告 122 7.标杆客户 项目背景：项目背景：由于安全监控需要，中国电信股份有限公司四川分公司（四川电信）安全运营人员每日需处理海量由于安全设备接入而产生的原始告警日志。原有安全运营平台无法在短时间内实现对告警信息的有效处置。项目成效：项目成效：接入见微安全大模型后，四川电信告警压降率达到 99%以上，研判准确率达到 95%以上。