近日,由安全极客、Wisemodel 社区、InForSec 网络安全研究国际学术论坛和海升集团联合主办的“AI + Security” 系列第 3 期技术沙龙:“AI 安全智能体,重塑安全团队工作范式”活动顺利举行,吸引了线上线下超过千名观众参与。
在本次活动中,金睛云华技术合伙人孙志敏先生发表了题为 “大模型在网络安全检测及运营场景的探索及应用” 的主题演讲,重点分享了大模型技术在网络安全行业的应用前景,深入解析了该技术在安全检测和运营中的赋能作用,为我们提供了对大模型在网络安全领域应用的更深层次理解。
日益迫切的安全需求
随着黑客组织的日益猖獗,以及APT攻击和勒索等威胁日渐复杂,网络安全已经成为国家安全的重要组成部分。网络攻击者不断升级攻击手段,利用AI技术将传统攻击自动化和智能化,使攻击更快、更隐蔽且效率更高。同时,市面上的渗透测试工具层出不穷,快速迭代,这给网络安全带来了巨大的挑战。
在这样的背景下,网络安全面临着多个痛点:未知威胁层出不穷、加密流量的增多、APT挑战安全基线、IDS误报率居高不下,且事件处理的人才极其短缺。安全厂商的人效比低,客户的投入产出比也偏低,而安全分析人员的培养周期长,人才缺口巨大,使得“人”成为最大的成本与瓶颈。
检测大模型的应用
针对这些挑战,孙志敏先生指出,金睛云华长期以来基于AI的高级威胁检测技术,已广泛应用于各种安全场景。随着大模型技术的发展,金睛云华结合自身在AI+安全领域的丰富经验,开始探索大模型在网络安全检测中的应用,以进一步提升检测能力。通过各模块的协同工作,金睛云华构建了一套完整的网络安全闭环体系,涵盖流量分析、威胁检测、数据处理和反馈。
其中,金睛云华采用了四项核心技术:
-
基因图谱技术:用于检测恶意代码变种和未知流量中的恶意行为。
-
加密流量检测:通过集成学习模型,高效识别恶意加密通信行为。
-
隐蔽隧道检测:利用集成学习算法,检测DNS、ICMP、HTTP、HTTPS等隐蔽隧道中的数据外泄。
-
Web攻击检测:通过集成学习和强化学习模型,持续监测Web攻击。
金睛云华的检测大模型经历了从Transformer编码器+解码器到单编码器BERT的技术演进,核心基于CodeBert大语言模型,能够将提取的威胁流量元数据token化后输入大模型进行分类。测试结果表明,该模型在Webshell二分类、多分类等多项任务中具有极高的准确率和效率。
运营大模型的应用
会中,孙志敏先生还介绍了金睛云华自主研发的「安心CyberGPT」大模型,致力于打造完整的AI安全智能体。该系统以“安全大脑”为核心,整合多种安全产品、专家知识与工具,通过智能化模型实现威胁检测与响应,构建了全方位的网络安全防护体系,有效提升了安全运营场景的能力。
在运营大模型中,金睛云华采用了白样本迭代强化学习(RLWF)、人工反馈强化学习(RLHF)以及多检测源反馈强化学习(RLOF)等技术。安心「CyberGPT」大模型包括程序语言大模型(CyberGPT (PL-LLMs))和自然语言大模型(CyberGPT (NL-LLMs)),凭借强大的算力和显存资源,这一大模型得到了主流咨询机构的认可,成为国内AI赋能网络安全的先行者。
金睛云华的产品从小模型逐渐发展为大模型赋能的体系,实现智能威胁检测和运营。公司部署了完整的XDR解决方案,提供全面的检测、取证及智能分析能力,主要产品包括云鉴·高级威胁检测系统(ATD Pro)和云图·网络安全智能中心(CIC Pro)。
此外,金睛云华的AI运营能力与第三方产品深度整合,提供智能安全检测和运营赋能,实现海量告警事件的智能降噪,安全事件智能分析、处置与响应,大幅优化了运营流程,提升了效率。例如,在某银行的真实告警数据集中,云智(BOC)的自动化分析耗时极短,且有效告警覆盖度高,显著提升了运营效率。
写在最后
金睛云华通过持续的AI技术研发,将大模型成功应用于网络安全的多个环节。基于「CyberGPT」的大模型在威胁检测和安全运营中的应用,不仅应对复杂的安全威胁表现出色,还极大提升了网络安全运营的智能化与自动化水平。随着网络安全威胁的不断升级,大模型技术将在这一领域发挥越来越重要的作用。
嘉宾们分享的 PPT 将在安全极客知识星球进行分享,欢迎大家关注,以获取更多干货内容。
加入安全极客知识星球,获取嘉宾分享PPT等干货内容
