通信世界網(wǎng)消息（CWW）2022年被稱為AIGC元年，隨著ChatGPT的問世，大語言模型在AIGC的賽道上一時風頭無兩。2023年，新華三推出"百業(yè)靈犀"私域大模型，為垂直行業(yè)提供智能化服務，并基于在網(wǎng)絡安全領域的多年深耕，將大模型與安全業(yè)務融合，形成了豐富的技術實踐。

大模型在安全領域的典型應用

自2022年起，各個安全廠商都開始基于大模型構建自己的產(chǎn)品和商業(yè)模型，并迅速更新迭代，一時間百花齊放。透過讓人眼花繚亂的表象，分析總結可以歸為三類。

一是通用安全大模型分析工具。將大模型與安全領域知識結合，為用戶提供有效的分析工具，協(xié)助用戶作出更加高效的決策。例如，安全專業(yè)人員可以利用大模型分析工具從現(xiàn)有情報中學習、關聯(lián)和分析威脅活動，快速發(fā)現(xiàn)問題點，及時處置響應。

二是大模型賦能現(xiàn)有安全產(chǎn)品。將大模型與現(xiàn)有安全產(chǎn)品相結合，提升現(xiàn)有產(chǎn)品能力，增強用戶感知。例如，將大模型與高級威脅檢測產(chǎn)品相結合，可以提升威脅檢測率、降低誤報，并給出個性化診斷，用戶使用更加便捷。

三是私域化行業(yè)安全解決方案。基于垂直行業(yè)、特定場景對大模型進行定制化微調(diào)，面向用戶真實的安全需求，為用戶提供一體化安全解決方案。例如，數(shù)據(jù)中心場景下，數(shù)據(jù)管理要求嚴格、敏感性強，大模型賦能的安全運營體系可以智能化分析數(shù)據(jù)流轉全過程，輔助威脅研判、響應違規(guī)事件、給出加固建議，保障數(shù)據(jù)不外泄。

以上所述三類應用的場景各不相同，解決的問題也并不一致。但如果探究三類方案的實踐，可以發(fā)現(xiàn)其底層邏輯是相似的，即依托于安全領域知識訓練出專用安全大模型，增強安全能力，并落地到場景化需求中。

網(wǎng)絡安全領域大模型落地的難點分析

雖然目前推出大模型方案的安全廠家有很多，但能夠真正落地并得到廣泛應用的卻鳳毛麟角，其根本原因是大模型賦能的實現(xiàn)路徑上存在三大難點，阻礙了安全大模型底層邏輯鏈路的打通。

第一個難點是安全私域大模型的構建。網(wǎng)絡安全涵蓋了多種威脅、攻擊和防御技術，通用的大模型很難適用于網(wǎng)絡安全場景。為了提高大模型在網(wǎng)絡安全領域的表現(xiàn)，需要對大模型進行微調(diào)訓練，讓其具備更高的領域專業(yè)性和實用性，契合安全領域要求。構造適合知識數(shù)據(jù)集，并利用合理的方式進行微調(diào)訓練是安全大模型的基礎，這就需要安全廠商既要有豐富的安全領域數(shù)據(jù)積累，還要有大模型訓練領域的實戰(zhàn)經(jīng)驗。

第二個難點是安全大模型和產(chǎn)品的融合。大模型的關鍵特性是理解和分析數(shù)據(jù)，還可以創(chuàng)造新的、獨特的輸出。大模型和安全產(chǎn)品的融合，本質(zhì)上是為了利用大模型協(xié)助安全產(chǎn)品進行數(shù)據(jù)分析，提升產(chǎn)品能力。但現(xiàn)在一些安全產(chǎn)品往往是拿大模型作為噱頭，大模型和數(shù)據(jù)并未深度結合，二者是分層的。大模型賦能安全產(chǎn)品的前提是對產(chǎn)品邏輯進行梳理，回答幾個關鍵問題——產(chǎn)品可以輸入哪些數(shù)據(jù)？需要得出哪些結論？大模型訓練是否充分？大模型如何與原有產(chǎn)品實現(xiàn)功能和接口上的對接？只有將大模型和安全產(chǎn)品在數(shù)據(jù)層面打通，才能真正實現(xiàn)AI賦能安全。

第三個難點是安全大模型的場景化。不同的行業(yè)具有不同的安全重點，需求也并非完全一致。金融、政務等行業(yè)場景重點關注于內(nèi)網(wǎng)數(shù)據(jù)的合規(guī)使用，需要分析數(shù)據(jù)流轉過程，強化對越權訪問、違規(guī)事件的發(fā)現(xiàn)。運營商、教育等行業(yè)場景重點關注于內(nèi)外部網(wǎng)絡攻擊，需要分析網(wǎng)絡流量，增強對高級威脅、病毒木馬的檢測。如何在通用安全能力的基礎上契合行業(yè)用戶的側重點，也是大模型落地的關鍵。

新華三安全大模型的技術實踐

新華三安全依托于百業(yè)靈犀私域大模型，結合在網(wǎng)絡安全領域積累的豐富專業(yè)的實戰(zhàn)經(jīng)驗，打通大模型賦能的三個關鍵點，實現(xiàn)了大模型與安全業(yè)務的真正融合。

基于安全私域知識的大模型微調(diào)

在構建安全領域大模型之前，需要收集和整理各種安全行業(yè)領域的知識，依托于新華三多年的數(shù)據(jù)積累，除了安全基礎知識、威脅情報數(shù)據(jù)、攻擊樣本數(shù)據(jù)等開源數(shù)據(jù)外，還提供了網(wǎng)絡協(xié)議、攻擊載荷、攻防案例等經(jīng)驗數(shù)據(jù)。

打開網(wǎng)易新聞 查看精彩圖片

圖1 開源模型ChatGLM分析網(wǎng)絡流量包的表現(xiàn)

如圖1所示，通用的ChatGLM在分析一個完整pcap包時，沒有具備協(xié)議層的概念，將每一行字節(jié)碼錯誤地分析為IP報文中的源IP和目的IP等字段。新華三安全提供了大量網(wǎng)絡協(xié)議報文作為私域數(shù)據(jù)集，通過提供原始報文的hex字節(jié)碼形式，提問分析報文結構和字段解析。通過“提問-回答”的方式提供網(wǎng)絡協(xié)議解析的數(shù)據(jù)，如圖2所示。

打開網(wǎng)易新聞 查看精彩圖片

圖2 通過GPT獲取的網(wǎng)絡協(xié)議分析數(shù)據(jù)

在獲取私域數(shù)據(jù)集后，需要進行進一步的微調(diào)。微調(diào)是在特定任務或領域進一步訓練大模型的過程，在經(jīng)過預訓練后，模型根據(jù)特定任務的標記數(shù)據(jù)進行微調(diào)，以使其知識適應特定的下游任務。

第一步是監(jiān)督微調(diào)（SFT），將安全私域數(shù)據(jù)集，采用"{prompt}+{response}"的形式進行拼接，再用拼接好的數(shù)據(jù)進行有監(jiān)督的微調(diào)，如表1所示。

表1 有監(jiān)督的微調(diào)

打開網(wǎng)易新聞 查看精彩圖片

第二步是獎勵博弈（RM），構建安全領域對比數(shù)據(jù)，通過人工區(qū)分出好的回答和差的回答，隨機采樣一些prompt，通過模型生成多個response，通過人工對結果進行兩兩排序。

第三步是基于人類反饋的強化學習（RLHF），引入專業(yè)安全專家協(xié)助模型微調(diào)，確保模型不會太偏離原來的模型，并且能輸出高質(zhì)量的回復。

基于安全大模型的產(chǎn)品賦能

安全大模型向產(chǎn)品賦能的過程，首先要分析產(chǎn)品需求，明確可提升能力的功能點；再收集數(shù)據(jù)，利用數(shù)據(jù)集對安全大模型進行針對性的微調(diào)；最后開發(fā)接口調(diào)用對應的能力，實現(xiàn)大模型的調(diào)用。

新華三流量高級威脅與溯源系統(tǒng)（NDR）是針對APT檢測、處置、溯源場景的安全分析與運營產(chǎn)品，其在安全事件分析、網(wǎng)絡攻擊研判、資產(chǎn)風險加固、全網(wǎng)風險報告等各個功能點引入大模型，通過大模型提供的智能輔助，更好地實現(xiàn)威脅發(fā)現(xiàn)處置的效率和能力。例如，傳統(tǒng)安全事件分析功能中，在安全事件發(fā)生后，其對整網(wǎng)的安全影響程度通常需要人工判斷和分析，然后根據(jù)具體攻擊的方法或漏洞進行處置。NDR結合大模型，可以根據(jù)不同的攻擊類型，結合知識模型預測下一步攻擊方向，并給出處置建議；通過這些信息幫助安全運營人員更好地理解產(chǎn)生安全事件的緣由，深入挖掘具體攻擊，從而提供更好的支持和服務，如圖3所示。

圖3 安全事件分析

基于安全大模型的場景化實踐

安全大模型的場景化實踐，需要針對用戶具體場景，分析用戶的關鍵需求，再引入對應的大模型產(chǎn)品提供安全能力。在運營商行業(yè)，新華三融合AIGC技術，升級主動安全體系，護航運營商網(wǎng)絡的安全與穩(wěn)定。這一融合不僅提升了運營商在面對日益嚴峻的網(wǎng)絡安全挑戰(zhàn)時的應對能力，同時也為運營商提供了更加安全、高效的服務體驗。

1．實現(xiàn)對網(wǎng)絡異常行為的智能識別，提前發(fā)現(xiàn)和預防潛在的安全風險，實時預警，降低風險。

2．提高網(wǎng)絡安全防護的主動性，對網(wǎng)絡攻擊進行智能預測，實現(xiàn)對網(wǎng)絡的主動防護，從而保障業(yè)務的穩(wěn)定運行。

3．提升合規(guī)性，通過智能分析，及時發(fā)現(xiàn)和處理不合規(guī)行為，規(guī)避不合規(guī)風險。

4．緩解網(wǎng)絡安全專業(yè)人才短缺的問題，實現(xiàn)對安全事件的自動化響應和處理，降低對專業(yè)人才的依賴，提高安全管理效率。

新華三借助AIGC技術強化的主動安全體系，為構建堅實可靠的網(wǎng)絡安全防護提供了有力支持，確保運營商網(wǎng)絡的安全與穩(wěn)定。

安全大模型的現(xiàn)在與未來

亂花漸欲迷人眼，淺草才能沒馬蹄。多種多樣的安全大模型產(chǎn)品和方案不斷涌現(xiàn)，紛紛展示一技之長。有的致力于通用安全能力的落地，通過安全大模型提升安全實踐效果；有的關注細分領域能力增強，解決安全大模型在細分領域的準確性；也有的則關注大模型帶來的商業(yè)模式轉變。

在這個人人都在擁抱A I G C的時代，網(wǎng)絡安全行業(yè)的發(fā)展將更加多元，AIGC在網(wǎng)絡安全領域的應用會更加廣泛和深入，產(chǎn)品和方案將更加個性化和定制化。隨著數(shù)據(jù)保護和隱私保護法規(guī)的不斷加強，安全私域模型將成為未來發(fā)展的重要趨勢。而對于百行百業(yè)用戶，如何從眾多安全大模型中找到合適的那把鑰匙，構建適用于自己行業(yè)領域的安全大模型方案，將成為未來決勝AIGC時代的核心價值所在。