1、 i 安全大模型技術與市場研究報告 2024 年 6 月 25 日 i 目錄 法律聲明法律聲明.1 前言前言.2 一、一、概述概述.4(一)主要發現.5(二)推薦.7 二、二、人工智能用于解決網絡安全的歷史人工智能用于解決網絡安全的歷史.9(一)深度學習技術出現之前，傳統 AI 技術在網絡安全領域中的應用.9 1.專家系統.9 2.機器學習算法.10 1)支持向量機（SVM）.10 2)決策樹.11 3)遺傳算法.12 4)模糊邏輯.12 5)貝葉斯網絡.12(二)深度學習技術在網絡安全領域的應用.13 1.惡意軟件檢測與分類.13 2.入侵檢測系統.13 3.釣魚網站識別.13 4.域名生成

2、算法(DGA)檢測.14 ii 5.基于行為的欺詐檢測.14 6.數據安全.15(三)知識圖譜在網絡安全領域的應用.15 1.威脅情報分析.15 2.攻擊檢測和響應.15 3.安全態勢感知.16 4.漏洞管理.16 5.安全知識的教育與培訓.16(四)AI 技術在網絡安全領域的應用總結.16 1.異常檢測（Anomaly Detection）.16 2.惡意軟件和病毒檢測（Malware and Virus Detection）.17 3.垃圾郵件和釣魚攻擊過濾（Spam and Phishing Detection）.17 4.身份認證和訪問控制（Identity Authenticatio

3、n and Access Control）.17 5.網絡流量分析（Network Traffic Analysis）.17 6.安全策略管理（Security Policy Management）.17 7.自動化響應（Automated Response）.18 8.欺詐檢測（Fraud Detection）.18 9.數據安全（Data Security）.18(五)前大模型時代 AI 在解決網絡安全問題上遇到的問題.18 1.誤報率.18 2.數據質量和可用性.19 3.模型泛化能力.20 iii 4.可解釋性問題.20 5.實時性能.20 6.人工智能自身的安全問題.20 7.人工智

4、能人才稀缺.21 三、三、大模型帶來的大模型帶來的 AIAI 驅動安全驅動安全.22（一)大模型帶來了哪些新可能性？.22 1.自然語言處理能力的提升.22 2.多種 AI 任務性能的提升.22 3.推理和邏輯.23 4.AI 驅動的網絡攻擊.23 5.AI 驅動的風險識別.24 6.新業態的出現.25（二)產業界的熱點方向.25 1.AI 賦能的威脅檢測產品.25 1）惡意代碼檢測.25 2）攻擊流量檢測.26 3）用戶和實體行為分析(UEBA).26 4）加密流量分析.26 2.AI 賦能網絡安全運營.27 1）告警降噪.27 2）攻擊研判.28 iv 3）自動響應與處置.28 4）報告的

5、自動生成.29 3.AI 賦能數據安全.29 1）數據分類分級.29 2）數據脫敏.29 3）風險評估與策略制定.30 4.鑒偽與認知安全.30 四、四、市場分析市場分析.33（一)國外安全大模型代表性供應商.33 1.Anomali.33 2.Check Point Software Technologies.34 3.Cisco.36 4.CrowdStrike.38 5.Darktrace.39 6.Dropzone AI.41 7.Elastic.42 8.Flashpoint.43 9.Fortinet.44 10.Google Cloud.45 11.Microsoft.47 12

6、.Palo Alto Networks.49 13.Proofprint&Tessian.51 v 14.SentinelOne.52 15.SparkCognition.53 16.Trellix.54 17.Vectra AI.54 18.ZScaler.55（二)國內安全大模型代表性廠商.57 1.360 數字安全集團.57 2.安恒信息.59 3.金睛云華.60 4.海云安.62 5.華清未央.62 6.華為.65 7.火山引擎.67 8.酷德啄木鳥.67 9.靈云數科.69 10.綠盟科技.69 11.奇安信.70 12.深信服.72 13.騰訊.73 14.天融信.75 15.云起

7、無垠.77 16.中國電信.77 vi 五、五、企業安全大模型能力評估企業安全大模型能力評估.79(一)評估緯度.79 1.安全能力.79 2.深度學習技術能力.79 3.基礎大模型能力.79 4.安全數據能力.79 5.大模型精調能力.80 6.算力能力.80 7.產品化能力.80 8.用戶場景的覆蓋能力.80(二)國內部分網絡安全公司安全大模型能力評估.81 1.360 數字安全集團.81 2.安恒信息.81 3.海云安.82 4.華清未央.82 5.華為.83 6.火山引擎.83 7.金睛云華.84 8.酷德啄木鳥.84 9.綠盟科技.85 10.靈云數科.85 11.奇安信.86 vi

8、i 12.深信服.86 13.天融信.87 14.騰訊安全.87 15.云起無垠.88 16.中國電信.88(三)國內安全大模型產品推薦供應商.89 1.安全運營大模型推薦供應商.89 2.威脅檢測大模型推薦供應商.89 3.數據安全大模型推薦供應商.89 4.郵件安全大模型推薦供應商.90 5.自動滲透大模型推薦供應商.90 6.漏洞挖掘大模型推薦供應商.90 7.安全開發大模型推薦供應商.91 六、六、解決方案與案例解決方案與案例.92(一)360 安全大模型.92 1.應用場景.92 2.技術方案.93 3.部署形態.93 4.硬件要求.94 5.效果評估.94 6.特色.94 viii

9、 7.標桿客戶.95 8.客戶價值.96(二)安恒恒腦安全大模型介紹.98 1.應用場景.98 2.技術方案.98 3.部署形態.99 4.硬件要求.99 5.效果評估.100 6.特色.100 7.標桿客戶.101(三)金睛云華安全運營智能體案例.102 1.應用場景.102 2.技術方案.102 3.部署形態.104 4.硬件要求.105 5.效果評估.105 6.特色.105 7.標桿客戶.106(四)深信服安全 GPT.107 1.應用場景.107 2.技術方案.110 3.部署形態.111 ix 4.硬件要求.111 5.效果評估.111 6.特色.112 7.標桿客戶.112(五)

10、天融信天問安全大模型方案.113 1.應用場景.113 2.技術方案.114 3.部署形態.115 4.硬件要求.116 5.效果評估.116 6.特色.116 7.標桿客戶.117(六)中國電信安全見微安全大模型.118 1.應用場景.118 2.技術方案.118 3.部署形態.120 4.硬件要求.121 5.效果評估.121 6.特色.121 7.標桿客戶.122 安全大模型技術與市場研究報告 1 法律聲明 本報告版權歸屬于北京賽博英杰科技有限公司，報告中的文字、表格均受到中華人民共和國知識產權法律法規的保護，禁止任何商業性質的更改、報道、摘錄以及引用；任何非商業性質的報道、摘錄以及引用

11、請務必注明版權來源，并獲得北京賽博英杰科技有限公司的書面授權。本報告中的調研數據均采用行業公開信息、深度訪談、實地調研、桌面研究得到。本公司不承擔因使用本報告而產生的任何法律責任。安全大模型技術與市場研究報告 2 前言 網絡安全領域有一個“錘子”和“釘子”的理論：把網絡安全中待解決的問題比喻作“釘子”，把解決問題的手段比喻作“錘子”。已經遇到過的問題叫“老釘子”，新遇到的問題叫“新釘子”，已知的解決問題的方法叫“老錘子”，新發明的方法叫“新錘子”。每當找到一把“新錘子”，人們會拿這把“新錘子”把“老釘子”都再砸一遍，看是否更好用，遇到“新釘子”也會先拿“老錘子”來砸一通，看是不是還管用。生成式

12、人工智能（AIGC）大語言模型（LLM，簡稱大模型）技術無疑是網絡安全從業者拿到的一把“新錘子”，這把“錘子”已經在自然語言對話、寫作、文生圖、文生視頻領域取得了令人震驚的效果，網絡安全從業者自然是不會放過這樣一個機會的，深信服、360、奇安信、安恒、綠盟、天融信、永信至誠、啟明星辰等網絡安全上市公司紛紛宣布自己發布了安全大模型產品，金睛云華等過去基于深度學習技術開發網絡安全產品的公司也及時轉向了 AIGC 大模型技術路線，新的安全創業公司也在紛紛采用人工智能大模型提升自身產品能力，如云起無垠在 Fuzzing 模糊測試方面，靈云數科在郵件安全方面都在使用人工智能大模型。自 2010 年以來，

13、我們拿到的“新錘子”包括機器學習技術、大數據技術、知識圖譜技術等，用來砸網絡安全的“老釘子”和“新釘子”，也取得了一定的成果，但網絡安全的基本盤并沒有改變：l 攻防速度不對等：攻擊者突破防線、偷走數據的速度遠遠快于防守方發現攻擊、阻斷攻擊的速度，防守方的響應速度不夠快；據:Unit 42 Cloud Threat Report-Volume 7,2023,Unit 42 Engagement Experience 中披露的數據，目前的響應與處置時間已經提高到 6 天，比數年前的數安全大模型技術與市場研究報告 3 月有了很大的進步，但攻擊者進攻得手的時間已經提高到數小時級別，攻防依然在速度上不對

14、等。圖 1 攻破到數據被盜竊的時間 VS 響應與處置時間 來源來源:Unit 42 Cloud Threat Report-Volume 7,2023,Unit 42 Engagement Experience l 現有網絡安全防御方法的效率性價比不夠高：現有的防御方式下，需要大量的安全工程師，中國、美國所公布的網絡安全防御人才缺口都是幾百萬人，暫且不說培養出這么多網絡安全從業者相當困難，雇傭這些人的成本也會是企業難以承受之重。l 檢出率不夠高與誤報率太高：基于規則的引擎對新型攻擊的檢出率不夠高，規則引擎與 AI 引擎的誤報率都太高。AIGC 的異軍突起，給了大家一個新的希望。本報告通過對基于

15、 LLM 的 AIGC 在網絡安全中的應用做了分析，希望給網絡安全從業者提供一些有用的信息。安全大模型技術與市場研究報告 4 一、概述 自 2022 年底開始，以 LLM（大語言模型，簡稱大模型）為核心的 AIGC（生成式人工智能）帶來了一場人工智能驅動的技術與產業革命，人工智能被廣泛認為是可以改變“游戲規則”的戰略性科技。國內開啟了“百模大戰”，國資委在 2024 年 2 月 27 日召開國有企業改革深化提升行動 2024 年第 1 次專題推進會上再次點題人工智能，要求國企結合自身技術資源稟賦和產業基礎，科學決策納入發展規劃，加大投入，把資源用在刀刃上，有力提高國有企業戰略支撐作用。大模型也

16、被寄予厚望，解決了多年來困擾網絡安全行業的攻防不對等、安全專業人員嚴重不足的問題。網絡安全行業一直存在攻防不對等的問題：攻擊者在暗處，防守者在明處；攻擊者可以在任何時候發起攻擊，防守者則需要 7X24 設防；攻擊者 100 次攻擊有 1 次成功即宣告成功，而防守者 100 次防守，1 次失守就算失??；全社會數字化轉型背景下，需要防守的目標眾多，而我國教育系統每年培養出的網絡安全人才只有不到 3 萬人，加上自學成才的人員，也還是遠遠難以滿足構建網絡安全防線的需求。并且由于人的反應速度問題、工作效率以及工作任務排隊的問題，對安全告警的處理時間往往要 30 分鐘以上，而攻擊者在30 分鐘之內已經得手

17、。美國以微軟為代表的企業在大模型爆發之初，就開始將大模型用于構建網絡安全產品和服務，微軟2023年3月28日即推出Microsoft Security Copilot，Palo Alto Networks、CrowdStrike、Fortinet 等公司也快速跟進。國內深信服、奇安信、360、安恒信息、綠盟、天融信、永信至誠、金睛云華等公司也紛紛宣布自己已經推出，或即將推出基于大模型的安全大模型技術與市場研究報告 5 網絡安全產品，在 2023 年年底，已經可以看到一些大模型賦能的網絡安全產品的成功應用。(一)主要發現 1.供給側視角：l 在 AI 賦能網絡安全概念下，各家所采用的 AI 技術

18、五花八門，既有最新的 AIGC 大語言模型，也有深度學習技術甚至是機器學習技術，或者是多種技術的混用。l 愿意提供純軟件部署方式，以解決在對華限售智能算力平臺的大形勢下，安全公司自身采購智算硬件的難題。l 安全大模型的主要應用場景有：安全運營輔助、數據安全、威脅檢測、電子郵件安全、開發安全、安全策略管理、滲透測試、安全培訓。l 安全大模型在各應用場景下的效果差異較大，在數據分類分級場景下取得的效果最好，能有幾十倍的工作效率提升；在安全運營場景下，效果差異較大，與供應商安全大模型訓練數據集與用戶使用場景的匹配程度、供應商的技術水平都有關系。l 產品有安全智能體與聊天機器人兩種主要形態，目前聊天機

19、器人是主要產品形態。l 人工智能大模型技術會帶來網絡安全產品格局的大變化，AI 將會促成一系列網絡安全產品的功能、性能提升，從而造成安全產品此消彼長的態勢。2.需求側視角：l 中國用戶與西方用戶對產品形態上的要求差別很大，以美國為代表的西方世界市場普遍接受以SaaS服務為主要形態的服務，中國的客戶則更愿意接受本地部署。安全大模型技術與市場研究報告 6 l 用戶的主要訴求是通過提升自動化水平提升運營效率：縮短 MTTD、MTTR，希望能從天級，縮短到分鐘級。l 希望安全大模型結合威脅情報進行安全事件調查分析、取證。l 用戶希望通過安全大模型解決降低運營成本、提升運營效率問題。l 用戶希望通過安全

20、大模型提升現有安全運營人員水平。l 用戶希望通過安全大模型能幫助總結安全事件。3.技術視角：l 國內各廠商所采用的生成式 AI 技術，基本都是在商用或開源的基座大模型的基礎上做預訓練與精調。只有極個別廠商聲稱未來會考慮從頭訓練自己的安全大模型。l 生成式 AI 與傳統深度學習、機器學習技術相比，在威脅檢測、加密流量分析上，檢出率沒有什么優勢，但運算速度慢很多，大模型與小模型聯合使用，會是現階段比較好的選擇。l 在基座大模型的選型上有很高的趨同性，國產大模型選用通義千問的比例較高，國外的開源模型，LlaMa-2 和 MISTRAL 7B 模型的普遍評價比較高。l 國產大模型算力依然在快速發展中，

21、如何提供高性價比的訓練、推理芯片，依然是現階段所面臨的挑戰。4.市場視角：l 政府部門對安全大模型十分關注，因地方政府建設了很多算力中心，算力問題也基本不成問題，是對安全大模型跟進速度最快的客戶群之一。l 金融機構對安全的大模型非常感興趣，但在當前大環境之下協調 AI 算力資源有困難。安全大模型技術與市場研究報告 7 l 軍方對安全大模型的本地化部署、訓練、精調等方面有不同于政府和企業客戶的要求。l 安全大模型的價格戰已經箭在弦上。(二)推薦 1.甲方單位網絡安全與風險管理負責人應當 l 開始考慮使用安全大模型提升安全運營的效率，重新考慮人員規劃與技術投入的比重。l 根據自身 SOC/SIEM

22、/XDR 等運營工具建設情況，選擇相應的安全大模型產品或服務形態，如安全智能體或安全對話機器人。l 開始考慮在數據分類分級、數據脫敏、數據防泄露中引入 AI 大模型用于提升數據安全管理自動化水平。l 在郵件安全網關類產品選擇上應優先考慮采用人工智能大模型的產品；l 規劃好算力問題如何解決。2.網絡安全公司產品負責人應當 l 關注安全大模型對現有安全產品的顛覆性影響，這是網絡安全行業的灰犀牛事件，將對全行業的產品構成產生深遠的影響，有些產品可能會被安全大模型技術消滅，而有些產品的能力將得到大幅提升。l 對安全大模型研發的技術難度有充分的準備，尤其是數據工程。l 對訓練數據的來源給予足夠重視，確保

23、合法合規。安全大模型技術與市場研究報告 8 l 時刻關注 AI 大模型底座的更新換代，及時切換到效果更好的 AI 大模型，并將各有特長的 AI 大模型用在最能發揮各自特長的地方。安全大模型技術與市場研究報告 9 二、人工智能用于解決網絡安全的歷史(一)深度學習技術出現之前，傳統 AI 技術在網絡安全領域中的應用 在深度學習技術成為主流之前，人工智能（AI）在網絡安全領域的應用已經存在了很長時間。傳統的 AI 技術在網絡安全中的應用主要有：1.專家系統 專家系統在網絡安全領域的應用歷史可以追溯到 1980 年代末期至 1990 年代。專家系統是一種利用人類專家知識解決復雜問題的人工智能系統。在網

24、絡安全領域，專家系統被設計用來模擬安全專家的知識和決策過程，以便自動化地識別、防御和應對各種網絡威脅和漏洞。在早期，網絡安全的專家系統主要集中在入侵檢測系統（IDS）和病毒防護上。例如：l 1987 年，安德森（Anderson）提出了一種基于規則的入侵檢測系統的概念，這可以被認為是專家系統在網絡安全中應用的早期例子之一。l 1990 年代初期，首個商業化的入侵檢測產品開始出現，它們采用了專家系統的技術，如 Sun Microsystems 的 Sun Screen SKIP 和 Digital Equipment Corporation 的SecureWorks 等，這些系統能夠利用已知的安

25、全漏洞和攻擊特征來識別潛在的安全威脅。隨著互聯網的快速發展和網絡攻擊技術的不斷演進，專家系統也面臨著不斷的挑戰和需求，包括：安全大模型技術與市場研究報告 10 l 適應性和動態性：網絡安全威脅持續變化，專家系統需要不斷地更新規則和知識庫以匹配新的攻擊特征。l 復雜性管理：隨著網絡環境變得日益復雜，專家系統需要處理更多的數據和情境，提高分析和判斷的精確度。l 集成與自動化：為了提高效率和效果，專家系統被要求更好地與其他網絡安全工具和系統集成，實現自動化的安全防御。2.機器學習算法 2009 年前后，伴隨機器學習技術的一波興起，機器學習技術開始被應用于網絡安全領域。1)支持向量機（SVM）支持向量

26、機是一種監督學習的方法，用于分類和回歸分析。在網絡安全領域，SVM 可以用于惡意軟件檢測、網絡入侵檢測等場景，通過學習區分正常的數據和異常的數據。360 公司的 QVM（Qihoo Vector Machine）引擎是全球第一款基于機器學習（SVM）技術的惡意軟件檢測引擎，2010 年 7 月投入實際使用，是 360 安全衛士的主引擎。未知惡意軟件檢出率99%，誤報率95%，誤報率4%，獨報告警占比達 82.8%，并在實際業務環境中發現高混淆攻擊案例。安全 GPT 自主研判，實現告警降噪 99.8%以上。高級安全運營人員精力充分釋放，工耗降低 25%，安全 GPT 補充了夜間安全監測研判處置力

27、量，實現全天候 7*24 小時安全值守。某頂尖制造企業通過自然語言對話與分析系統交互，快速獲取安全數據、識別威脅模式，從而大幅提高安全運營團隊分析研判的效率。安全負責人表示，深信服安全 GPT 讓運營人員在廣度和深度上都能做全局把控。在廣度上，少量運營人員即可守護數萬資產，每天只需關注安全 GPT 逐一研判后定位的日均 100 條高危告警，準確度超過 97%。在深度上，安全 GPT 對任意一條告警都可解釋，直觀呈現完整分析過程，幫助運營人員更好理解攻擊意圖、完成研判決策。安全大模型技術與市場研究報告 113(五)天融信天問安全大模型方案 1.應用場景 天問是天融信所有 AI 能力的統稱，以大模

28、型、小模型、機器學習等 AI 技術能力為核心，可為用戶提供威脅檢測、安全運營、知識問答、算力管理等能力。1）威脅檢測 天融信防火墻、僵木蠕、IPS、IDS 等產品內置 AI 安全威脅檢測引擎，進行關聯分析、識別 DGA 域名、隱蔽通道和惡意加密流量，阻截攻擊者的入侵行為，利用 DGA 識別模型對域名進行精準的檢測判斷，識別出 DGA 域名，完成對 C&C 通信過程的阻斷，從而實現對高級威脅的防御。2）安全運營 天融信天問大模型系統提供自動化研判、小天人機對話等功能，大幅提升安全日志研判效率，實現更加精準和便捷化的安全運營。針對海量安全日志，系統基于 AI 技術建立機器學習模型，學習歷史告警研判

29、結果與告警來源、告警規則、攻擊源 IP 之間的關聯關系，建立來源、規則、攻擊源 IP 可信性，以此來自動評估新告警的可信度，將高可信度告警推薦給安全人員進行人工確認，簡化安全人員操作過程，加快研判信息獲取。3）知識問答 云上小天是面向天融信及各行業客戶推出的安全問答與能力訂閱服務，依托天問基座大模型能力，天融信將自然語言理解、NER 技術應用于威脅情報的分析、生產，大幅提升威脅情報的精準度和產出效率。產品小天是基于天問基座大模型，以組件的形式嵌入到各類網絡安全產品中，可智能分析客戶提問，理解用戶意圖，快速響應客戶需求。安全大模型技術與市場研究報告 114 4）算力管理 天融信天問智算云平臺專為

30、大模型私有化部署場景設計，可提供強大的計算能力和高效的模型管理能力，平臺能夠管理異構算力 GPU 資源池，并內置開源主流大模型，可幫助用戶簡化大模型準備過程。通過該平臺，用戶能夠快速、高效地構建和部署 AI 應用，進行 AI 訓練和 AI 推理。2.技術方案 天融信下一代可信網絡安全架構（NGTNA）是以網絡安全為核心、大數據為基礎、云服務為交付模式，為客戶構建具備全面感知、智能協同、動態防護、聚力賦能的可信網絡安全保障體系，該架構可覆蓋物理環境、云環境等應用場景，為客戶業務系統的安全、可持續性運行實現賦能。圖 26 天融信融合 AI 的下一代網絡安全架構 安全大模型技術與市場研究報告 115

31、 天融信 NGTNA2.0 架構融合 AI 關鍵技術、平臺及產品能力后，在感知、防護、分析、聯動等層面能力全新升級，實現 AI 全面賦能，進而帶來體系架構整體能力的提升。詳細NGTNA2.0 架構 AI 能力升級如下：架構層 AI 聯動能力 聚力賦能 新增云上小天，以云服務的形式為天融信及客戶提供安全問答與能力訂閱。智能協同 新增天問大模型系統，提供大模型調用服務。大數據分析系統 AI 能力升級，向下驅動各類 AI 安全引擎，同時支持對各類探針數據進行深度分析。全面感知、動態防護 防火墻、IPS、IDS、僵木蠕等安全產品內嵌基于機器學習的 AI 檢測引擎，滿足本地化的安全防護需求。產品內嵌產品

32、小天，以 AI 助手提供本地的知識問答服務，提升客戶的安全運營效率，同時與天問大模型系統、大數據分析系統實現聯動，調用大模型知識問答服務。3.部署形態 天問系列產品支持本地部署、云端訂閱、嵌入式部署，威脅檢測引擎本地部署在防火墻、僵木蠕、IPS、IDS 等設備中，天問大模型系統、云上小天以云服務方式部署，提供云端訂閱服務，產品小天嵌入到各類網絡安全產品中，以組件形式為客戶提供智能問答服務。安全大模型技術與市場研究報告 116 4.硬件要求 支持 Intel CPU+NVIDIA GPU、鯤鵬 CPU+昇騰 GPU,模型推理最低 GPU 顯存 16GB及以上。5.效果評估 天融信天問大模型結合機

33、器學習、深度學習等技術，利用大規模數據進行訓練和優化，以提升安全研判分析的效果和能力，在實際應用中帶來多方面的效果：1.智能自動可以更準確地識別告警，從而減少誤報和漏報的情況，提高真實告警的檢測效率。實際使用顯示，每人天研判告警數目可提升一倍以上。2.通過學習大規模的數據，可以識別和理解更復雜、更隱蔽的安全威脅和異常行為，從而提高研判分析的準確性和精度。實際使用顯示，有效告警率可提升 5 倍以上。3.可以識別潛在的安全威脅和漏洞，幫助安全團隊及時發現并解決安全問題，降低安全風險。6.特色 l 采用于機器學習、深度學習、自然語言處理、大語言模型、小語言模型、超微語言模型等多種 AI 技術。l 將

34、 AI 技術全面應用于天融信基座大模型平臺、安全軟件平臺、安全硬件平臺、安全管理平臺、天問算力平臺等平臺中，提升平臺 AI 能力。l 借助平臺能力升級，各安全產品即可快速具備全面的 AI 安全能力。l AI 能力覆蓋全面，涵蓋威脅檢測、安全運營、知識問答、算力管理等場景。安全大模型技術與市場研究報告 117 7.標桿客戶 天問系列安全產品覆蓋威脅檢測、安全運營、知識問答、算力管理等應用場景，目前已在金融、運營商、能源等行業內多個大型客戶落地應用，并取得了一定的成效。在某金融客戶場景中，用戶部署了天融信大數據分析系統，通過內置天問大模型，實現大模型賦能；增加產品小天功能，實現人機對話，支撐安全問

35、題智能問答；建立告警分析、漏洞分析、日志分析等插件，對人機對話中的安全運營指令進行接收響應。通過該系統部署率先在安全管理工作中引入了生成式人工智能技術，實現了行業內試點示范，通過項目建設提供的虛擬安全專家，提升了安全運營效率。安全大模型技術與市場研究報告 118(六)中國電信安全見微安全大模型 1.應用場景 電信安全見微安全大模型通過 AI 賦能安全態勢感知平臺，整合用戶網絡安全類數據，開展面向不同安全場景的多維智能分析。聚焦安全運營場景中的告警疲勞、效率低下、自動化程度低等問題，讓大模型充分發揮價值，實現自動化異常行為分析、自適應防御策略生成、告警評估和攻擊研判，讓安全運營人員從勞動密集型的

36、任務中得以解救，突破運營效率瓶頸，全方位賦能中國電信的網絡安全保障水平。2.技術方案 根據不同的應用場景可選擇不同的基座模型，如 Llama3-70B、Qwen1.5-72B 以及Telechat-12B 等。在預訓練和微調過程中貼合用戶生產環境數據特點，訓練出更符合用戶使用需求、更能解決用戶痛點的私有化安全大模型。整體技術架構如下圖，數據源采用運營平臺各類原始日志及告警數據作為大模型輸入，經數據清洗告警研判告警聚合事件生成等流程后，通過 API 接口反饋給運營平臺。安全大模型技術與市場研究報告 119 圖 27 電信見微安全大模型項目技術架構 1）告警篩選 篩選的目的是從眾多告警中識別出真正

37、需要關注的告警，去除誤報，避免信息過載。使用電信安全見微安全大模型后，將在篩選階段優先去除誤報，避免信息丟失。進入研判階段，則以真實性為優先級。2）重塑聚合 告警聚合是將多個相關聯的告警合而為一，以減少告警處置工作量進而提升處理效率。聚合核心是生成告警指紋的生成算法。此階段大模型會根據告警信息動態生成一個或一組告警指紋，后續可根據指紋優先級對告警進行歸并。3）事件研判 事件研判是對聚合后的告警信息進行深入分析，判別客體由原始告警轉變為事件，進一步確定事件的真實性、優先性、危害性。安全大模型技術與市場研究報告 120 4）事件處置 處置階段是對經研判確認需采取行動的事件進行處理。此階段將使用電信

38、安全見微大模型將研判結果與 Agent 處置工具結合自動化處理掉。對于無法自動化處理的告警，會生成處置建議輔助人工進行處置。5）運營分析 運營分析階段是對整個告警處理過程進行回顧和評估。通過對全局告警進行全面分析，從而優化未來的響應策略和相應流程。通過自動收集關鍵數據點和生成易于理解的報告，電信安全見微安全大模型將幫助使用者快速確認安全事件，總結事件處理的效果，并形成對應的文檔記錄，供使用者作進一步事件復盤。圖 28 見微安全大模型側具體路線圖 3.部署形態 電信安全見微安全大模型采用純軟件形式進行交付，與安全運營平臺結合，形成從威脅識別、威脅分析、告警壓降到事件生成的自動化處置能力。安全大模

39、型技術與市場研究報告 121 4.硬件要求 推薦：英偉達 A100 80G 4 張，或同等算力資源替代。低配（僅推理）：V100 32G 4 張，或同等算力資源替代。國產型號尚在適配中，具體算力需求根據業務需求調整。5.效果評估 在告警研判方面，利用大模型分析能力構建高置信的告警發現引擎，從原始日志或告警中篩選出真實告警，并給出研判依據和處置建議。見微安全大模型研判準確率超 98%，提供的處置建議采納率達 50%。在告警壓降方面，通過指紋、攻擊鏈等智能聚合方式，協助安全運營平臺實現告警壓降能力，降噪比可達到 99%以上，整體運營效率提升 20%以上。6.特色 l 電信安全見微安全大模型基于中國

40、電信“阡陌數聚”大模型數據集，匯聚萬億級的運營商大網安全日志、威脅情報等數據，擁有區別于傳統安全廠商的海量、多樣化的基礎數據集。l 插件化、服務化落地模式，無需改變客戶現有的安全大模型解決方案，能實現快速落地應用，支持多類平臺、更具普適性。安全大模型技術與市場研究報告 122 7.標桿客戶 項目背景：項目背景：由于安全監控需要，中國電信股份有限公司四川分公司（四川電信）安全運營人員每日需處理海量由于安全設備接入而產生的原始告警日志。原有安全運營平臺無法在短時間內實現對告警信息的有效處置。項目成效：項目成效：接入見微安全大模型后，四川電信告警壓降率達到 99%以上，研判準確率達到 95%以上。安

41、全大模型技術與市場研究報告 123 免責聲明 本報告所用調研數據均采用樣本調研方法獲得，數據分析和相關結論因受樣本來源和數量的影響，未必能夠完全或唯一反映真實的行業及市場現狀。所以，本報告只提供給個人或單位用于必要參考，數說安全不對任何依據本報告所作的其他分析研究和判斷決策負責。致謝 本報告的數據采集工作得到了各界的大力支持，各項調查工作得以順利進行，在各相關單位、調查支持網站以及媒體等的密切配合下，基礎資源數據采集才能及時完成。在此，謹對他們表示最衷的感謝！數說安全介紹 專業的網絡安全產業研究平臺，以數據為基礎，為網絡安全監管部門、網絡安全企業、網絡安全產品與服務客戶、網絡安全資本市場等受眾提供研究報告、顧問咨詢、媒體傳播、數字化營銷工具等服務。關注公眾號 數說安全合作郵箱： 賽博英杰合作郵箱：