一年前，ChatGPT問世，以強大的信息整合推理和語言對話能力驚艷全球，隨后，以大語言模型LLM（以下簡稱“大模型”）為代表的AI技術應用全面席卷，賦能千行百業，重構業務流程，加速產業升級。

在這一年里，相信業界同仁都能切身感受到，網絡安全行業也在全面擁抱這輪科技熱潮，非常迅速地步入了安全大模型的爆發期。

國際上，谷歌、微軟等跨行業巨頭積極推出面向安全領域的垂直大模型，并通過收購專業安全廠商（如谷歌收購威脅情報廠商Mandiant）豐富數據、集成能力。海外頭部安全廠商持續投入、布局，如Palo Alto Networks推出基于AI重構的SOC平臺XSIAM，Crowdstrike發布Charlotte AI運維助手，Cloudflare在數據安全方向推出Cloudflare One for AI以保護用戶使用大模型。

國內廠商的探索同樣踴躍，深信服、360、奇安信、天融信、啟明星辰、綠盟科技等綜合安全廠商，或基于微調或基于預訓練，紛紛對外發布安全大模型，加持進化多種安全能力。細分方向的AI實踐用例也絡繹不絕，如海云安融合大模型技術的開發者安全助手可提供智能高效的代碼安全檢測分析及修復能力，眾智維科技的RedGuard紅色衛士構建了基于1億+數據量的知識圖譜問答助力高效安全運營，微步在線推出安全分析XGPT集GPT模型、情報數據和知識庫底層能力可協助快速解決安全分析中的各種問題。（點擊可查閱更多國內安全廠商的實踐）

長期以來，網絡安全行業不斷地被各種新概念、新技術推動著向前，持續創新的同時，這種風氣引發的內卷也導致了很多產品同質化嚴重，或者停留于紙上談兵難以落地。在大模型劇烈攪動行業的當下，我們不時聽到另一種業界聲音——安全大模型只是又一個被追捧的熱點，市面上的用例更多是新瓶裝舊酒。

我們不禁想要撥開迷霧，大模型之于網絡安全行業，是一場貼金的、空心的狂歡，還是我們正在探索可能重塑行業發展升級的重要機遇？

網絡安全領域引入AI技術早有實踐

理性來看，AI在網絡安全領域的應用，并不是隨著一系列通用大模型崛起才帶來的，過去十年，多種安全工具和產品已經逐步采用AI技術來提升能力。

比如在攻擊檢測方向，基于AI的垃圾郵件檢測讓識別率得到大幅提升；深度學習網絡、對抗神經網絡等技術應用到網絡入侵檢測取得了明顯效果；利用強化學習方法可以規避基于監督學習的惡意軟件檢測模型的弱點。

對應地，在攻擊防范方向，機器學習和深度學習算法可以實現漏洞自動化修復，及時彌補系統缺陷；通過學習已知漏洞的潛在特征，AI可以具備預測0Day漏洞、未公開漏洞等未知威脅的能力。

另外，在安全運營方面，AI已經實現自動化異常行為分析、自適應防御策略生成、告警評估和攻擊研判等，降低人工參與比例，突破運營效率瓶頸。今年9月，思科280億美元收購Splunk刷屏安全圈，正是AI驅動安全的一次強有力認可。

大模型超能力引爆安全領域應用暢想

而大模型作為大量文本數據訓練的深度學習模型，可以理解為大數據 + 高算法 + 強算力的AI產物。浙商證券在相關報告中指出，大模型的本質是理解語言意圖并根據意圖進行任務分配，而一個行業是否具有語言體系以及流程性工作的占比是其能夠被大模型賦能的關鍵標準。

對于網絡安全行業而言，安全產品具有較為標準的語言體系，安全服務涉及大量流程性工作，這就使得大模型在網絡安全行業的應用成為可能且值得期待。進一步，我們可以從大模型本身具備的能力來分析其面向網絡安全的應用可能性。

大模型最基礎的一個能力是上下文語義理解分析能力，表現在可以推斷文本的意義、上下文關系和語義信息，發現文本數據中的關聯性和相似性，進而可以做文本的關聯和聚類。面向網絡安全，威脅情報和異常流量監測的基礎數據是威脅情報報告和網絡流量包，均屬于文本特征，因此可以基于大模型的語義分析能力開展進一步開發，有助于完成威脅情報共享、異常流量發現等任務。

大模型備受關注的原因之一是其具有一定的代碼理解能力，研究人員通過在大規模代碼庫進行預訓練，使得大模型可以學習到代碼的語法規則、命名約定、函數調用等常見的代碼結構和模式。APT攻擊中經常使用的惡意軟件、漏洞利用大部分依賴于代碼編寫，因此能夠利用大模型識別常見的代碼結構、設計模式、漏洞模式等并與已有的知識進行關聯，在遇到類似的代碼結構時能夠快速理解其含義和發現可能的安全問題。

大模型還具有復雜推理能力，這也是標志著小模型與大模型差異的關鍵因素，得益于基于思維鏈（Chain of Thought，CoT）訓練的涌現能力，大模型能夠將大問題拆分成一個個小問題，逐步得出最終的正確結果。網絡安全領域的攻擊溯源和響應處置正需要大模型的復雜推理能力，幫助安全運營團隊實現自動化溯源攻擊路徑/目標、自主化響應。

基于以上優越的能力表現，大模型在網絡安全領域是具備諸多潛在應用場景的，包括異常流量檢測、攻擊行為發現、攻擊溯源分析、漏洞利用排查、安全運維審計等等，當安全產品、平臺或服務能夠有效融合這些AI加持的安全能力，自然可以有效助力安全防御水平的提升。IDC于近日發布的《大模型在網絡安全領域的應用市場洞察》報告總結了市場上目前比較主要的幾個實踐方向：

• 安全運營
• 
  

這是基于大模型構建安全能力中最活躍的領域。將大模型與態勢感知平臺、安全運營中心（SOC）、擴展檢查與響應（XDR）系統等集成，安全運營人員可以使用自然語言與安全系統溝通，并調用各類基礎安全工具，極大地簡化和加速日常工作流程，降低安全運營對高級分析師的依賴。

• 威脅情報
• 
  

將生成式AI與威脅情報集成，幫助安全分析師通過自然語言進行威脅情報的查詢和解釋，簡化甚至自動化部分判定流程，這在效率和準確性上的提升是顯而易見的。隨著威脅情報價值的提升和安全大模型的發展，兩者的協作將發揮出巨大潛力。

• 威脅檢測與分析
• 
  

大模型作為企業安全防護體系的“大腦”，幫助安全分析師通過自然語言智能聯動各類威脅檢測引擎、AI小模型、安全工具及產品。利用大模型強大的計算能力和邏輯推理能力，對多源實時數據進行關聯分析，提升大模型對異常行為、潛在威脅，尤其是未知威脅的檢測效率和準確性。這是對原有基礎安全檢測技術能力的聚合與增幅，而非替代。

• 應用安全
• 
  

生成式AI可以從軟件開發生命周期的起始階段編寫更安全的代碼，并提升和簡化檢測和修復代碼中安全缺陷的能力，增強應用程序的安全性。IDC同時指出，現階段還無法通過生成式AI幫助代碼編寫者實現應用程序安全性的巨大改進，產品還缺乏解釋應用程序完整上下文的能力，因此難以防范復雜的代碼安全風險。

• 數據安全
• 
  

大模型在數據安全領域的應用也已經被提上日程，特別是在數據分類分級中的應用前景令人充滿期待。目前，眾多數據安全廠商已經在運用機器學習、深度學習等技術來輔助進行敏感數據發現、分類分級、威脅分析等工作，隨著安全大模型的加入，數據安全治理的效率和準確性將進一步提升。

落地有效好用的安全大模型道阻且長

如前所述，網絡安全是大模型比較理想的應用領域，那么，業界目前存在的疑惑或爭議或許來源于，基于安全大模型的產品是否具備經市場驗證認可的能力，理論和實際之間是否存在落差。

作為一種尚處于初級探索階段的新興技術及應用，大模型尤其是垂直領域大模型，在構建過程中仍然面臨很多難點。中國電信研究院相關專家指出，網絡安全領域高質量數據集匱乏、大模型數據調參消耗資源過大、基于大模型生成答案的可信度不穩定、AI人才與安全領域人才專業知識不互通，這幾方面擺在眼前亟需攻克的難點，為安全大模型落地應用帶來巨大挑戰。奇安信集團總裁吳云坤表示，安全大模型達到工業級應用，需要滿足三個關鍵條件，一是工業級應用需要高質量知識數據、專家隊伍、實戰經驗和場景支撐，二是工業級應用必須基于多種安全任務的強化學習和頂尖專家的反饋訓練，三是工業級應用需要面向安全生產場景中的任務和應用強化實戰能力。

可以說，到目前為止，如果類比ChatGPT4帶給所有人的震撼，屬于安全大模型的這個驚艷時刻還沒有到來。網絡安全領域積極涌現的嘗試性應用是非常積極的信號，但是在探索過程中，我們也需要避免陷入無序內卷或炒作包裝。

接下來，安全419將從第三方產業觀察視角，根據安全大模型的具體可應用場景及方向，分維度、成系列地來觀察、分析、探討技術研究成果和產品落地情況，以期為業界呈現大模型在網絡安全領域的真實應用和未來趨勢。在此也歡迎在安全大模型及AI領域有所思考探索、自研發布或開展落地合作的安全企業與我們聯系，共同分享見解展示成果。

隨著AI技術不斷迭代演進，我們有理由相信，大模型在網絡安全領域的應用前景將更加廣闊，實現AI驅動的高效、精準、自動、智能的安全未來可期。

參考資料：

《大模型在網絡安全領域的應用市場洞察》，IDC

《大模型在網絡安全領域的應用場景》，《通信企業管理》2023年第10期