首頁 > 關于我們 > 新聞動態 > 深度解讀

步入智能新時代 啟明星辰打造網絡安全垂直領域大模型

發布時間 2023-09-13

ChatGPT引發了人們對生成式人工智能、大模型的高度關注。各行各業在不斷運用大模型進行業務融合創新和賦能垂直領域的同時,其自身安全問題以及由此帶來的安全風險問題也同樣需要重視,以趨利避害,實現人與AI的共生。


正如啟明星辰集團CEO嚴望佳在2023年數博會上所倡導的,“通過加強理論和技術研究,為智能化高速引擎安裝‘方向盤’和‘制動器’,構建以人為本的數字善治生態體系,實現人與人工智能協同共生演化?!?/p>


啟明星辰集團CEO嚴望佳出席2023中國國際大數據產業博覽會


長期以來,網絡安全行業面臨著業務場景復雜、安全設備眾多、告警數據量大、事件分析處置嚴重依賴專業安全人員經驗等挑戰,而大模型體現出的通用人工智能,正是應對上述挑戰的理想解決方案。目前國內外一些互聯網企業和專業安全公司,已開始嘗試將大模型應用在安全產品或服務中,提升產品能力和服務效率。


啟明星辰基于自身在網絡安全領域的多年積累,圍繞人工智能賦能安全以及安全的人工智能等角度,打造了網絡安全垂直領域大模型,并應用于網絡安全業務中,主要利用了大模型所具備的世界知識和思維鏈能力:


1、豐富的世界知識:大模型在訓練過程中讀取了各個領域的海量語料庫,在其參數中存儲了大量客觀世界的事實性知識。網絡安全業務是知識密集型業務,對安全設備產生的告警做研判、響應和取證,依賴與告警相關的安全知識,這也是過去非常依賴安全人員個人經驗的環節。將大模型應用到安全業務中,可以在業務過程中注入相關的安全知識,提升安全人員的認知。


2、強大的思維鏈能力:思維鏈是指將復雜任務分解為多個較簡單的中間任務,再分別執行的能力。大量安全任務都需要分解為多個步驟執行,例如告警關聯分析、安全事件處置等。大模型應用到安全業務,可以為安全任務生成正確的處置流程,提升安全人員的效率。


啟明星辰在將大模型融入網絡安全業務過程中,解決了大模型應用落地的一系列問題,涵蓋大模型微調優化、計算資源獲取和模型升級迭代等方面:


1、大模型微調優化:由于安全行業的特殊性和專業性,互聯網上可公開獲取的安全資料不夠全面,對于特定問題缺乏有針對性的解決方案。這就導致基于開源語料庫訓練產生的大模型,對于安全問題的解答缺乏實操性。


在訓練優化階段,啟明星辰對國內外開源大模型進行了廣泛測試,發現開源大模型均存在不同程度的無效回答(內容雖然正確,但過于寬泛無法實施)、幻覺(內容不符合安全常識)等現象?;诖?,利用公司在安全檢測和運營領域的多年積累形成的高質量安全案例庫,基于LoRA方法微調基座大模型,并設計了大量優化后的Prompt模板,使得優化后大模型生成內容的質量有了顯著提升。此外,利用公司積累的安全知識庫打造本地向量數據庫,基于Langchain框架實現基于本地知識的問答系統,進一步提升了生成內容的可靠性。


2、計算資源配置:大模型的訓練和推理都需要大量的計算資源,尤其是GPU資源,而傳統企業往往不具備。啟明星辰通過借助移動云的算網優勢,將大模型的訓練優化和推理都部署在了云端,這樣不僅解決了自身的資源需求問題,也有助于未來借助移動云,對云上租戶提供基于大模型的安全服務。


3、模型升級迭代:網絡攻擊方式在不斷變化,大模型的安全能力也需要持續迭代,才能在真實場景中滿足業務要求。只有基于真實反饋對模型進行不斷優化,形成能力提升的閉環,才能打造可用的安全垂直領域大模型。由此,啟明星辰將安全大模型作為態勢感知平臺的“智能安全助手”,通過安全運營人員在使用過程中的反饋結果,持續對大模型進行優化升級,這就保證了大模型的能力能夠不斷對齊安全人員的預期。

其實,早在2022年,啟明星辰就發布了面向安全運營業務的安全智慧生命體“PanguBot(盤小古)”,初步實現了對安全運營人員指令的語義理解、安全策略制定、執行結果反饋等能力。



當前,由啟明星辰打造的網絡安全垂直領域大模型,已經作為“PanguBot(盤小古)”升級版的大腦,賦予了“盤小古”更強大的安全智能。


在安全運營業務中,“盤小古”可作為安全分析人員的智能助手,以自然語言的方式接收安全任務并反饋結果,從而擴展安全運營平臺功能、提升一線安全人員工作效率。


在將安全數據從日志到告警、再到事件的逐層提煉過程中,基于大模型的智能助手都可以起到關鍵作用:


1、日志分析能力:日志分析是安全運營中的基礎工作,以往需要安全人員將分析需求實現為可運行的SQL語句,再提交到日志數據庫中運行,分析運行結果,整個過程費時費力。


借助大模型的思維鏈能力,安全人員可以用自然語言的方式提交任何的分析需求,大模型在理解任務內容后將其拆解為一系列動作:選取合適的數據表;利用Text-to-SQL能力根據需求生成SQL腳本;將腳本提交到日志庫獲取返回結果;根據返回內容組織合適的圖文方式等,整個流程都由大模型自動實現。有了大模型的加持,安全人員日志分析的效率有了顯著提升。


2、告警解讀能力:在從日志中分析出可疑告警后,下一步就需要對告警有效性做研判。傳統做法是安全人員根據自己的經驗,結合告警的上下文和相關資產信息,做出告警是否有效的判斷,這又是一個既費時、又嚴重依賴安全人員經驗的過程。

借助大模型所存儲的安全知識,智能助手能夠對告警內容、上下文信息、攻擊手法、資產屬性等要素進行專業分析和解讀。有了這些豐富的解讀內容,安全人員研判的準確率和效率會有明顯提升。


3、事件處置能力:對于確定為真實的安全事件,需要盡快執行精準的響應策略,既要能夠有效阻斷攻擊行為進一步發展,又要將阻斷的影響范圍降到最小。傳統做法是安全人員根據實際網絡環境和安全設備部署情況,下發相應的阻斷策略,整個過程時效性低、對安全人員的依賴度高。


借助大模型的思維鏈能力,智能助手能夠根據告警信息和安全設備信息,自動生成處置策略,并調用安全設備的API接口實現策略自動執行,整個過程不需要安全人員參與,大大提升了事件處置的效率。


目前基于大模型的智能安全助手,已經在用戶的安全運營業務中進行了實驗,在賦能安全運營、提升分析效率、提升處置時效性等方面展現出良好的應用前景。未來隨著大模型的進一步優化,安全智能助手將會作為移動云上的一項標準安全產品,對移動云上的用戶提供智能化安全服務能力。

上一篇 下一篇