首頁 > 關于我們 > 新聞動態 > 深度解讀

走進安全行業大模型

發布時間 2024-04-11
自ChatGPT發布以來,圍繞大模型,個人、企業乃至國家,都陷入愈發劇烈的變革中。它的影響力已經遠超技術范疇,成為全球技術、產業和國際競爭的綜合戰場。然而,大模型的落地并非一帆風順,從行業數據的收集到實際應用場景的結合,似乎每一步推進都面臨著多重難題。本文主要介紹基礎大模型和行業大模型的必要性,并通過L0-L2分層架構來加速大模型落地進程以及安全大模型的應用場景等內容,以便幫助大家更好地理解和落地大模型。

在大模型出現之前,以機器學習、深度學習、規則推理等為代表的人工智能技術已經廣泛應用于網絡安全領域了。那么為什么還需要大模型呢?


為什么需要大模型?


因為大模型不僅具備通用智能和知識,還具備知識整合提取能力和邏輯思維能力。理想的大模型像是人類的助手(或者說副駕駛),而不是一個可供查閱的工具書。


以通過深度學習訓練得到的專用小模型為例。小模型的訓練需要大量的標注數據,而且只能解決單一問題。相比之下,大模型的通用性靈活很多,甚至只需要幾條簡單的樣例,就能具備新能力,這就使得大模型有更廣泛的應用場景。


OpenAI在2020年提出的縮放定律(Scaling Law)指出,模型的最終性能主要與計算量,模型參數量和數據大小三者相關,而與模型的具體結構(層數/深度/寬度)基本無關。


而大模型相比于之前的小參數量語言模型,在以上三個方面都做了巨大提升,并顯現出一些涌現能力(世界知識,指令遵循,逐步推理等)。


通俗來講,基礎大模型由廣泛的通用數據(如網頁、百科、書籍等)訓練得到,它像是一個可以和你對話的百科全書,了解卻不精通各種知識,同時具備一定的邏輯思維能力,而這些都是過往小模型很難做到的。


截至2023年底,國內已發布的通用大模型超過了200個,那么為什么還要打造面向特定領域或行業的行業大模型呢?


為什么需要行業大模型?


上文提到了理想的大模型所具備的能力。然而,性能受限于縮放定律,基礎大模型實際應用起來卻并沒有想象中那么得心應手。大模型使用通用語料庫進行訓練,而安全行業的數據通常是特殊且有限的。


這導致 LLM 缺乏安全相關數據和專業知識,對特定安全問題的理解能力匱乏,無法提供準確或深入的專業解釋。


研究表明,通用大模型在安全問題上生成答案的準確率大都不足50%,對中文問題回答的準確率更低。下圖展示的是不同模型在網絡安全問題集上回答的準確率:




圖片來源:Miao, Yukai, et al. "An Empirical Study of NetOps Capability of Pre-Trained Large Language Models." arXiv preprint arXiv:2309.05557 (2023)


因此,通過增量預訓練(Continuous Pre-train,CPT)等技術為大模型注入安全行業知識,就成為了安全行業大模型應用的必要手段。缺少這個步驟直接對后續安全任務做監督微調(Supervised Fine-tuning,SFT),大模型則或多或少會面臨知識匱乏的問題,隨即出現“幻覺”現象,對不懂的問題做出一本正經的回答。


從前面的描述可以看出,同樣都叫“大模型”,但具體含義和適用范圍上是存在差異的。那么大模型還有哪些層次劃分呢?


L0-L2大模型分層架構


為了加速大模型落地進程,可將大模型劃分為L0基礎大模型、L1行業大模型、L2應用大模型三個層次:


L0基礎大模型:主要包含使用通用知識預訓練得到的基座模型(如九天、文心一言、通義千問等),用來為大模型的基礎能力提供支撐。L1行業大模型:則是使用行業知識增量預訓練得到行業模型,為大模型注入領域知識。在安全行業,我們需要的就是安全大模型。L2應用場景:是通過各種技術使L1行業大模型適配于下游應用場景的方式,專注于在特定任務上取得優秀的效果。


通俗來講,L0基礎大模型像是學習所有科目的高中生,L1行業大模型類似于選定專業的大學生,L2應用大模型則是選定特定方向的研究員。這種架構的優勢在于,將大模型應用于業務的步驟流程化,加速整體落地進程,降低落地成本。同時,對于L0-L2層次的劃分,也讓業務數據的沉淀更加有條理,方便數據不斷回流到大模型,不斷優化大模型智能水平。




在我們關注的網絡安全領域,有了安全大模型后,具體可以應用在哪些場景中,為我們的日常工作帶來能力和效率的提升呢?


安全大模型的應用場景


安全大模型在L2層面具有廣泛的應用場景。安全大模型通常允許用戶通過自然語言輸入的方式完成安全運營的日常操作,根據用戶輸入,按需調用已有的小模型和產品功能,實現大小模型協同的智能算法體系。


這種自然語言調用功能模塊的方式,可以利用大模型的知識儲備和理解推理能力,為領域問題提供專業的解決方案。同時,對于已經有相關經驗的安全專家,則可以通過大模型提升常規分析工作的效率。即“幫助普通人成為專家,幫助專家提升效率”。


下面列舉一些常見的安全大模型應用場景: 


應用場景1:安全運營

  

安全報告:大模型往往可以在幾分鐘內匯總指定范圍內的所有告警事件,并且生成綜合性安全報告,供安全專家查看。


告警解讀:實現對于安全事件的關鍵要素,包括告警內容、事件類型、攻擊手法、資產屬性等進行專業分析和解讀,生成解讀報告,輔助用戶告警研判。


告警溯源:對于特殊的告警,安全專家可以通過大模型進行進一步溯源分析,要求大模型根據終端日志生成溯源圖等。


響應處置:基于事件信息和安全設備部署信息,由大模型自動生成事件處置策略,上報用戶進去修改或確認, 實現對攻擊行為的快速響應。


應用場景2:知識整合


安全情報:大模型可以利用整合不同來源的安全情報源,并在用戶環境中自動適配。在安全專家進行事件調查時,為安全告警提供上下文。


安全問答:通過構建安全知識庫,大模型可以回答用戶的安全問題。用戶可以查詢各種網絡安全、主機安全等方面的問題,并從回答中獲取專業的安全信息和建議。 


應用場景3:代碼管理


漏洞挖掘:通過學習大量代碼和漏洞案例,大模型可以積累豐富的漏洞代碼分析經驗和專業知識,從而發現代碼中存在的潛在漏洞或風險。


漏洞修復:大模型可以根據漏洞分析結果,生成補救步驟、自動執行復雜的風險緩解活動或在無需用戶交互的情況下修補軟件,這大大加快了管理漏洞和提高組織安全性的速度。


惡意腳本:大模型可以分析和解釋惡意腳本行為,協助用戶發現存在威脅的腳本。它允許用戶導入腳本并分析其是否存在惡意行為,檢測和緩解潛在威脅,標記漏報和清除誤報。 


應用場景4:合規監控


合規審計:許多企業必須遵守行業標準以保護公司數據并滿足監管要求,人工審核通常較為乏味,大模型可以幫助評估組織對行業標準、法規要求和內部策略的合規性。


數據大屏:大模型可以自動生成這些數據大屏來監控組織數據的合規性,可以幫助安全專家輕松跟蹤合規目標的進度并向審核員展示。


合規修復:大模型可以通過合規性審計結果,提供相應的修復建議,幫助企業達到監管標準。


持續更新:隨著行業標準的更新和管理機構更改其法規要求,合規審計往往需要做出相應變化。大模型可以快速的跟進這些變化,并提供指導建議。

上一篇 下一篇