“AI+Security”系列第3期（四）：360安全大模型业务实践

近日，由安全极客、Wisemodel 社区、InForSec 网络安全研究国际学术论坛和海升集团联合主办的“AI + Security”系列第 3 期技术沙龙：“AI 安全智能体，重塑安全团队工作范式”活动顺利举行。此次活动吸引了线上线下超过千名观众参与。

活动中，360 数字安全集团安全大模型技术团队负责人黄绍莽发表了题为“360 安全大模型系统”的主题演讲，从大模型赋能数字安全以及 360 安全大模型应用场景探析等角度深入剖析了安全大模型应用，让我们对大模型赋能安全应用有了更为深入的理解。

大模型引领数字安全新趋势

在整个网络安全领域，大模型作为新质生产力，正逐步颠覆传统“卖盒子、堆产品”的安全模式，推动安全行业向智能化演进。尤其是随着大模型的出现，人工智能技术与安全产品深度融合，全面赋能，改变了传统的安全运营模式。这一变革不仅重塑了“安全知识”、“安全研判”和“安全处置”，还将整个安全行业引向智能主义时代。

那么现阶段安全大模型具体能解决安全体系中的哪些痛难点问题呢？黄绍莽先生表示，现阶段安全大模型主要解决了如下四个痛点问题。

其一，解决安全产品协同难的问题。各个厂家的安全产品 “烟囱林立”，难以协同工作，难以为用户形成体系化的防御能力。

其二，解决高阶安全能力不足的问题。国家级对抗力量入场，高级威胁日益增多，现有安全设备和人员安全能力略显不足，容易遗漏高级威胁。

其三，解决安全运营效率低下的问题。安全运营基本依赖人力，无法实现自动化，效率低下。

其四，解决安全专家缺乏的问题。安全人才培养周期长，高端安全专家稀缺。

实践证明，安全大模型的应用为安全体系带来了显著的“降本增效”效果。它促使安全体系形成自动化体系协作，构建起严密的防御体系，进而形成强大的战斗力。同时，安全大模型还能辅助提升高级安全能力，大幅提高安全运营效率。

360安全大模型框架结构

在当前 “百模大战” 的背景下，360 凭借在安全领域的深厚积累，成功打造出具有独特优势的安全大模型，将 AI 技术与网络安全深度融合。360 安全大模型 3.0 版本在技术基础和应用策略上实现了创新突破。

首先，数据制胜是 360 安全大模型的核心策略。数据的质量和数量是训练高水平大模型的关键。360 经过 18 年的积累，构建了全球独有的高质量安全数据样本库，其中包括 APT 信息、全球网络资产测绘信息以及实战化攻防技战术数据等，规模高达 300 亿。这些丰富的数据为大模型的高效训练奠定了坚实基础。不仅如此，360 还具备高效使用数据的能力，对于终端行为数据、网络流量数据等专业数据，通过精洗语料、精准标注、调整模型结构等技术手段，使模型得到极大的有效利用，从而大幅提升模型的推理精度和泛化能力。

其次，类脑分区协同（CoE）架构是 360 安全大模型的独特之处。与一些厂商采用开源模型加专用知识库的模式不同，360 自研大模型结构，将大量模型参数按照任务类型进行分区，每个分区相当于一个专家模型。在执行任务时，不是激活所有参数，而是根据具体需求灵活调用 “语言中枢”“规划中枢”“判别中枢” 等功能模块。这种架构在提升推理效率、降低训练成本的同时，有效解决了多任务冲突问题，实现了任务推理、训练效率与模型可解释性的平衡。

此外，针对大模型在实际业务中的深度应用，黄绍莽先生表示，360 提出了 “小切口、大纵深” 的策略原则。“小切口” 是将复杂的安全任务分解为多个小场景，对于传统方法能较好解决的场景继续采用传统方法，让大模型聚焦于其优势小场景。在选择小场景时，需考虑大模型能力的成熟度、场景数据的准备度及场景容错率。“大纵深” 是在 “小切口” 的基础上，将安全业务与大模型能力深度融合，真正解决用户痛点，提升整体防御效果。这一原则的有效实施依赖于两个方面：一是对安全领域的深刻理解，确保大模型能够贴近安全专家的工作流程，与实际业务需求高度契合；二是大模型需要与安全知识体系深度融合，通过模型训练真正实现安全大模型的垂直深度应用，而非简单地将数据挂接到模型上。

而且，360 安全大模型引入 “工具增强（TAG）” 技术来解决大模型应用过程中可能出现的 “生成式幻觉” 问题。TAG 技术结合智能体框架，从知识生成和工具调用两方面进行强化，并通过引入纠错反馈机制，大幅提升了模型在安全问答和工具使用中的整体准确性。

黄绍莽先生表示，目前，360 安全大模型不仅与自有全线安全产品深度融合，还在客户侧安全体系中广泛应用。从终端安全、流量检测到安全运营平台，360 安全大模型全方位赋能各类安全任务场景。以 “含 AI 量” 为指标，大模型在安全运营、威胁研判分析、高阶威胁狩猎及智能响应处置等多个场景中已实现 L3 级别的 “安全场景自动化”，能够自主完成任务分解、工具选择及进度控制，极大地减轻了人力负担。

通过持续优化与技术迭代，360 安全大模型将进一步赋能更多安全产品和服务，不断推动智能安全运营向更高自动化水平迈进。

360安全大模型应用场景探析

目前，360安全大模型在多个典型场景中都得到了广泛应用，详细如下：

1）自动化高级威胁狩猎

海莲花（OceanLotus）APT攻击是一种典型的高级持续性威胁（APT），攻击者通过精心策划的多步骤行动，逐步渗透目标系统并窃取敏感信息。

针对海莲花APT攻击，360安全大模型结合其先进的AI技术和智能体框架，实现了全流程的智能化猎杀。具体步骤如下：

· 自动生成猎杀任务：当EDR（终端检测响应）和NDR（网络检测响应）等安全工具检测到钓鱼邮件中的恶意执行程序尝试修改系统配置时，系统自动触发猎杀任务。

· 任务理解与规划： 安全大模型的语言中枢接收到猎杀任务后，迅速理解任务需求。随后，规划中枢对任务进行分解，制定详细的行动方案，包括具体的调查步骤和目标。

· 逆向追踪溯源：判别中枢从EDR、NDR和其他平台中提取历史事件、日志等信息，并通过智能体调用溯源辅助工具，增强溯源能力。通过多种信息的交叉分析，追踪到攻击的源头。

· 正向梳理攻击链：从攻击源头开始，梳理整个攻击链条，对攻击过程中所有关联事件进行研判分析，固定相关证据。同时，智能体通过调用攻防知识图谱，消除分析过程中的错误判断，确保攻击链的准确还原。

· 生成APT画像：在还原完整攻击链的基础上，通过分析攻击行为序列，判别攻击类型和特征，并初步识别可能的APT组织，形成完整的APT画像，为安全分析师提供可靠的参考。

· 输出内容检测：道德中枢对大模型的输入和输出内容进行严格的检测，防止产生违法、违规或有害信息，从而确保生成的分析报告和其他输出内容符合道德和法律规范。

· 记忆模块的支持：记忆中枢在每个步骤中记录重要信息，为后续分析和判断提供背景支持，确保整个流程的一致性和信息完整性。

通过上述步骤，360安全大模型能够在APT攻击的各个阶段提供精准、实时的智能化防御和响应。这种多维度、多模块的协同工作方式，不仅显著提升了对APT攻击的应对能力，还极大地提高了整体安全运营的自动化和智能化水平。

2）攻击检测分析

在网络攻击监测与分析领域，360安全大模型针对恶意流量检测和恶意邮件检测等关键场景进行了专项训练，取得了显著成果。尤其值得一提的是，这些成果是在未依赖外部工具增强和未进行测试数据集微调的情况下，仅依靠360安全大模型自身的能力实现的。在某些单一场景中，360安全大模型的表现已明显超越GPT-4。这一结果不仅验证了360技术路线的正确性，也充分展示了大模型在安全监测中的强大能力。

· 恶意流量与恶意邮件检测

通过专项训练，360安全大模型能够在网络流量和邮件检测中展现出极高的精确度和有效性。模型对网络流量中的异常行为、潜在攻击模式以及恶意邮件的识别有着深刻的理解，能够有效应对各类复杂的攻击场景。这种高效的检测能力在网络安全领域中具有重要意义，为防御和监控提供了强有力的技术支持。