“AI+Security”系列第3期(四):360安全大模型业务实践

news2024/11/16 1:56:17

近日,由安全极客、Wisemodel 社区、InForSec 网络安全研究国际学术论坛海升集团联合主办的“AI + Security”系列第 3 期技术沙龙:AI 安全智能体,重塑安全团队工作范式”活动顺利举行。此次活动吸引了线上线下超过千名观众参与。

活动中,360 数字安全集团安全大模型技术团队负责人黄绍莽发表了题为“360 安全大模型系统”的主题演讲,从大模型赋能数字安全以及 360 安全大模型应用场景探析等角度深入剖析了安全大模型应用,让我们对大模型赋能安全应用有了更为深入的理解。

大模型引领数字安全新趋势

在整个网络安全领域,大模型作为新质生产力,正逐步颠覆传统“卖盒子、堆产品”的安全模式,推动安全行业向智能化演进。尤其是随着大模型的出现,人工智能技术与安全产品深度融合,全面赋能,改变了传统的安全运营模式。这一变革不仅重塑了“安全知识”、“安全研判”和“安全处置”,还将整个安全行业引向智能主义时代。

图片

那么现阶段安全大模型具体能解决安全体系中的哪些痛难点问题呢?黄绍莽先生表示,现阶段安全大模型主要解决了如下四个痛点问题。

其一,解决安全产品协同难的问题。各个厂家的安全产品 “烟囱林立”,难以协同工作,难以为用户形成体系化的防御能力。

其二,解决高阶安全能力不足的问题。国家级对抗力量入场,高级威胁日益增多,现有安全设备和人员安全能力略显不足,容易遗漏高级威胁。

其三,解决安全运营效率低下的问题。安全运营基本依赖人力,无法实现自动化,效率低下。

其四,解决安全专家缺乏的问题。安全人才培养周期长,高端安全专家稀缺。

实践证明,安全大模型的应用为安全体系带来了显著的“降本增效”效果。它促使安全体系形成自动化体系协作,构建起严密的防御体系,进而形成强大的战斗力。同时,安全大模型还能辅助提升高级安全能力,大幅提高安全运营效率。

360安全大模型框架结构

在当前 “百模大战” 的背景下,360 凭借在安全领域的深厚积累,成功打造出具有独特优势的安全大模型,将 AI 技术与网络安全深度融合。360 安全大模型 3.0 版本在技术基础和应用策略上实现了创新突破。

首先,数据制胜是 360 安全大模型的核心策略。数据的质量和数量是训练高水平大模型的关键。360 经过 18 年的积累,构建了全球独有的高质量安全数据样本库,其中包括 APT 信息、全球网络资产测绘信息以及实战化攻防技战术数据等,规模高达 300 亿。这些丰富的数据为大模型的高效训练奠定了坚实基础。不仅如此,360 还具备高效使用数据的能力,对于终端行为数据、网络流量数据等专业数据,通过精洗语料、精准标注、调整模型结构等技术手段,使模型得到极大的有效利用,从而大幅提升模型的推理精度和泛化能力。

其次,类脑分区协同(CoE)架构是 360 安全大模型的独特之处。与一些厂商采用开源模型加专用知识库的模式不同,360 自研大模型结构,将大量模型参数按照任务类型进行分区,每个分区相当于一个专家模型。在执行任务时,不是激活所有参数,而是根据具体需求灵活调用 “语言中枢”“规划中枢”“判别中枢” 等功能模块。这种架构在提升推理效率、降低训练成本的同时,有效解决了多任务冲突问题,实现了任务推理、训练效率与模型可解释性的平衡。

此外,针对大模型在实际业务中的深度应用,黄绍莽先生表示,360 提出了 “小切口、大纵深” 的策略原则。“小切口” 是将复杂的安全任务分解为多个小场景,对于传统方法能较好解决的场景继续采用传统方法,让大模型聚焦于其优势小场景。在选择小场景时,需考虑大模型能力的成熟度、场景数据的准备度及场景容错率。“大纵深” 是在 “小切口” 的基础上,将安全业务与大模型能力深度融合,真正解决用户痛点,提升整体防御效果。这一原则的有效实施依赖于两个方面:一是对安全领域的深刻理解,确保大模型能够贴近安全专家的工作流程,与实际业务需求高度契合;二是大模型需要与安全知识体系深度融合,通过模型训练真正实现安全大模型的垂直深度应用,而非简单地将数据挂接到模型上。

而且,360 安全大模型引入 “工具增强(TAG)” 技术来解决大模型应用过程中可能出现的 “生成式幻觉” 问题。TAG 技术结合智能体框架,从知识生成和工具调用两方面进行强化,并通过引入纠错反馈机制,大幅提升了模型在安全问答和工具使用中的整体准确性。

图片

黄绍莽先生表示,目前,360 安全大模型不仅与自有全线安全产品深度融合,还在客户侧安全体系中广泛应用。从终端安全、流量检测到安全运营平台,360 安全大模型全方位赋能各类安全任务场景。以 “含 AI 量” 为指标,大模型在安全运营、威胁研判分析、高阶威胁狩猎及智能响应处置等多个场景中已实现 L3 级别的 “安全场景自动化”,能够自主完成任务分解、工具选择及进度控制,极大地减轻了人力负担。

通过持续优化与技术迭代,360 安全大模型将进一步赋能更多安全产品和服务,不断推动智能安全运营向更高自动化水平迈进。

360安全大模型应用场景探析

目前,360安全大模型在多个典型场景中都得到了广泛应用,详细如下:

1)自动化高级威胁狩猎

海莲花(OceanLotus)APT攻击是一种典型的高级持续性威胁(APT),攻击者通过精心策划的多步骤行动,逐步渗透目标系统并窃取敏感信息。

针对海莲花APT攻击,360安全大模型结合其先进的AI技术和智能体框架,实现了全流程的智能化猎杀。具体步骤如下:

图片

· 自动生成猎杀任务:当EDR(终端检测响应)和NDR(网络检测响应)等安全工具检测到钓鱼邮件中的恶意执行程序尝试修改系统配置时,系统自动触发猎杀任务。

· 任务理解与规划: 安全大模型的语言中枢接收到猎杀任务后,迅速理解任务需求。随后,规划中枢对任务进行分解,制定详细的行动方案,包括具体的调查步骤和目标。

· 逆向追踪溯源:判别中枢从EDR、NDR和其他平台中提取历史事件、日志等信息,并通过智能体调用溯源辅助工具,增强溯源能力。通过多种信息的交叉分析,追踪到攻击的源头。

· 正向梳理攻击链:从攻击源头开始,梳理整个攻击链条,对攻击过程中所有关联事件进行研判分析,固定相关证据。同时,智能体通过调用攻防知识图谱,消除分析过程中的错误判断,确保攻击链的准确还原。

· 生成APT画像:在还原完整攻击链的基础上,通过分析攻击行为序列,判别攻击类型和特征,并初步识别可能的APT组织,形成完整的APT画像,为安全分析师提供可靠的参考。

· 输出内容检测:道德中枢对大模型的输入和输出内容进行严格的检测,防止产生违法、违规或有害信息,从而确保生成的分析报告和其他输出内容符合道德和法律规范。

· 记忆模块的支持:记忆中枢在每个步骤中记录重要信息,为后续分析和判断提供背景支持,确保整个流程的一致性和信息完整性。

通过上述步骤,360安全大模型能够在APT攻击的各个阶段提供精准、实时的智能化防御和响应。这种多维度、多模块的协同工作方式,不仅显著提升了对APT攻击的应对能力,还极大地提高了整体安全运营的自动化和智能化水平。

2)攻击检测分析

在网络攻击监测与分析领域,360安全大模型针对恶意流量检测和恶意邮件检测等关键场景进行了专项训练,取得了显著成果。尤其值得一提的是,这些成果是在未依赖外部工具增强和未进行测试数据集微调的情况下,仅依靠360安全大模型自身的能力实现的。在某些单一场景中,360安全大模型的表现已明显超越GPT-4。这一结果不仅验证了360技术路线的正确性,也充分展示了大模型在安全监测中的强大能力。

· 恶意流量与恶意邮件检测

通过专项训练,360安全大模型能够在网络流量和邮件检测中展现出极高的精确度和有效性。模型对网络流量中的异常行为、潜在攻击模式以及恶意邮件的识别有着深刻的理解,能够有效应对各类复杂的攻击场景。这种高效的检测能力在网络安全领域中具有重要意义,为防御和监控提供了强有力的技术支持。

图片

· 智能化网络告警解读

360安全大模型不仅在检测环节表现优异,还实现了智能化的网络告警解读。传统的网络告警常常因误报率高、告警信息复杂而难以有效利用。360安全大模型能够自动分析告警信息,识别告警的真实风险和潜在威胁,并为安全运维人员提供清晰的解读结果,从而大幅提升告警处理效率。

图片

· 自动化威胁情报拓展

针对网络威胁情报的管理,360安全智脑引入了自动化情报拓展功能。该功能能够通过分析现有情报数据,自动关联和发现新的威胁情报,为安全专家提供全面的情报信息支持。通过这一功能,安全人员可以快速掌握最新的威胁动态,为制定防御策略提供重要参考。

图片

· 自动化安全响应与处置建议

面对监测到的威胁,360安全智脑能够自动生成相应的处置建议,供安全管理人员参考。管理人员只需简单点击执行,即可自动完成建议的部署和执行。这一功能极大简化了安全处置的操作流程,不仅提高了响应速度,还有效减少了人工干预的错误风险。

3)更多场景

360安全大模型通过在日志解析、终端告警研判、代码漏洞挖掘、网络空间测绘以及攻防技战术知识图谱等多方面的智能化应用,极大提升了网络安全的自动化与智能化水平。这些功能不仅简化了安全管理的复杂度,还为安全专家提供了全面、精准的技术支持,显著提高了安全运营的效率和效果。

写在最后

360 安全大型模型代表了网络安全领域的重大飞跃,提供了前所未有的威胁检测、分析和响应能力。通过利用人工智能的力量并将其与传统安全工具深度集成,360 正在为智能安全系统树立新标准。随着该模型的不断发展,它有望进一步增强全球组织的安全态势,使复杂的网络防御更加容易获得和有效。

嘉宾们分享的 PPT 将在安全极客知识星球进行分享,欢迎大家关注,以获取更多干货内容。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2165503.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

C++——关联式容器(5):哈希表

7.哈希表 7.1 哈希表引入 哈希表的出现依旧是为了查找方便而设计的。在顺序结构中,查询一个值需要一一比较,复杂度为O(N);在平衡树中,查询变为了二分查找,复杂度为O(logN);而对于哈希表,我们可…

BST-二叉搜索树

前言 从图的角度出发,树是一种特殊的图。图的大多数算法,树都可以适用。对树操作中,你可以发现有关图算法思想的体现。 不过, 本篇不是完全从图的角度解读树, 重点在初学者视角(一般学习数据结构顺序是从树…

码点和码元的区别--Unicode标准的【码点】和【码元】

Unicode是通用字符编码标准是计算机科学领域里的一项业界标准,包括字符集、编码方案等。 Unicode标准定义了一个统一的多语言文本字符集(即Unicode字符集)。 Unicode标准定义了三种字符编码方案:UTF-8、UTF-16、UTF-32。 因此&…

【Java面向对象高级06】static的应用知识:代码块

文章目录 前言一、代码块概述二、代码块分2种 1、静态代码块2、实例代码块总结 前言 记录static的应用知识:代码块 一、代码块概述 代码块是类的5大成分之一(成员变量,构造器,方法,代码块,内部类&#xf…

「Python教程」vscode的安装和python插件下载

粗浅之言,如有错误,欢迎指正 文章目录 前言Python安装VSCode介绍VSCode下载安装安装python插件 前言 Python目前的主流编辑器有多个,例如 Sublime Text、VSCode、Pycharm、IDLE(安装python时自带的) 等。个人认为 vscode 虽然在大型项目上有…

一个好用的MP3音乐下载网,我推荐给你(免费)

点击访问->https://www.gequbao.com/ 或用Bing搜索歌曲宝即可。 主页面长这样子~ 以最近大火的悲鸣海为例,搜索; 以第一个为例,点击; 它既支持下载.mp3格式的音乐文件,还支持下载.lrc的歌词文件。 非常好用&…

使用ChatGPT引导批判性思维,提升论文的逻辑与说服力的全过程

学境思源,一键生成论文初稿: AcademicIdeas - 学境思源AI论文写作 批判性分析(Critical Analysis) 是论文写作中提升质量和说服力的重要工具。它不仅帮助作者深入理解和评价已有研究,还能指导作者在构建自己论点时更加…

网络工程师学习笔记——网络互连与互联网(三)

TCP三次握手 建立TCP连接是通过三次握手实现的,采用三报文握手主要是为了防止已失效的连接请求报文突然又传送到了,因而产生错误 主动发起TCP连接建立的称为客户端 被动等待的为TCP服务器,二者之间需要交换三个TCP报文段 首先是客户端主动…

jQuery——对象的使用

1、理解:即执行 jQuery 核心函数返回的对象 2、jQuery 对象内部包含的是 dom 元素对象的伪数组(可能只有一个元素) 3、jQuery 对象是一个包含所有匹配的任意多个 dom 元素的伪数组对象 4、基本行为: ① size(&#xf…

Java_Se 数组与数据的存储

数组是相同类型数据的有序集合。其中,每一个数据称作一个元素,每个元素可以通过一个索引(下标)来访问它们。 数组的四个基本特点: 1.长度是确定的。数组一旦被创建,它的大小就是不可以改变的。 2.其元素…

【Java 问题】基础——面相对象

面向对象 15. 面向对象和面向过程的区别?16. 面向对象的基本特征17.重载(overload)和重写(override)的区别?18.访问修饰符public、private、protected、以及不写(默认)时的区别&…

2024低代码大赛火热进行,豪礼抢先看~

2024 网易低代码大赛正火热进行中,其中“网易云信低代码”专区吸引了众多开发者参与。 通过低代码高效、灵活的应用构建方式,结合云信的即时通讯和音视频能力,开发者既可以大幅缩短开发周期,还能提升应用的互动性和用户体验。 为…

AGV小车全双工通信应用-低延迟、8路并发全双工通信

随着智能制造和物流行业的不断发展,AGV小车(自动导引车)在工厂、仓库、物流中心的应用日益广泛。AGV小车凭借其自动化、高效、灵活的特点,逐渐成为物料搬运中的关键设备。在这种复杂多变的环境中,数据传输的可靠性、实…

支持云边协同的「物联网平台+边缘计算底座」

2024年9月20日,工信部发布《工业重点行业领域设备更新和技术改造指南》,旨在指导工业领域设备更新和技术改造工作。该指南设定目标,到2027年完成约200万套工业软件和80万台工业操作系统的更新换代任务。此外,计划实现80%规模以上制…

Python3自带HTTP服务:轻松开启与后台管理

Python3自带有http服务,可以在服务器,也可以在本地启动,并运行一些常用的网页程序。比如:我们可以把streamlit框架编写的网页放到服务器上,开启http服务,就可以通过网页来调用这个pythont程序了&#xff0c…

14、线程池ForkJoinPool实战及其工作原理分析

1. 由一道算法题引发的思考 算法题:如何充分利用多核CPU的性能,快速对一个2千万大小的数组进行排序? 1)首先这是一道排序的算法题,而且是需要使用高效的排序算法对2千万大小的数组进行排序,可以考虑使用快…

重头开始嵌入式第四十二天(硬件 ARM体系架构)

目录 一,ARM是什么? 1.公司名称 ARM的主流架构: 2.处理器架构 二,什么是处理器架构?什么是处理器? 一、处理器 二、处理器架构 三,一个计算机由什么构成呢? 一、硬件系统 二…

SDK3(note上)

搞了举个窗口设置还有鼠标处理的信息 注释写在代码中了 #include <windows.h> #include<tchar.h> #include <stdio.h> #include <strsafe.h>/*鼠标消息 * 键盘消息 快捷键消息 菜单消息 控件消息 自定义消息 窗口消息 客户区域的概念(Client Aera) 非…

什么是 SIP 及 IMS 中的 Forking

目录 1. SIP 网络中 Forking 的定义 2. SIP Forking 的分类 2.1 Oaraller Forking 的分类 2.2 Sequential Forking 的分类 博主wx:yuanlai45_csdn 博主qq:2777137742 后期会创建粉丝群,为同学们提供分享交流平台以及提供官方发送的福利奖品~ 1. SIP 网络中 Forking 的定…

828华为云征文|华为云Flexus云服务器X实例部署immich相片管理系统

828华为云征文&#xff5c;华为云Flexus云服务器X实例部署immich相片管理系统 前言一、Flexus云服务器X实例介绍1.1 Flexus云服务器X实例简介1.2 Flexus云服务器X实例特点1.3 Flexus云服务器X实例使用场景 二、immich介绍2.1 immich简介2.2 immich注意事项2.3 主要特点2.4 使用…