基于大模型的工業(yè)安全平臺
引言/導讀
北京金睛云華科技有限公司(以下簡稱“金睛云華”),2016年成立于北京,致力于成為以AI智體為核心的新一代網(wǎng)絡(luò)安全產(chǎn)品與引擎提供商。創(chuàng)始人及核心團隊主要來自于清華大學KEG實驗室、華為、啟明星辰、東軟等一線AI科學家與網(wǎng)絡(luò)安全專家,在網(wǎng)絡(luò)安全和人工智能領(lǐng)域有二十余年豐富的經(jīng)驗和技術(shù)積累,已申請100余項基于人工智能的網(wǎng)絡(luò)安全發(fā)明專利。在北京與沈陽建立了研創(chuàng)中心與安全運營中心,并在北京、上海、廣州、深圳等二十余個省市建立了營銷與服務(wù)網(wǎng)絡(luò),已形成研發(fā)、創(chuàng)新、營銷與服務(wù)覆蓋全國的戰(zhàn)略布局。
金睛云華作為國內(nèi)最早專注人工智能和NDR領(lǐng)域的公司,實施了創(chuàng)新驅(qū)動發(fā)展戰(zhàn)略,形成了以AI檢測智體為核心的XDR解決方案和以AI運營智體為核心的智能安全運營(AISecOps)兩條業(yè)務(wù)線,并在兩個方向上持續(xù)拓展,踐行金睛云華在用戶數(shù)字化轉(zhuǎn)型和智能化升級時代的使命一安全智體平權(quán),踐行“普惠安全”。金睛云華打造的產(chǎn)品體系涵蓋以安全大腦「CyberCopilot」賦能的工業(yè)互聯(lián)網(wǎng)威脅檢測和智能安全運營產(chǎn)品族,產(chǎn)品包括云鑒·高級威脅檢測系統(tǒng)(ATD Pro)、云蹤·網(wǎng)絡(luò)流量回溯審計系統(tǒng)(TFS Pro)、云晰·加密流量檢測系統(tǒng)(ETD Pro)、云圖·網(wǎng)絡(luò)安全智能中心(CC Pro)以及云智網(wǎng)絡(luò)安全大腦(BOC)。以大語言模型和智能體技術(shù)為核心,金睛云華將以安全大腦賦能高級威脅檢測和智能安全運營作為公司未來戰(zhàn)略發(fā)展方向,完成公司從智能威脅檢測解決方案到智能安全運營解決方案的業(yè)務(wù)模式演進,最終以安全大腦「CyberCopilot」提供商的角色賦能網(wǎng)絡(luò)安全行業(yè)。
智能工業(yè)互聯(lián)網(wǎng)威脅檢測系統(tǒng)作為一個基于人工智能技術(shù)的網(wǎng)絡(luò)安全檢測工具,實時捕獲和分析網(wǎng)絡(luò)流量,通過機器學習、集成學習、深度學習、大語言模型(LLM)等技術(shù),實時發(fā)現(xiàn)網(wǎng)絡(luò)中異常行為和潛在的安全威脅。系統(tǒng)能夠根據(jù)新的數(shù)據(jù)和威脅模式不斷更新和優(yōu)化智能化檢測模型,以保持對新興威脅的有效識別能力。同時,通過自動學習建立流量白模型和識別正常行為模式,用于增強對網(wǎng)絡(luò)威脅的檢測和響應(yīng)能力。系統(tǒng)提供直觀的數(shù)據(jù)分析和可視化界面,幫助安全分析師快速理解和分析安全威脅,減輕安全團隊的工作負擔。
隨著網(wǎng)絡(luò)攻擊的不斷增加和復雜化,網(wǎng)絡(luò)安全面臨著大數(shù)據(jù)和智能化的挑戰(zhàn),傳統(tǒng)的基于規(guī)則的安全檢測技術(shù)難以應(yīng)對高級持續(xù)性威脅、零日漏洞、惡意加密流量的攻擊。大語言模型(LLM)對于復雜網(wǎng)絡(luò)環(huán)境理解能力高,通過學習大量的數(shù)據(jù)、自動提取數(shù)據(jù)的特征和規(guī)律性,發(fā)現(xiàn)復雜環(huán)境下隱蔽的攻擊模式。經(jīng)過微調(diào)后的檢測模型特別是對于惡意代碼變種、加密流量檢測和用戶白流量建模能力強大,大大提高了檢測的效率和準確性,降低誤報和漏報率,提升了安全防護的能力。大語言模型(LLM)也具有強大的適應(yīng)能力,能不斷學習和自動適應(yīng)新的數(shù)據(jù)和場景,用于檢測新型網(wǎng)絡(luò)攻擊。
一、關(guān)鍵詞
安全大模型,智能體,程序語言大模型、工業(yè)互聯(lián)網(wǎng)智能安全運營
發(fā)起公司和主要聯(lián)系人聯(lián)系方式:北京金睛云華科技有限公司,胡永亮 18698814130
二、測試床項目目標
1、本地化工業(yè)安全大模型的訓練:大語言模型通常具有數(shù)億甚至百億、千億級的參數(shù),需要大量的GPU計算資源用于本地化訓練。如何在資源有限的情況下保證其穩(wěn)定運行并提供低延遲的服務(wù),是一個巨大的技術(shù)挑戰(zhàn)。
2、模型的安全性和隱私保護:在處理敏感數(shù)據(jù)時,如何確保大模型本身不被用于泄露隱私信息或進行惡意操作,以及如何避免模型被訓練出偏見或歧視性行為,是必須考慮的安全性問題。
3、智能體的構(gòu)建與優(yōu)化:構(gòu)建能夠通過拖拽等可視化界面進行交互的智能Agent,需要將復雜的任務(wù)分解為可由大模型處理的子任務(wù),并且要確保這些子任務(wù)能夠有效地組合起來完成整體任務(wù),這需要高度的抽象和設(shè)計能力。
4、多源數(shù)據(jù)的整合與統(tǒng)籌分析:需要整合來自不同來源的數(shù)據(jù),如情報系統(tǒng)、資產(chǎn)系統(tǒng)等。如何確保數(shù)據(jù)的準確性、一致性和時效性,以及如何有效地利用這些數(shù)據(jù)進行綜合分析,是系統(tǒng)實現(xiàn)的關(guān)鍵。
5、智能化的工業(yè)互聯(lián)網(wǎng)告警分析與降噪:需要能夠智能地分析安全告警數(shù)據(jù),區(qū)分攻擊的真實性和危害程度,并進行有效的降噪處理。要求系統(tǒng)具備深度學習和自然語言理解的強大能力,能夠從大量的告警信息中提取關(guān)鍵特征,并進行準確的判斷。
三、測試床方案架構(gòu)
(一)測試床應(yīng)用場景
1、圍繞大語言模型的智能特性形成基于大語言模型技術(shù)的智能運營分析系統(tǒng),以智能體架構(gòu)為底座的能夠?qū)觾?nèi)置離線安全大模型或第三方大模型的開放式平臺,提供對話式可視化界面和API調(diào)用兩種交互方式,能夠基于思維鏈模式通過可拖拽可視化界面交互方式進行智能體構(gòu)建,智能體調(diào)用大模型來構(gòu)建智能化的安全運營分析。
2、系統(tǒng)具備基于大語言模型智能安全告警數(shù)據(jù)分析研判功能,通過思維鏈調(diào)用安全大模型,并結(jié)合情報系統(tǒng)、資產(chǎn)系統(tǒng)等工具進行數(shù)據(jù)整合,智能化統(tǒng)籌分析,達成告警深度分析研判,直接給出告警是否攻擊成功、攻擊失敗等研判結(jié)論,完成告警降噪。最終,形成告警降噪、網(wǎng)絡(luò)溯源、知識問答、告警解讀、攻擊載荷分析、自動化安全報告生成等關(guān)鍵能力。
(二)測試床架構(gòu)
基于大模型的網(wǎng)絡(luò)安全運營方案可分為4個層級和2個框架。方案邏輯框架如下圖所示:
數(shù)據(jù)采集層:收集網(wǎng)絡(luò)流量、日志數(shù)據(jù)等待分析數(shù)據(jù)。
數(shù)據(jù)處理層:對采集的數(shù)據(jù)進行預(yù)處理,用于后續(xù)分析。
AI算法模型: 根據(jù)業(yè)務(wù)需求,通過安全運營大模型、大模型深度威脅檢測與載荷分析、多場景AI檢測小模型等功能為上層應(yīng)用提供計算基礎(chǔ)。
業(yè)務(wù)運營層:通過利對數(shù)據(jù)進行分析研判,實現(xiàn)告警降噪、攻擊溯源、響應(yīng)處置、態(tài)勢展示、智能報告等業(yè)務(wù)場景,也可以自定義業(yè)務(wù)場景。
容器化流量檢測引擎基礎(chǔ)框架:構(gòu)建基于容器技術(shù)的流量檢測引擎框架,實現(xiàn)不同類型的檢測引擎可以靈活更新與擴展。
融合大模型的Langchain框架:通過提示詞、數(shù)據(jù)解析器完成大模型對接,通過智能Agent和鏈(Chain)完成各類數(shù)據(jù)、工具、流程和大模型決策調(diào)度整合,實現(xiàn)大模型可以靈活更新于擴展,支撐業(yè)務(wù)場景的設(shè)計與處理流程自定義。
(三)測試床方案
架構(gòu)具體描述:
智能體:基于思維鏈進一步串聯(lián)工具(Tools),從而將大語言模型的能力和本地、云服務(wù)能力結(jié)合。對于不同的告警數(shù)據(jù)處理場景,使用不同的智能體。告警解讀從告警的攻擊者、受害者、攻擊載荷等多維度進行分析,在大模型進行分析過程中,根據(jù)不同上下文智能決策思維鏈流轉(zhuǎn)和工具交互邏輯,完成全面的告警解讀場景。
思維鏈:用于串聯(lián) 模型I/O和數(shù)據(jù)I/O模塊,以實現(xiàn)串行化的連續(xù)對話、推測流程
模型I/O:管理大語言模型(Models)及其輸入(Prompts)和格式化輸出(Output Parsers)。
數(shù)據(jù)I/O:主要用于建設(shè)私域知識(庫)的向量數(shù)據(jù)存儲(Vector Stores)、內(nèi)容數(shù)據(jù)獲取(Document Loaders)和轉(zhuǎn)化(Transformers),以及向量數(shù)據(jù)查詢(Retrievers)。
基于大模型的網(wǎng)絡(luò)安全運營方案業(yè)務(wù)流程如下圖所示:
用戶可以查看大模型智能運營分析系統(tǒng)相關(guān)業(yè)務(wù)數(shù)據(jù)并進行交互分析。
網(wǎng)絡(luò)流量采集引擎接入網(wǎng)絡(luò)流量,包括在線流量和離線PCAP,進行檢測,檢測后產(chǎn)生的日志可以發(fā)送至大模型智能運營分析系統(tǒng)進行進一步的關(guān)聯(lián)分析。
同時,大模型智能運營分析系統(tǒng)通過SYSLOG等方式接收第三方告警日志等日志類數(shù)據(jù),對所有接收的日志數(shù)據(jù)進行預(yù)處理、事件聚合、關(guān)聯(lián)分析。然后基于大語言模型的告警事件研判分析,以實現(xiàn)告警降噪、攻擊溯源、響應(yīng)處置、態(tài)勢展示、智能報告。
第三方設(shè)備可以支持多廠商的安全探針設(shè)備,包括但不限于威努特、知道創(chuàng)宇等。
(四)方案重點技術(shù)
國際現(xiàn)狀是,人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用日益重要。通過自動化、智能化的方式,人工智能可以幫助識別、防范和應(yīng)對各種網(wǎng)絡(luò)安全威脅。微軟推出了基于OpenAI的Security Copilot系統(tǒng)用于安全數(shù)據(jù)分析,提升網(wǎng)絡(luò)安全防御的效果和效率。谷歌云推出Security AI Workbench,這是業(yè)界首套由谷歌安全大模型Sec-PaLM提供支持的可擴展平臺。這套新安全模型針對安全用例進行了微調(diào),并結(jié)合谷歌強大的安全情報,包括谷歌的威脅態(tài)勢可見性,Mandiant關(guān)于漏洞、惡意軟件、威脅指標與惡意黑客行為模式的一線情報。
國內(nèi)現(xiàn)狀是,在人工智能小模型時代,真正將AI模型應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域的公司不多,在大模型火熱以來,一些大型安全公司才開始思考這領(lǐng)域的技術(shù)方案,但還停留在宣傳和實驗室階段,還沒有幾家公司能夠?qū)⑿∧P图夹g(shù)大規(guī)模產(chǎn)品化,將大模型技術(shù)工程化,在具體的安全場景能夠有效解決安全問題的公司更是屈指可數(shù)。
智能威脅檢測子系統(tǒng)通過旁路鏡像和高性能采集技術(shù),系統(tǒng)對網(wǎng)絡(luò)流量進行實時解碼和元數(shù)據(jù)提取,建立完整的日志、協(xié)議、數(shù)據(jù)包全字段索引庫。利用Transformer架構(gòu)的大語言模型(LLM)學習大量的數(shù)據(jù)、自動提取數(shù)據(jù)的特征和規(guī)律性,采用特定或自有的大規(guī)模高精度標注的威脅數(shù)據(jù)進行模型精調(diào),發(fā)現(xiàn)復雜環(huán)境下隱蔽的攻擊模式。基于Kill Chain框架,以實現(xiàn)對攻擊階段的全覆蓋,發(fā)現(xiàn)更多的攻擊威脅事件,減少盲點,并將不同階段的攻擊事件進行串聯(lián)。能夠?qū)羰录脑敿毿畔⑦M行溯源分析,對攻擊源、攻擊過程、攻擊擴散面、被攻擊的業(yè)務(wù)系統(tǒng)、攻擊的惡意軟件功能和危害等情況進行深入的分析,幫助安全團隊更好的判定攻擊的性質(zhì)、手段和影響,確定合理的應(yīng)對措施。同時能夠與第三方安全防護設(shè)備聯(lián)動響應(yīng),實現(xiàn)對威脅的阻斷處置。并能夠與大數(shù)據(jù)安全分析子系統(tǒng)聯(lián)動,實時上傳日志、事件等相關(guān)信息,為大模型智能輔助分析子系統(tǒng)提供有力的數(shù)據(jù)支撐。
(五)方案自主研發(fā)性、創(chuàng)新性及先進性
1、本地化大模型的訓練問題:大語言模型通常具有數(shù)億甚至百億、千億級的參數(shù),需要大量的GPU計算資源用于本地化訓練。如何在資源有限的情況下保證其穩(wěn)定運行并提供低延遲的服務(wù),是一個巨大的技術(shù)挑戰(zhàn)。
2、智能體的構(gòu)建與優(yōu)化:構(gòu)建能夠通過拖拽等可視化界面進行交互的智能Agent,需要將復雜的任務(wù)分解為可由大模型處理的子任務(wù),并且要確保這些子任務(wù)能夠有效地組合起來完成整體任務(wù),這需要高度的抽象和設(shè)計能力。
3、多源數(shù)據(jù)的整合與統(tǒng)籌分析:需要整合來自不同來源的數(shù)據(jù),如情報系統(tǒng)、資產(chǎn)系統(tǒng)等。如何確保數(shù)據(jù)的準確性、一致性和時效性,以及如何有效地利用這些數(shù)據(jù)進行綜合分析,是系統(tǒng)實現(xiàn)的關(guān)鍵。
4、智能化的告警分析與降噪:需要能夠智能地分析安全告警數(shù)據(jù),區(qū)分攻擊的真實性和危害程度,并進行有效的降噪處理。要求系統(tǒng)具備深度學習和自然語言理解的強大能力,能夠從大量的告警信息中提取關(guān)鍵特征,并進行準確的判斷。
5、工業(yè)安全平臺的大模型組件采用MOE架構(gòu),通過模型調(diào)度路由將不同的輸入數(shù)據(jù)調(diào)度給對應(yīng)的專有模型,通過將大規(guī)模參數(shù)的單一大模型劃分為多個中小規(guī)模大語言模型,每個模型負責專一的業(yè)務(wù)場景,比如工業(yè)安全檢測大模型、安全運營大模型、工業(yè)知識經(jīng)驗大模型等。
四、測試床實施部署
1、測試床實施規(guī)劃
基于大模型的網(wǎng)絡(luò)安全運營方案整體建設(shè)周期為1年,建設(shè)經(jīng)費包括硬件成本和軟件成本。為避免一次性投入過大,可以采取分階段、分步驟建設(shè)方式,逐步實現(xiàn)基于大模型的網(wǎng)絡(luò)安全運營與檢測建設(shè)。
2、測試床的預(yù)期可量化實施結(jié)果
研制內(nèi)置安全大模型和安全運營智能體的原型系統(tǒng),系統(tǒng)內(nèi)置本地化訓練精調(diào)的具備專業(yè)安全知識的安全大模型。提供支持10類以上威脅檢測的安全檢測大模型,提供具備5類以上智能體的安全日志分析研判的運營大模型,運營大模型的參數(shù)規(guī)模不低于300億;提供分布式的內(nèi)置安全大模型的原型系統(tǒng),支持10wEPS處理能力,內(nèi)置安全輔助智能分析助手,智能助手支持安全知識開放問答、告警解讀、告警處置、告警關(guān)聯(lián)、載荷分析等,可以進行對話式安全數(shù)據(jù)分析;系統(tǒng)支持通過拖拽式界面操作完成自定義安全智能體。
3、測試床的商業(yè)價值、經(jīng)濟效益
工業(yè)互聯(lián)網(wǎng)接入的設(shè)備類型多,安全產(chǎn)品類別多。產(chǎn)生的告警日志數(shù)量龐大,采用基于大模型的工業(yè)安全平臺能夠顯著提升運營效率。根據(jù)業(yè)界經(jīng)驗,一名安全服務(wù)工程師1天能夠分析500條日志,對于一天動輒幾十萬甚至百萬的日志的情況很常見。我們以每天5000條日志測算,需要10人的安服團隊。一套內(nèi)置大模型的工業(yè)分析平臺24小時工作,每秒處理6條日志,即:10(人) * 500(條)--VS—6 * 60 * 24(1套)。
如此推算1套基于大模型的安全平臺,可產(chǎn)生100萬的經(jīng)濟價值。(注:每個安服工程師10萬薪資/年)。
4、測試床的社會價值
工業(yè)安全平臺的應(yīng)用能夠顯著提高組織安全性,安全運營平臺通過持續(xù)監(jiān)控和分析網(wǎng)絡(luò)活動,提高組織對安全威脅的防御能力。通過識別和緩解安全風險,減少潛在的財務(wù)損失和聲譽損害。保護敏感數(shù)據(jù)不被泄露或濫用,維護個人和企業(yè)的隱私權(quán)益。同時,提升應(yīng)急響應(yīng)能力,在安全事件發(fā)生時,能夠快速響應(yīng)并采取措施,減少安全事件的影響。保證業(yè)務(wù)連續(xù)性,確保關(guān)鍵業(yè)務(wù)系統(tǒng)的穩(wěn)定運行,減少因安全問題導致的業(yè)務(wù)中斷。
5、測試床初步推廣應(yīng)用案例
當前在東北大學已經(jīng)進行初步應(yīng)用。
6、測試床成果交付件
提供一套可驗證的原型系統(tǒng),配套提供相關(guān)技術(shù)方案及相關(guān)的專利1項。
7、測試床可復制性
可以復制推廣到運營商、國家監(jiān)管單位。用于大范圍的關(guān)鍵基礎(chǔ)設(shè)施的安全防護。
8、測試床開放性
和華為人工智能中心在大模型訓練方面進行深度合作。
9、測試床資金
基于大模型的工業(yè)安全平臺方案所需軟件包括網(wǎng)絡(luò)流量采集引擎軟件、大模型智能運營分析系統(tǒng)軟件,各軟件的成本估價如下:
網(wǎng)絡(luò)流量采集引擎軟件成本估價:
名稱 | 功能介紹 | 數(shù)量 (套) | 單價 (萬元) | 合計 (萬元) |
流量處理模塊 | 具備數(shù)據(jù)采集、數(shù)據(jù)過濾、數(shù)據(jù)還原功能。 | 1
| 10
| 10
|
威脅檢測模塊 | 具備特征檢測、行為檢測、威脅情報檢測、AI模型檢測能力,支持Shadowsocks流量、VPN流量、惡意加密、SQL注入、Webshell、暗網(wǎng)流量、DGA域名、DNS/ICMP/HTTP隱蔽隧道、惡意代碼變種等進行威脅檢測。 | |||
業(yè)務(wù)應(yīng)用模塊 | 具備攻擊鏈分析、關(guān)聯(lián)與溯源、告警通知、設(shè)備聯(lián)動響應(yīng)、數(shù)據(jù)外發(fā)等能力。 |
基于大模型的工業(yè)安全平臺系統(tǒng)軟件成本估價:
名稱 | 功能介紹 | 數(shù)量 (套) | 單價 (萬元) | 合計 (萬元) |
數(shù)據(jù)采集模塊 | 負責接收各類設(shè)備的網(wǎng)絡(luò)協(xié)議元數(shù)據(jù)、告警日志等數(shù)據(jù)。 | 1
| 200
| 200
|
數(shù)據(jù)流計算模塊 | 負責對接入的數(shù)據(jù)做大模型檢測、大模型輔助檢測等日志、告警檢測分析。具備大模型本地化訓練能力。 | |||
數(shù)據(jù)存儲模塊 | 負責將各類數(shù)據(jù)進行存儲,并提供數(shù)據(jù)的檢索、更新能力。 | |||
智能體模塊 | 負責通過鏈(Chains)、工具集等組件完成不同業(yè)務(wù)分析場景的智能體構(gòu)建,支撐智能化安全告警輔助運營。 | |||
系統(tǒng)交互模塊 | 負責提供人機交付可視化界面,可以通過對話方式執(zhí)行智能輔助運營任務(wù),提供API接口和其他系統(tǒng)對接,賦能智能輔助運營能力。 |
10、測試床時間軸
序號 | 時間節(jié)點 | 工作內(nèi)容 |
1 | 2024年6月-2024年10月 | 大模型研發(fā),系統(tǒng)研發(fā) |
2 | 2024年11月-2025年1月 | 用戶實驗局部署測試運行 |
3 | 2025年2月-2025年4月 | 針對試用效果整改完善 |
4 | 2025年5月-2024年6月 | 項目總結(jié),結(jié)題 |
聲明
本報告所載的材料和信息,包括但不限于文本、圖片、數(shù)據(jù)、觀點、建議,不構(gòu)成法律建議,也不應(yīng)替代律師意見。本報告所有材料或內(nèi)容的知識產(chǎn)權(quán)歸工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟所有(注明是引自其他方的內(nèi)容除外),并受法律保護。如需轉(zhuǎn)載,需聯(lián)系本聯(lián)盟并獲得授權(quán)許可。未經(jīng)授權(quán)許可,任何人不得將報告的全部或部分內(nèi)容以發(fā)布、轉(zhuǎn)載、匯編、轉(zhuǎn)讓、出售等方式使用,不得將報告的全部或部分內(nèi)容通過網(wǎng)絡(luò)方式傳播,不得在任何公開場合使用報告內(nèi)相關(guān)描述及相關(guān)數(shù)據(jù)圖表。違反上述聲明者,本聯(lián)盟將追究其相關(guān)法律責任。
AII微信公眾號
AII頭條號