大模型 + 网络安全 炒作内卷 or 革新升级？

一年前，ChatGPT问世，以强大的信息整合推理和语言对话能力惊艳全球，随后，以大语言模型LLM（以下简称“大模型”）为代表的AI技术应用全面席卷，赋能千行百业，重构业务流程，加速产业升级。

在这一年里，相信业界同仁都能切身感受到，网络安全行业也在全面拥抱这轮科技热潮，非常迅速地步入了安全大模型的爆发期。

国际上，谷歌、微软等跨行业巨头积极推出面向安全领域的垂直大模型，并通过收购专业安全厂商（如谷歌收购威胁情报厂商Mandiant）丰富数据、集成能力。

海外头部安全厂商持续投入、布局，如Palo Alto Networks推出基于AI重构的SOC平台XSIAM，Crowdstrike发布Charlotte AI运维助手，Cloudflare在数据安全方向推出Cloudflare One for AI以保护用户使用大模型。

业界首套由谷歌安全大模型Sec-PaLM

提供支持的可扩展平台Security AI Workbench

国内厂商的探索同样踊跃，深信服、360、奇安信、天融信、启明星辰、绿盟科技等综合安全厂商，或基于微调或基于预训练，纷纷对外发布安全大模型，加持进化多种安全能力。

细分方向的AI实践用例也络绎不绝，如海云安融合大模型技术的开发者安全助手可提供智能高效的代码安全检测分析及修复能力，众智维科技的RedGuard红色卫士构建了基于1亿+数据量的知识图谱问答助力高效安全运营，微步在线推出安全分析XGPT集GPT模型、情报数据和知识库底层能力可协助快速解决安全分析中的各种问题。

长期以来，网络安全行业不断地被各种新概念、新技术推动着向前，持续创新的同时，这种风气引发的内卷也导致了很多产品同质化严重，或者停留于纸上谈兵难以落地。在大模型剧烈搅动行业的当下，我们不时听到另一种业界声音——安全大模型只是又一个被追捧的热点，市面上的用例更多是新瓶装旧酒。

我们不禁想要拨开迷雾，大模型之于网络安全行业，是一场贴金的、空心的狂欢，还是我们正在探索可能重塑行业发展升级的重要机遇？

理性来看，AI在网络安全领域的应用，并不是随着一系列通用大模型崛起才带来的，过去十年，多种安全工具和产品已经逐步采用AI技术来提升能力。

比如在攻击检测方向，基于AI的垃圾邮件检测让识别率得到大幅提升；深度学习网络、对抗神经网络等技术应用到网络入侵检测取得了明显效果；利用强化学习方法可以规避基于监督学习的恶意软件检测模型的弱点。

对应地，在攻击防范方向，机器学习和深度学习算法可以实现漏洞自动化修复，及时弥补系统缺陷；通过学习已知漏洞的潜在特征，AI可以具备预测0Day漏洞、未公开漏洞等未知威胁的能力。

另外，在安全运营方面，AI已经实现自动化异常行为分析、自适应防御策略生成、告警评估和攻击研判等，降低人工参与比例，突破运营效率瓶颈。

2023年9月，思科280亿美元收购Splunk刷屏安全圈，正是AI驱动安全的一次强有力认可。

而大模型作为大量文本数据训练的深度学习模型，可以理解为大数据 + 高算法 + 强算力的AI产物。浙商证券在相关报告中指出，大模型的本质是理解语言意图并根据意图进行任务分配，而一个行业是否具有语言体系以及流程性工作的占比是其能够被大模型赋能的关键标准。

对于网络安全行业而言，安全产品具有较为标准的语言体系，安全服务涉及大量流程性工作，这就使得大模型在网络安全行业的应用成为可能且值得期待。进一步，我们可以从大模型本身具备的能力来分析其面向网络安全的应用可能性。

大模型最基础的一个能力是上下文语义理解分析能力，表现在可以推断文本的意义、上下文关系和语义信息，发现文本数据中的关联性和相似性，进而可以做文本的关联和聚类。面向网络安全，威胁情报和异常流量监测的基础数据是威胁情报报告和网络流量包，均属于文本特征，因此可以基于大模型的语义分析能力开展进一步开发，有助于完成威胁情报共享、异常流量发现等任务。

大模型备受关注的原因之一是其具有一定的代码理解能力，研究人员通过在大规模代码库进行预训练，使得大模型可以学习到代码的语法规则、命名约定、函数调用等常见的代码结构和模式。APT攻击中经常使用的恶意软件、漏洞利用大部分依赖于代码编写，因此能够利用大模型识别常见的代码结构、设计模式、漏洞模式等并与已有的知识进行关联，在遇到类似的代码结构时能够快速理解其含义和发现可能的安全问题。

大模型还具有复杂推理能力，这也是标志着小模型与大模型差异的关键因素，得益于基于思维链（Chain of Thought，CoT）训练的涌现能力，大模型能够将大问题拆分成一个个小问题，逐步得出最终的正确结果。网络安全领域的攻击溯源和响应处置正需要大模型的复杂推理能力，帮助安全运营团队实现自动化溯源攻击路径/目标、自主化响应。

基于以上优越的能力表现，大模型在网络安全领域是具备诸多潜在应用场景的，包括异常流量检测、攻击行为发现、攻击溯源分析、漏洞利用排查、安全运维审计等等，当安全产品、平台或服务能够有效融合这些AI加持的安全能力，自然可以有效助力安全防御水平的提升。

IDC于近日发布的《大模型在网络安全领域的应用市场洞察》报告总结了市场上目前比较主要的几个实践方向：

这是基于大模型构建安全能力中最活跃的领域。将大模型与态势感知平台、安全运营中心（SOC）、扩展检查与响应（XDR）系统等集成，安全运营人员可以使用自然语言与安全系统沟通，并调用各类基础安全工具，极大地简化和加速日常工作流程，降低安全运营对高级分析师的依赖。

将生成式AI与威胁情报集成，帮助安全分析师通过自然语言进行威胁情报的查询和解释，简化甚至自动化部分判定流程，这在效率和准确性上的提升是显而易见的。随着威胁情报价值的提升和安全大模型的发展，两者的协作将发挥出巨大潜力。

大模型作为企业安全防护体系的“大脑”，帮助安全分析师通过自然语言智能联动各类威胁检测引擎、AI小模型、安全工具及产品。利用大模型强大的计算能力和逻辑推理能力，对多源实时数据进行关联分析，提升大模型对异常行为、潜在威胁，尤其是未知威胁的检测效率和准确性。这是对原有基础安全检测技术能力的聚合与增幅，而非替代。

生成式AI可以从软件开发生命周期的起始阶段编写更安全的代码，并提升和简化检测和修复代码中安全缺陷的能力，增强应用程序的安全性。IDC同时指出，现阶段还无法通过生成式AI帮助代码编写者实现应用程序安全性的巨大改进，产品还缺乏解释应用程序完整上下文的能力，因此难以防范复杂的代码安全风险。

大模型在数据安全领域的应用也已经被提上日程，特别是在数据分类分级中的应用前景令人充满期待。目前，众多数据安全厂商已经在运用机器学习、深度学习等技术来辅助进行敏感数据发现、分类分级、威胁分析等工作，随着安全大模型的加入，数据安全治理的效率和准确性将进一步提升。

如前所述，网络安全是大模型比较理想的应用领域，那么，业界目前存在的疑惑或争议或许来源于，基于安全大模型的产品是否具备经市场验证认可的能力，理论和实际之间是否存在落差。

作为一种尚处于初级探索阶段的新兴技术及应用，大模型尤其是垂直领域大模型，在构建过程中仍然面临很多难点。

中国电信研究院相关专家指出，网络安全领域高质量数据集匮乏、大模型数据调参消耗资源过大、基于大模型生成答案的可信度不稳定、AI人才与安全领域人才专业知识不互通，这几方面摆在眼前亟需攻克的难点，为安全大模型落地应用带来巨大挑战。

奇安信集团总裁吴云坤表示，安全大模型达到工业级应用，需要满足三个关键条件，一是工业级应用需要高质量知识数据、专家队伍、实战经验和场景支撑，二是工业级应用必须基于多种安全任务的强化学习和顶尖专家的反馈训练，三是工业级应用需要面向安全生产场景中的任务和应用强化实战能力。

可以说，到目前为止，如果类比ChatGPT4带给所有人的震撼，属于安全大模型的这个惊艳时刻还没有到来。网络安全领域积极涌现的尝试性应用是非常积极的信号，但是在探索过程中，我们也需要避免陷入无序内卷或炒作包装。

随着AI技术不断迭代演进，我们有理由相信，大模型在网络安全领域的应用前景将更加广阔，实现AI驱动的高效、精准、自动、智能的安全未来可期。

参考资料：

《大模型在网络安全领域的应用市场洞察》，IDC

《大模型在网络安全领域的应用场景》，《通信企业管理》2023年第10期