包沉浮-百度基于大模型安全运营的质效提升实践.pdf

1、基于大模型的安全运营质效基于大模型的安全运营质效提升实践提升实践演讲人：包沉浮目 录01背景和挑战02系统设计与实践03未来展望01背景和挑战大模型时代的网络安全大模型的规模引发新的安全风险算力、数据、算法的规模持续爆发系统复杂度和场景应用的丰富度持续增长引入新风险类型的同时，传统安全风险倍增大模型技术可被用于网络攻击大模型生成恶意代码和自动化攻击利用生成内容进行社会工程攻击绕过传统安全防护和检测机制大模型加速社会数字化、智能化转型的同时，也带来更严峻的网络安全挑战大模型为网络安全行业带来机遇大模型在大模型在安全领域的安全领域的应用场景应用场景安全运营数据安全开发安全邮件安全自动化渗透测试x微

2、软 Security Copilot深信服 XDR+GPT奇安信 Q+GPT360安全大模型网络安全网络安全厂商的厂商的大模型产品大模型产品告警研判大模型在安全运营场景的潜在应用响应止损溯源调查修复加固报告生成对告警进行研判分析对事件进行响应止损对安全事件分析还原调查事件始末提供修复加固建议生成事件报告安全运营：通过技术、流程和人员协同工作，持续监控、检测、预防和响应各种网络安全威胁的过程，确保组织的系统、数据和网络的安全告警研判-百度安全运营核心环节告警规则仅Splunk规则800+Yara规则、自定义脚本等多种规则类型每天新增告警无效告警多真实攻击很可能淹没于其中需安全专家手动研判分析告警

3、来源大类OA:EDR、邮件、AV、AD、NTA等等IDC:HIDS、RASP、蜜罐等等20+1,000+100,000+100,000+多级纵深威胁感知及防御对抗四层边界七层边界主机系统应用进程容器环境服务层生产网（IDC）主机60w+60w+、容器数量1000w+1000w+办公网（OA）设备数量1010w+w+告警研判质效难以保障大批量、长时间告警研判造成疲劳，尤其节假日不同专家研判质量不同标准和投入度不稳定手动分析效率低重复工具切换可满足告警研判能力要求的安全专家数量有限专家稀缺告警疲劳工具分散标准参差探索引入大模型技术，提升告警研判质量与效率，完善和优化研判流程02安全运营场景大模型应

4、用的挑战系统设计与实践针对不同风险的告警，具有特殊性或复杂性，统一的处理流程无法覆盖所有告警，部分告警类型适应性比较差，易发生误报和漏报大模型依赖数据决策，考虑到训练数据的偏差性，研判环境的动态性，大模型研判思路通常与实际研判过程差异较大，大模型实际研判思考过程不可控，导致研判结果不受信任大模型无法全面覆盖所有安全威胁的分析能力，可能忽略告警数据细节，缺乏额外的分析视角和数据来源，整体研判的准确性和全面性受影响大模型决策缺乏透明度，解释有限，表达方式随机性强，研判依据不够明确，阅读耗时，影响大模型研判结果的直接采纳大模型决策无法百分之百准确，告警漏判错判并存，为防止遗漏，告警通常需要人工参与确

5、认，AI结论发挥作用不大告警黑样本需长期收集，对于新发风险类型，真实环境黑样本数量稀少，占比低，多样性不足，研判能力上线前缺乏有力的离线评估结论端到端大模型研判方案面临的问题大模型安全域知识查询所有告警类型研判结果输出输入部分告警类型适应性差研判过程不可控综合分析能力不足错判漏判混杂缺乏决策透明度研判能力评估困难02系统设计与实践大模型告警研判方案百度安全大模型研判方案告警分类及能力建设优先级分析AI研判要点动态发现基于AI的多样性攻击数据生成告警分发知识增强工具调用适应不同告警类型研判过程可见可控告警信息全面分析面向无风险遗漏的AI综合研判可解释性增强决策透明度高无风险遗漏扫毒告警AI研判流

6、程账号告警AI研判流程邮件告警AI研判流程风险命令告警AI研判流程钓鱼邮件类风险命令类扫毒类账号类在线研判AI工具建设常规工具接入通用知识收集研判数据补充离线建设历史全量历史全量告警数据告警数据告警类别子集告警类别子集工具及知识建设AI研判流程规划AIAI研判：分类别研判流程模版研判：分类别研判流程模版AIAI尚未支持该类别，直接人工研判尚未支持该类别，直接人工研判实时告警实时告警告警时间：XX告警来源：XX告警详情：XXAIAI研判结果研判结果结果类型AI建议：XX风险点：XX分析：XX基于大模型的综合研判、模拟告警模拟告警告警时间：XX告警来源：XX告警详情：XX确定无风险：直接采纳疑似风