2023年10月13日-15日,以“云原生和大模型革新IT生产力”“金融信息技术应用创新服务保障”为主题的2023第六届双态IT乌镇用户大会成功举办。本次会议由ITSS分会、证券基金行业信息技术应用创新联盟指导,ITSS数据中心运营管理组(DCMG)、双态IT论坛、智能运维国标工作组主办,ITSS媒体组、AI范儿协办,共有来自金融、央国企等行业的500余人到场出席。北京灵云数科信息技术有限公司CEO白应东带来《大模型赋能网络安全运营创新与实践》主题演讲。
以下为演讲实录全文:
ChatGTP的出现标志着“强人工智能”时代的来临,大模型是继5G、大数据、互联网后的数智能时代的又一“新基建”,在加速产业的“数智化”转型升级中扮演着重要角色。大语言模型在复制和增强人类工作流方面具有显著的前倾,在网络安全产业升级中亦扮演着重要角色。
在对大模型的探索中,我们发现两个问题:一是我们是否要从0到1地在通用大模型基础上通过搜集海量数据来训练大模型?二是我们运用大模型在安全行业对话场景到底能够解决什么问题?我们把这定位为安全运营问题。
整体来说,大模型给网络安全带来的底层逻辑的改变主要体现在三方面:
一是大模型推理能力带来检测能力的提升,即利用大模型的上下文理解能力,将人能够辨别的威胁、传统特征方式不好辨认的威胁识别出来;
二是大模型推理能力带来安全运营成本的下降,其本质就是替换了需要高级安全专家才能执行的任务,大模型可以执行复杂任务;
三是自然语言交互带来产品使用便利度的极度提升,即通过将大模型总结归纳、总结能力链接到传统安全设备,显著降低安全设备的运营难度。
大模型带来的底层逻辑变化就如上面所提到的,在这个过程中,最重要的是找到场景,即场景为先,先找到场景才能解决实际问题。其次是数据为王,数据在探索过程中扮演着非常重要的角色,它决定了模型的能力。同时,大模型在安全运营上存在很多痛点,最大的痛点用一句话总结就是:和安全运维一样,每家单位在安全方面每天都会产生至少百万级的数据,那么如何从百万级数据中找到真正有威胁的数据和海量告警问题是我们一直在探索的。
大模型在这一方面有什么潜力和探索?我们在对安全的处理上采用这样的逻辑:调用全单位的领先的安全系统,通过AI做场景式整合,即基于大模型的智能安全运营平台,通过训练面向网络安全的人工智能大模型,实现与当前领先的安全系统 (如XDR、SIEM、EDR等)的整合,赋能网络安全业务。
在功能上,该模型具备深度理解多系统数据的能力,能通过综合调度各系统的API接口,实现智能化安全任务自动处理,包括但不限于异常分析、告警降噪、位威胁、辅助溯源攻击、响应处置等能力,提高安全运营效率。
以流量监控为例,我们怎么用大模型解决流量、日志量过多的问题?通过调用流量监测系统,查看告警信息,把告警片断、安全设备判断信息等原始信息交给大模型,通过思维链模式引导大模型判断到底有没有危险。重复操作,最终得出综合研判结果,其中可能包括:黑客攻击是否成功,下一步怎么处置等等。
说到用大模型做情报运营和分析,我们采用云端智能化情报运营分析平台,AI 24小时无间断运行,100%像安全专家一样,分析每一次安全告警、系统日志。六大扮演不同角色的AI可以根据标准的安全处置流程SOP来进行响应和处理,从而确保安全事件得到适当的处理和应对。未来,L5级AI的自动进化能力将进一步推动安全领域的发展。AI将能够根据环境变化自主地修改自身的配置和代码,就像人类一样,实现能力的跃迁。
总结来说,整体的思路是场景为先,数据为王,解决大模型的瓶颈不是从0到1训练大模型。
