启明星辰又多了一颗“星”

发布时间：2024-12-31 15:42

前言：

随着人工智能在网络安全领域的深入应用，安全大模型的研发虽取得显著进展，但也面临着诸如 “策略生成准确率” 等关键问题的挑战。基于此，启明星辰集团专家与媒体展开深度对话，剖析了当前安全大模型发展的挑战与机遇，并详细阐述了启明星辰集团在此方面的实践探索和战略规划。

“每次生成的策略都不一样。”

研发进入攻坚阶段，但“策略生成准确率”问题，一直没有很好地解决。那时的安全大模型好像还没个准主意。面对相同的攻击测试，一会给你支这个招，一会给你支那个招。好在，启明星辰是有些“家底”的。过去28年攒下的那些家当，到关键时候就排上了用场。

启明星辰亮出“家底”

2022年3月，九天·泰合安全大模型立项研发。6月，启明星辰拿到了“无限开火权”，获得了中国移动的算力支持，研发正式启动。这此一点，就足够国内众多安全企业，羡慕三天三夜。

其实，安全企业对人工智能的研究，可追溯到上世纪80年代，例如，学术界提出IDS概念时，其中的统计异常检测系统，以及专家系统，就有人工智能技术的影子。只不过，当时产业界并不太认可这条门槛较高技术路线。

又过了30年。

2010年前后，安全企业对人工智能的研究，迎来另一个高峰。那时大数据技术开始成熟且流行，安全企业也就有了新想法，既然这么多数据已经被记录，那干点啥，能比签名检测的方式更高效？就是在此之后，安全企业开始基于数据，进行统计分析、异常检测，以及机器学习方面的研究。

但这些都不能跟现在的大模型相比。

通用大模型给安全企业，带来了无与伦比的兴奋。他们第一次解锁了“知识泛化”能力和“思维链”能力——有了“知识泛化”能力，大模型就快速增加了知识储备，能够回答各类专业的安全问题；有了“思维链”能力，安全大模型就能将各类问题，拆解为可执行的步骤——既它能告诉你问题，也能告诉你怎么解决问题。

但困难还是有的。

“策略生成准确率”就是必须要解决的问题。如果基于同样的提示词，大模型每次都能生成不一样的文章，那这事好像还挺有意思，但在安全这样的严肃场景中，生成处置策略的准确率，以及可解释性就是头等问题。

好在启明星辰是家有“家底”的公司。“数据集的质量和数量，决定了安全大模型能力的上限。”周涛是启明星辰集团副总裁、核心研究院院长，对于解决“策略生成准确率”问题，他首先就想到，要不断注入高质量数据。

但数据从哪来？

威胁情报数据肯定是重要的数据来源。过去，拿到威胁情报数据，安全企业只会抽出有用的IOC（威胁指标），以解决现实问题。现在，安全企业还会“一鱼二吃”，除留下IOC（威胁指标），原始的威胁情报数据，也会留下来，进行模型训练。

启明星辰也会很珍惜每一条威胁情报数据，只不过，这家公司还另有优势。在此之前，启明星辰已在全国累计建成落地130余座安全运营中心，国内应该无出其右者。而从安全运营中累积的日志，以及安全运营报告，都是可供训练的高质量数据。

更重要的是，“九天·泰合安全大模型的研发，得到了公司各产品线的全力支持。”周涛说:

九天·泰合安全大模型的研发，是一项公司级战略。“产品研发部门拿出了此前沉淀的手册、文档，以及知识库。启明星辰百余款产品的报表模块，也都贡献出来用于数据训练。”

“AI+安全”战略落地

就是这样持续的投入，一年之后，即2024年5月，九天·泰合安全大模型正式发布。显然，周涛对它很有信心，周涛说：“常规自然语言处理领域的‘打榜’并没有用，就像学霸并不一定是安全专家。‘业务’效果才是检验安全大模型的唯一标准。”

这也就是启明星辰接下来的想法。在推出九天·泰合安全大模型四个月后，启明星辰又正式发布了“安星智能体”，此前其提出的“AI+安全”战略，这时也逐渐清晰起来。

“AI+安全”战略涵盖了“基础层、模型层、应用层”。其中，“基础层”是以中国移动九天大模型为核心底座，这解决了模型训练和推理应用中的资源问题；在此之上的“模型层”，启明星辰依托高质量的安全数据集，为通用大模型注入安全能力，这也就是九天·泰合安全大模型。

“但小模型也不能丢。”

在此之前，启明星辰进行了充分的讨论——大模型让安全企业第一次解锁了强大知识泛化能力。但是不是什么任务，都要丢给大模型完成？显然不是，启明星辰希望专业的模型干好专业的事情。

所以小模型也不能丢。

这也就是启明星辰的研发思路，就如周涛所说：“最主要的效果”。启明星辰总是希望用户能以最小的资源代价，达到最佳的应用效果。正因如此，目前，启明星辰已累计研发恶意样本检测、加密流量检测、异常进程识别、账号行为分析、业务风控、分级分类等多个特定场景的小模型。

这些“小模型”，同样位于“AI+安全”战略的“模型层”。而大模型与小模型之间的关系，就像“大脑”与“计算器”。再聪明的“大脑”，在特定环境下，有时候也不如“计算器”来得快。

更进一步。在大小模型共处的“模型层”之上，就是“应用层”。启明星辰的所有设备就已经完成了安全能力的原子化和API化改造。这就为“安星智能体”奠定了技术基础——通过位于“应用层”的安星智能体，可全面提升安全检测、分析、响应和自动化处置全流程的智能化安全运营水平，并建立闭环能力升级机制。

大模型有了手和脚

变化由此而来。

周涛首先解释了“智能体”与“安全助手”间的区别。“安全助手”只具有安全知识问答、告警解读，以及安全数据分析、漏洞影响评估、生成事件总结报告等能力。“智能体”在此之上，更增加了智能决策、复杂任务自主处理功能。

也就是说，启明星辰加上了安星智能体这颗“星”。就意味着九天·泰合安全大模型已经顺利落地应用场景，已经显现了安全大模型与业务的深度耦合，提升了任务的自主决策与处理能力。

周涛进一步解释了其中的关联：“启明星辰希望未来的企业安全架构，能够感知环境、做出决策、采取行动的实体。” 其中，“感知环境”是大模型基于网络环境中的各类日志数据检测威胁；“做出决策”是大模型对于已确认的威胁行为生成防护策略；“采取行动”是智能体具备与网络环境交互的能力，而实现策略执行。

或者说，九天·泰合安全大模型就是“大脑”，他根据报警信息，生成了可执行的策略脚本，以及划分动作序列。安星智能体则是大模型的“手和脚”，负责具体调用各类设备，以及策略的下发执行，并最终再将结果反馈给大模型。

以运营服务为例。安全运营是对知识和设备强依赖的场景，也是最适合安全大模型落地的应用场景。在此方面，九天·泰合安全大模型已经具备了数据分析能力，并能够分析告警趋势。同时，大模型还已具有报警解读能力、告警验证能力。进而，大模型还已具备相应处置能力，能够快速定位告警，更能够快速生成策略。

智能体则负责具体执行，负责快速阻断攻击。在此过程中，智能体通过API接口，就能自动调用安全设备和安全模块，并形成响应闭环。

“这极大地提升了工程师数据分析、策略制定等方面的工作效率。”周涛说：“我们做过测试，告警处置时间可从半小时，缩短到两分钟。”以前是一连串工作，工程师要从头忙到尾，现在每位工程师身边都站着位“助理”，“助理”帮你完成这些工作，工程师只有进行审核和判定。

“而且综合性的安全企业，此后也将更有优势，因为他们更容易形成设备联动。”周涛由此得出结论。“因为如启明星辰这样的综合性安全企业，一直建立有完整的元数据管理系统，安星智能体就可以通过元数据管理系统，调动各类网络设备、安全设备的接口，实现大模型与设备之间要实现交互联动。”

“更重要的是，‘大模型+智能体’还形成了‘飞轮效应’。一成不变的安全大模型，在攻击者的反复刺探中，防御能力也会迅速衰减。但基于安全运营人员在真实场景的真实反馈，就可完成对大模型和智能体持续的迭代，可打造能力升级的‘飞轮效应’。”周涛最后说。

以上文章来源于张戈BP ，作者张戈

网址：启明星辰又多了一颗“星” http://c.mxgxt.com/news/view/612915

上一篇：再添双证！启明星辰解锁AI+安全

下一篇：求介绍绿盟科技和启明星辰的发展前

启明星辰又多了一颗“星”

相关内容

随便看看

最新实时动态

热点实时动态

专题

推荐实时动态