深信服安全GPT技术应用一文详解
网络安全领域,一场新的风暴正在席卷。
深信服首秀安全GPT技术应用,实力刷屏。着极强的好奇心,大家都想深挖深信服安全GPT背后的技术积累。
经过梳理,大家常常提及的有以下9个问题,今天深信服一次性进行详细解答,希望能帮助大家全面了解AI+安全,以及安全GPT技术应用。
(相关资料图)
关于AI+网络安全
Q1:从小模型到大模型,“AI+网络安全”如何发展?
生成式大模型的爆火不是一蹴而就的。AI技术经历了从决策式小模型到生成式大模型的发展历程。
最近十年,决策式小模型被大规模应用在电商、娱乐、人脸识别、自动驾驶、文本分析等领域,不知不觉早已在各行各业中司空见惯。今年开始,以ChatGPT为代表的生成式大模型爆火,慢慢涌现出在不同行业的技术应用,网络安全亦是其中之一。
顺应技术发展趋势,以深信服为例,作为国内最早应用AI的网络安全厂商之一,深信服在2015年开始投入决策式AI技术的研究和应用。2016年,深信服不断加码AI技术并确立了AI First的研发战略,在网络安全和云计算领域都有可落地、有效果的技术突破:
未知病毒检出率国内第一的SAVE 3.0引擎
实现云原生应用自我保护的NoDR技术
精确度超90%的AIOps 智能运维分析引擎
……
目前深信服在十几个不同的技术领域都用到了人工智能,均取得了良好效果,这些技术大量应用到深信服的产品和用户使用场景中,深受认可。
从AI小模型到提出AI First战略,深信服累积了研发垂直领域AI大模型所需的高质量数据语料、既懂AI又懂安全的人才、面向AI体系化协同的云网端产品体系。
基于这些积累,在2022年明确全面拥抱大模型后,深信服得以在业界首秀安全GPT,为网络安全发展注入新动能。
Q2:为什么网络安全领域需要GPT大模型技术应用?
一方面,GPT大模型的出现,让攻击方可以更便捷快速地生成攻击工具、混淆攻击代码等,针对性地构造未知、高级的攻击。当前安全设备对于这种未知恶意样本查杀能力较弱,很容易被攻击者绕过。而过去广泛应用于安全检测领域的AI机器学习小模型,每种模型只能用于单一检测场景,小模型训练与研发效率较低,误报率居高不下。
另一方面,在安全运营工作中,人员能力和精力仍然是巨大的瓶颈。即使是专家级别的运营人员,面对高级安全威胁也要花费数小时甚至数天进行分析和研判,同时在某些领域仍会存在能力短板。安全运营效率和效果提升面临较大的发展瓶颈。
深信服认为,面对攻击方使用大模型,防守方能力瓶颈难以突破的情况下,防守方也要充分拥抱大模型,以智能对抗智能,以AI赋能防守,方能应对大模型时代的安全挑战。大模型既有泛化的检测能力,也有高质量的攻击解释能力,以及分析态势和处置建议的生成能力,由此可以提升高级威胁检出率、降低误报率(安全告警里判错的比例),极大拉高安全运营团队的能力水位线,促进安全建设效果、效率的提升。
Q3:网络安全行业玩转GPT大模型有哪些门槛?
数据、算力、模型算法、产品架构是在网络安全领域玩转GPT大模型的门槛,此外,我们也不能忽视复合型人才队伍的打造。
作为一家深耕网络安全和云计算的公司,深信服在安全领域应用GPT技术有一些天然优势:
面向AI模型训练的高质量数据和算力
持续累计的千亿级Token安全语料。
自动化的训练数据生成和质量管理平台。
55w+安全设备和组件接入云端。
每日更新数千万训练样本。
基于托管云的分布式算力平台。
云网端智能产品架构
数据采集/模型训练/部署落地全流程的安全产品。
国内率先推出SASE、MSS等云化产品和服务。
Genius AI研发平台模型训练速度提升3.5倍。
全国100+节点托管云,支撑安全GPT贴近用户部署。
四位一体的专家队伍
快速组建既懂安全、又懂AI的专业团队。
Q4:以GPT为代表的AI技术应用于网络安全,主要带来哪些方面的增益提效?
网络安全的本质在于攻防对抗。根据Gartner“防御-检测-响应-预测”的新一代自适应安全防御架构,GPT大模型技术应用于网络安全可以从检测、响应、预测三方面切入,最终实现对于威胁的有效防御。
检测:判断文件样本、代码等是否恶意,访问登录、进程通信等是否异常,从而精准识别未知威胁。
响应:实现告警削减、攻击链溯源,以自然语言对话的方式,实现自动化/半自动化响应。
预测:通过大量学习恶意样本、对抗策略,以及挖掘漏洞,真正实现以攻促防,预测攻击的发生。
关于安全GPT技术的底层能力
Q5:安全GPT和OpenAI的ChatGPT有什么关系,是否用到了ChatGPT的能力?
深信服安全GPT是完全自主可控的,不应用ChatGPT能力,且由深信服自主训练,训练数据部署在深信服托管云上。
深信服安全GPT以自研模型 SangforLM 为技术基础,吸收业界众多先进的开源大模型优秀实践,不断进化。
基于深信服8年来持续积累的高质量安全语料,深信服安全GPT通过预训练和参数微调等方式,能够深入攻击样本检测、漏洞研判、分析处置等安全细分场景,实现深度理解和专业研判的安全领域垂直大模型。
在推理能力方面,安全GPT以自然语言交互为基础,具备强大的用户场景上下文理解能力。
在事件研判方面,深信服打通了本地系统和产品,安全GPT可以快速研判安全事件并给出正确结论,联动日志进行溯源分析,并具备准确率极高的流量检测能力。
基于生成式AI的安全GPT在辅助安全运营方面,具备极强的用户需求理解和建议生成能力,可大幅降低服务和运营人力成本,为安全运营全面助力。
接下来,安全GPT会持续通过高质量安全语料和云网端产品架构的不断喂养和学习,同时在安全专家和小模型的监督调优之下,在安全的各个领域持续提升能力。
Q6:安全GPT技术应用在XDR平台上,如何识别未知威胁?
安全GPT对未知攻击的检测,来源于对攻击流量、文件的深度理解能力。经过预训练之后的大语言模型对于代码、文本天然具备较好的理解和生成能力。
深信服利用安全领域的高质量攻击样本对安全GPT进行投喂训练,结合多种大模型微调手段,以及专家、小模型的监督强化,使得安全GPT最终具备对未知攻击的意图理解、异常判定、混淆还原能力。
通过前期5000万样本数据测试,相较传统检测引擎,赋能安全GPT技术的深信服XDR高级威胁检测率高达95.7%,误报率(安全告警里判错的比例)仅4.3%。
经过多轮验证测试,深信服安全GPT技术已经达到5年经验的安全专家水平。
Q7:安全GPT技术辅助运营的基本原理是什么?
用户通过XDR平台对接安全GPT,使用自然语言开展安全运营。
用户的自然语言对话请求经过XDR平台,会与用户本地的各类信息,如资产信息、攻击上下文等信息进行关联,送入云端安全GPT进行理解。
安全GPT进一步通过XDR平台与各类安全设备、情报、资产库表进行对接、查询和调查,将查询得到的信息进行理解、转化。
根据不同场景的个性化需求,安全GPT可以用文字、图表等多模交互的关键指标为输出。
由此,运营人员的梳理总结工作由小时级缩短到秒级,价值感知一眼便知。
Q8:企业里使用GPT技术有一定的数据安全合规要求,对此深信服安全GPT是如何做的?
深信服深耕网络安全多年,坚持网络安全和数据安全的底线。深信服进行大模型训练的数据均为通用安全知识,不涉及任何与用户信息相关的数据。
大模型部署推理所需的数据,执行严格匿名化策略,保证数据不标识到具体用户。
同时,深信服确保数据不出境,不同用户的数据充分隔离不互通。
Q9:安全GPT+XDR平台与安全组件对接,是否必须是深信服的组件?
深信服XDR作为一个开放的平台,通过原生的流量采集工具与端点采集工具收集关键数据,通过网端聚合分析引擎对数据进行上下文关联分析,实现攻击链深度溯源。
目前,深信服XDR支持对接自身网和端的安全组件,也支持第三方设备安全数据的对接和应用。XDR平台对接第三方组件后,安全GPT即可通过XDR平台对接第三方组件进行分析响应。
“AI+安全”依托“云-网-端”架构落地
站在用户视角,未来的安全建设,拥抱大模型时代的“AI+安全”,离不开云网端架构的落地:
依托承载AI小模型技术的终端、网络安全组件,配合云端规则库和情报库,针对流量侧和终端侧的文件进行检测。
将检测到的数据源,传输到开放平台进行关联分析,削减海量告警,还原事件。
安全GPT收集平台关联分析的数据,针对复杂攻击和场景,进一步理解、研判,并给出最终处置建议。
最后,为了助力用户“安全领先一步”,我们希望用户立足大模型时代,充分将AI技术手段运用到网络安全领域,出于切身体验,还有以下几点建议:
正确认识AI技术应用:一定要理性评估AI技术的应用手段,并保持对大模型快速发展的关注。
正确评估建设路线:开放协同是基本要求,可以考虑以云化方式,与已有安全设备整合,并集成到当前安全业务流。
关注AI引发的风险:谨慎防范数据投喂泄密,以及更为广泛的API使用带来的暴露面风险。