张昊：大模型网络安全新机遇

5月10日，由中国企业改革与发展研究会主办，中企研数字经济与数据资产工作委员会、企业观察报社承办的央企AI+大模型应用论坛在北京举办。论坛上，深信服央企解决方案总监张昊就大模型在网络安全领域的应用成效与路径进行了分享。

张昊表示，近年来，大模型技术发展迅猛。Transformer奠定基础架构，ChatGPT在自然语言处理预训练与微调上取得突破，DeepSeek结合强化学习与混合专家模型架构，降低了训练成本、提高了推理性能，推动AI进入普惠时代。

在张昊看来，在网络安全领域，大模型既带来了机遇，也带来了挑战。从网络攻击角度看，大模型增加了攻击手段，攻击者利用网络攻击智能体，能更智能化、自动化地发起攻击。而在防护方面，大模型为全球网络安全产业注入了新动能，其知识理解、语义理解、上下文关联和逻辑推理能力，更适合完成网络安全领域的任务。全球网络安全公司正积极探索大模型在网络安全方面的应用，在产品中引入大模型能力。

据介绍，深信服依托20多年积累的千亿级高质量安全语料及在安全AI算力和团队上的优势，于2023年5月推出国内首个安全大模型，目前已迭代四个版本，发布了安全运营、Web威胁检测、钓鱼检测、数据安全等多个场景下的大模型，落地了多家政企用户，并在攻防实战演练中发挥了重要作用。

对于大模型赋能网络安全，张昊总结了三个核心观点：

第一，大模型是网络安全的未来。网络安全核心任务涉及处理流量数据、命令行、日志、邮件等有丰富语义的文本，大模型擅长处理此类内容。回顾安全检测引擎发展，从规则库到AI小模型，再到如今大模型阶段，大模型凭借推理、泛化和文本输出能力，在攻击检测研判和攻防建议输出上效果显著。网络安全任务知识密度高、离散性弱，利用高密度知识构建训练语料并围绕细分场景迭代优化，可逐步实现商用。全球安全企业在大模型赋能网络安全方面已有应用，国内外用户关注场景存在差异，但都积极拥抱这一趋势，发展态势迅猛。

第二，构建安全大模型是复杂工程。一些通用大模型虽在通用安全知识和问答、推理上表现出色，但在流量检测和深度告警分析研判场景中，难以直接商用。构建安全大模型需三个要素：一、高质量数据和强大基座模型，经多轮数据训练得到安全模型；二、优化系统架构，解决性能吞吐瓶颈；三、对安全场景任务的理解，关联工具解决实际问题。

第三，大模型赋能安全场景要确保实战有效。大模型在安全领域有智能问答、检测引擎赋能流量检测、邮件检测、赋能平台能力等应用。有两个核心场景能发挥更大价值：一、传统引擎难以解决的少特征或无特征攻击；二、依赖专家知识的海量告警降噪、黑客攻击链梳理等场景。在流量检测、钓鱼邮件检测、安全运营、溯源、数据安全等方面，大模型相比传统方式有显著优势。深信服在国家攻防演练中上线多个用户，在安全运营、Web检测、钓鱼邮件等场景成效良好。

张昊将AI赋能网络安全的路径分为四个阶段：第一阶段是安全问答机器人阶段；第二阶段是通过大模型赋能单点技术，如告警降噪、分析研判、钓鱼等环节；第三阶段由点到线，通过大模型闭环整个安全业务流；第四阶段是人作为辅助或监督角色，安全工作由AI闭环，通过多智能体协同解决各场景工作。从阶段二到阶段三的技术架构，最底层是算力和网络基础设施，之上是底座层，包括数据底座和模型底座。数据底座进行广泛数据接入和安全数据治理，供给安全模型或应用；模型底座进行安全大模型管理、训练推理、API对接、Rag接入和微调等工作，构建不同场景的安全大模型，与现有安全体系充分融合，还可与业务大模型联动，未来在智能安全助手、智能安全员工、自动化渗透攻防测试等领域有更大发展空间。