梁浩：大模型加速走向真运营

重大活动保障重大活动保障安全合规建设安全运营普遍需求安全合规建设安全工作协同安全工作协同落实网络安全监测预警和通报制识别、评估和管理所面临的安全在一些重大节日或重要活动等时间针对行业应用系统或数据资源开展度，建立健全网络安全风险评估和风险，并采取必要的措施并采取必节点，能够7×24小时全天候安全常态化安全监测，感知网络安全态应急机制，有效识别和消除安全隐要的措施来降低风险。通过网络安值守，事前查漏补缺，补齐安全短势，结合最新情报快速通报预警，患，落实管理和技术举措，保障安全运维，防范各种网络安全威胁，板，事中实时监测，快速研判分形成行业联防联控网络安全风险能全策略动态有效性、满足安全合规确保网络的安全性和可用性，使网析，事后启动应急消除事件影响，力，整体提升行业网络安全保障水络系统的安全性得到持续维护和提实战化要求越来越高。传统SIEM平台的困境数据量激增全数据呈指数级增长，传统SIEM系统的数据处理能力已难以应对。威胁情报集成不足传统SIEM系统在整合外部威胁情报方面能力有限，导致无法及时识别新型威胁。数据类型多样化片、视频等）在安全分析中的价值日益凸显，而传统SIEM系统对此类数据的处理能力有限。面对高级威胁和零日漏洞，实时数据处理能力至关重要，传统SIEM系统在这方面存在明显不足。检测规则僵化基于预设规则的检测方式无法应对不断变化由于缺乏自动化响应机制，传统SIEM系统在发现威胁后往往需要人工介入，延误了最佳响应时机。威胁检测与响应有滞后性数据处理能力有瓶颈威胁检测与响应有滞后性数据处理能力有瓶颈运营现状：精准检测，牺牲全面性威胁检测覆盖度与依赖人工的分析能力难两全现实情况：高级威胁（或针对性攻击）所采用的技术，如信等，具有隐蔽性增强、潜伏周期长的特点，想要实现精准检测很困难，通常会产生大量异常/可疑类的行为特通信算法检测等告警），在精准检测以求降噪和降低告警分析工作量的场景下，不得不降低或关闭此类泛化的弱信号检测，造成高级威胁漏报。运营现状：全面检测，牺牲准确性威胁检测覆盖度与依赖人工的分析能力难两全关注覆盖更多的攻击技战术！现实情况：•有经验的分析师1天能分析多少告警？•有经验的分析师是否整天都在分析告警？•有经验的分析师是否一直愿意分析告警？一个"典型的"中型企业每日告警量：针对已知威胁1k-10k告警，针对未知威胁10k-100k告警。在这海量告警中，有明显特征的告警：至少需要分析师“看一眼”->核查误报，打标结果，提交处置；无明显特征的告警：更需要借助工具（如真运营目标：全面检测，精准检测需响应事件原始安全事件高置信告警原始告警检测原始告警观测数据源大模型如何改变安全运营现状生成式AI应用级别描述示例L1Tool人类完成所有工作，没有任何明显的AI辅助绝大部分应用L2Chatbot人类直接完成绝大部分工作。人类向AI询问意见，了解信息。AI提供信息和建议但不直接处理工作初代ChatGPTL3Copilot人类和AI进行写作，工作量相当。AI根据人类要求完成工作初稿，人类进行目标设定，修改调整，最后确认GithubCopilotMidjourneyChatGPTwithPluginL4AgentAI完成绝大部分工作，人类负责设定目标、提供资源和监督结果。AI完成任务拆分，工具选择，进度控制，实现目标后自助结束工作AutoGPTL5Intelligence完全无需人类监督，AI自主拆解目标，寻找资源，选择并使用工具，完成全部工作，人类只需给出初始目标类冯·诺依曼机器人现有平台业务整合，对外一个平台现有平台业务整合，对外一个平台模块化控制业务，提供方案灵活性与MSS统一，沉淀全公司运营体系安全运营平台产品设计-思考产品设计-思考AI从简单使用AI到AI原生数据利用-知识驱动数据与知识生态驱动规则到思考-客户环境自适应规则到思考-客户环境自适应智能化-自动化智能化-自动化技术架构：大模型作为核心引擎大模型擅长做什么大模型目前可以做什么L3，人机协作大模型不擅长做什么特定问题处理的实操经验01认。01自我知识强化和持续学习0203大模型本身的训练成本极高，无法根据用户的反馈和不同的环境条件进行最佳效果。0203大量结构化数据分析04可能受到一定程度的制约。大量结构化数据分析04海量数据处理05大模型在处理处理长上下文、海量数据时，受到token限制，性能和开销较高。在海量数据的处理模式下对大模型提出了更高的要求。05复杂任务大模型在处理复杂任务时，需要进行慢思考，即“let’sthinkstepbystep”。这是因为大模型在处理复杂任务时，需要充分考虑各种因素，以确保得出正确的结论。安全运营团队的组织架构变化-Agent员工化任务分工与协作管理安全运营主管/架构师-人类任务认领与分解执行工程实践：优化安全大数据->事件小数据的逐层精炼工程大模型应用效果总结真运营：智能辅助，持续降低运营成本有人味：数字人互动讲解总结：大模型不是魔法，但有望实现真运营产品名称AI加持，能力提升智能分析平台恒脑自动研判调用恒脑研判分析能力，快速获取恶意、误报、未知等研判结果，并可以发起自动联动处置恒脑辅助研判半自动化研判手段，降低分析的门槛，提高研判分析的效率与准确性。智能运营助手提供智能巡检分析、日志智能解析、日志标准校验、告警类型映射、事件场景建设等能力。智能响应平台智能检索通过自然语言即可实现告警数据的检索。智能联动用户无需了解安全设备的技术细节和命令语法，通过自然语言即可完成相关操作，简化操作流程，