電信安全公益案例
本專案案例由電信安全投遞並參與數據猿與上海大數據聯盟聯合推出的 #榜樣的力量# 【2024中國數智產業最具社會責任感企業】榜單/獎項評選。
以GPT系列為代表的大模型技術,展現了人工智能技術與套用的飛速進步。在網絡安全領域,人工智能套用潛力巨大,亟待開發。過去十年,AI技術已逐步融入多種安全工具和產品,如顯著提升辨識率的AI垃圾郵件檢測、在網絡入侵檢測中成效顯著的深度學習網絡等。然而,傳統AI套用面臨挑戰:需大量人工標註數據,模型通用性差,不同問題需單獨建模,阻礙了大規模套用。
針對此,我們正積極探索大模型在安全領域的套用,透過微調垂類安全大模型,聚焦解決安全營運中的攻防不對等、告警疲勞等痛點,旨在釋放大模型潛力,使營運人員專註於高價值任務,實作自動化異常分析、自適應防禦策略生成等,降低人工幹預,突破營運效率瓶頸。
同時,隨著大模型興起,其安全問題也日益受到關註。國內外正積極探索大模型安全相關課題,旨在確保大模型在安全、可靠的環境中套用,並保障其自身安全。
時間周期:
開始時間:2023年6月
截止時間:至今
服務周期:2023年11月,釋出見微安全大模型1.0;2024年5月,釋出見微安全大模型2.0。
套用場景
在數碼化轉型加速的今天,企業面臨的網絡安全威脅日益復雜多變,傳統的安全營運模式已難以滿足高效、精準的安全防護需求。在大型企業的安全監控中心,每日可能接收到數以萬計的安全告警資訊,其中不乏大量誤報、重復或低危告警,導致安全團隊陷入「告警疲勞」的困境。「見微安全大模型」透過深度學習演算法,對這些海量告警進行智能分析,自動辨識並過濾無效告警,精準定位真正的高危、緊急事件。這一功能不僅減輕了安全人員的工作負擔,還確保了關鍵安全事件能夠得到及時響應和處理,有效防止潛在的安全風險轉化為實際損失。
面對復雜多變的網絡攻擊手段,安全團隊往往需要快速制定應對策略並調整防禦體系。「見微安全大模型」作為營運助手,能夠基於歷史數據和即時威脅情報,為安全團隊提供即時的問題解答和決策支持。無論是制定應急響應計劃、最佳化安全策略,還是評估潛在威脅的嚴重性,大模型都能提供科學、合理的建議,助力企業構建更加堅固的安全防線。
為此,「見微安全大模型」應運而生,它深度融入企業安全營運體系,為多個關鍵套用場景提供強有力的支持,顯著提升企業的安全防禦能力和營運效率。
面臨挑戰
研究過程中遇到的主要瓶頸問題是數據集的選擇和模型泛化能力提升。高質素的數據是訓練有效安全模型的基礎。在安全領域,獲取大量的、標註準確的數據尤其困難,因為安全事件往往是罕見的,而且很難獲得真實的攻擊數據。此外,數據私密和合規性問題也限制了數據的可用性。安全模型需要在不同的環境和場景中保持高效和準確。然而,模型可能會在特定數據集上表現良好,但在現實世界的多樣化和動態變化的環境中表現為泛化能力不足。
我們針對數據集問題,主要依靠電信自有安全中台優勢,匯聚生產場景化安全高質素數據集。同時,充分發揮營運商的優勢,將萬億級的流量、網域名稱、情報等準即時數據作為大模型的基礎儲備知識。在泛化能力方面,我們采用了數據增強、整合學習、多工學習、交叉驗證等多類方式,同時在數據集的選擇上進行精心挑選,確保數據集覆蓋足夠的場景和變化,可以幫助模型學習到更泛化的特征。
技術開發過程
一、整體框架
「見微安全大模型」是電信安全公司依托多年累積的高質素的數據集和海量的安全知識庫,以及對網絡安全營運場景深入的理解,形成的安全垂類大模型,主要聚焦於安全領域安全告警疲勞、營運效率低下、安全專家稀缺三大痛點問題,著力為客戶的安全營運流程中提供威脅告警的智能研判與降噪、安全營運輔助等能力,幫助客戶自動辨識和過濾大量的無效告警,只保留最關鍵、最有價值的安全事件,極大地減少了人工介入的需求,降低了營運成本,同時作為營運助手提供即時問題解答,幫助營運人員簡化營運流程,提高營運效率。此外,見微大模型還具備強大的可延伸性和靈活性,能夠適配各種復雜的安全環境和業務需求。
其總體技術架構如下:
安全大模型從下往上可分為數據工程層-模型層-任務層-套用層:
數據工程層:提供數據的工程化處置能力,如數據清洗、標記、增強等。
模型層:專註於一系列微調方法和提示詞工程的建設,處理威脅數據的高度動態性,確保相關業務的準確度。
任務層:負責執行基本任務。這些任務作為大模型提供套用的能力基礎。
套用層:實際為監管平台或營運平台提供呼叫的大模型能力。
另外,算力基礎層和資料來源層位於安全大模型之下。算力基礎層提供模型推理基礎算力;資料來源層支撐匯集各營運商雲網數據、客戶私域數據、以及三方的威脅情報等數據,同時結合相關的政策發文檔,投入模型,形成相應的知識庫。
綜上,算力基礎與使用者特色私域數據以及AI技術手段相結合,再經過模型學習和訓練,得到更加貼合實際套用需求的垂類模型能力,為安全監管和安全營運提供輔助支撐能力。
二、能力研發創新點
1、數碼生態地貌
能力介紹:數碼生態地貌系統根據全自動化地幫助使用者梳理企業公網暴露的節點,透過KCT理論即時計算地貌節點的重要度、健康度等指標,為企業呈現出其公網節點的網絡安全數碼生態地貌。
研發流程:透過在即時網絡流量數據上結合AI+的能力,挖掘更新客戶影子資產節點、高疑資產節點,並從節點重要度、健康度、相似度、關聯度等不同數據特征角度構建客戶的網絡空間數碼生態地貌,並以直觀的3D地圖引擎展示的方式,為客戶全面、清晰、準確地勾勒還原公網暴露面全貌。
創新點:
1)AI增強的即時數據處理能力:系統利用人工智能技術結合數據,實作了對企業公網暴露節點的即時監測和分析。AI的能力使得系統能夠以小時級或天級別的頻率,快速挖掘和更新確認資產、影子資產和疑似資產節點,從而構建出動態變化的網絡安全數碼生態地貌。
2)不同結構的地貌構建演算法:探索出不同類別節點地貌的通用構建方法(中心型,去中心型,分布式型);研發了基於多源資訊的節點歸屬方法。
3)多種地貌節點的發現演算法:透過對節點畫像特征,行為特征,時序特征等多方面資訊進行建模,結合DBScan、Louvain等方法對地貌節點進行發現與召回。
4)多維度數碼生態評估:透過考慮節點的重要性、健康度、相似度、關聯度和攻防難度等不同數據角度,系統能夠全面評估網絡空間中每個節點的狀態和特性。這種多維度評估方法有助於深入理解網絡資產的復雜性和相互依賴性,為網絡安全管理提供了更為豐富和細致的視角。
5)先進的視覺化技術:為客戶呈現基於2D圖模型的節點通聯關系與基於3D即時地圖引擎的地貌展示系統,將復雜的網絡安全數據以直觀、易於理解的方式展現出來。透過展示節點的重要度、健康度等多維度狀態,和節點之間的互通關系和流量情況,使企業能夠全盤掌握資產畫像。
2、威脅研判
能力介紹:
大模型威脅研判支持對海量威脅告警進行自動化研判分析和降噪處理,威脅研判的類別包括但不限於payload、URL、pcap以及原始日誌資訊。透過大模型的自動化研判分析,可以幫助使用者對威脅資訊進行解讀,去除誤報發現真實的攻擊,同時提供處置結論和方案輔助分析人員對告警事件進行快速處置,並能直接對接處置平台進行自動化處置。透過接入態勢平台或第三方告警匯聚平台,即時獲取告警數據,可以對海量的告警進行自動化降噪和智能化研判,同時將全方位的研判過程、精準的研判結果以及詳細的處置建議反饋給客戶,幫助客戶更好地應對和處置。
2.1 告警研判
威脅研判支持對海量告警進行智能化研判,內容包括告警類別解讀、上下文解讀、報文解讀,能結合解讀結果對告警進行誤報、正常業務授權、真實攻擊等研判定性,同時提供大模型研判依據以及處置建議和方案。
2.2 告警降噪
告警降噪主要針對真實告警進行告警聚合和事件生成。大模型針對告警之間的時序關系、攻擊鏈階段構成、告警資產聯系等告警之間的相關性,結合威脅情報後自動對告警進行聚合生成安全事件,將大量單獨告警歸並為具有明確上下文的安全事件,同時由大模型對安全事件進行研判並生成事件處理的優先級以及處置建議,讓安全營運人員直接聚焦高質素安全事件。
3、大模型護欄
能力介紹:
從生成式人工智能服務全生命周期視角出發,打造大模型安全全鏈路解決方案,方案涵蓋模型、業務系統等關鍵模組所面臨的安全風險和挑戰,提供相應的風險檢測和安全防護能力,確保人工智能安全可信。打造多重核心演算法,包括打造針對特定任務的語意風險檢測模型、構造紅線知識庫,搭載策略配置引擎和程式碼稽核模型,最終建立嚴格的輸入輸出防護機制,防止使用者惡意輸入和攻擊。
創新點:
1)自動化攻擊語料生成:構建了自動化攻擊語料生成的框架,能夠確保評測數據的多樣性和覆蓋範圍;同時,我們定期從外部資料來源收集相關的風險話題文本,透過不斷更新和豐富話題文本,我們可以確保風險內容評測數據的時效性,確保風險檢測的準確率和召回率。
2)多層級風險檢測模型:采用先進的自然語言處理技術,結合上下文理解,辨識隱喻和潛在不良資訊。建立智能過濾系統,結合機器學習和專家規則,及時更新和最佳化過濾規則,提高監測的準確性和時效性。
套用效果/社會價值
人工智能技術迅猛發展的同時,也會帶來諸如「AI換臉」、「AI變聲」深度偽造等一系列安全風險。中國電信深諳生成式人工智能技術變革之深刻,在積極擁抱變革的同時,也要及時認識到變革過程中不可避免的風險。在此形勢下,企業往往面臨著更大的未知安全風險。中國電信加大研發力度,致力於改善人工智能技術使用過程中伴隨的安全問題,透過將安全大模型融入企業的營運平台,將有助於企業貫徹落實【網絡安全法】的要求,提高自身網絡安全管理能力,降低網絡安全隱患,從而幫助企業提升安全營運效率及安全服務質素。
中國電信踐行作為央企的責任與擔當,將安全大模型的套用聚焦以下三方面:
1、提升企業整體安全管理水平
開展以大模型為核心的面向不同場景的多維智能分析,形成安全分析中心、安全情報中心、策略指揮中心和安全態勢展示中心,即時掌握網絡安全態勢,提升安全事件應急處置能力,提高重大活動保障能力,支撐安全監控部門開展網絡安全工作,保障電信企業網絡安全,建設整體的安全智慧型營運體系。
2、提升安全應急處置能力
結合大數據/AI分析能力,協助工作人員完成處理告警復雜的工作,確保重要的安全事件不被海量告警淹沒。提供安全事件溯源、處置工作台等集中的安全事件管理和處置功能,提高安全運維人員工作效率。透過大模型的融入,對原始告警的壓降率可達99%以上,研判準確率可達95%以上,整體營運專案可提升50%以上。
3、提升體系化縱深聯動防禦能力
透過結合安全營運領域的數據和演算法最佳化,提升了模型的安全性和效率,以及在網絡安全、威脅檢測、情報分析等專業任務中的效能,最佳化安全威脅告警和預警輸出的能力,提供準確而快速的安全告警和預警功能,建立基於高質素、多源威脅情報的交叉驗證和關聯分析,提升主動防禦能力,從集團面向各省公司,實作安全隱患、預警資訊的通報,推動重要緊急安全問題的快速響應和處置。
多措並舉,中國電信安全大模型不僅能幫助企業提升應對安全事件的快速響應和高效處置能力,確保重大活動期間的網絡穩定與安全,進而為企業贏得社會信任與尊重,展現了企業在維護國家安全、社會穩定方面的積極貢獻。同時,透過與監管部門的緊密協同,及時共享安全資訊,中國電信與行業一道共同推動行業安全標準的提升。
結合安全營運領域存在的痛點,中國電信認為大模型套用到安全領域,主要面臨準確性、專業性和時效性三方面的難點問題,中國電信安全公司(天翼安全科技有限公司,簡稱:電信安全)當前的願景是推出及持續營運一個安全領域的ImageNet——「阡陌數聚」(安全數據集),其提供統一平台,匯集行業專家,共築安全語料,服務國家安全。電信安全旨在透過與業內夥伴一起解決數據難題,共同探索人工智能時代下的安全行業健康發展新理念、新思路。
關於企業
.電信安全
天翼安全科技有限公司(中國電信安全公司,簡稱「電信安全」)是中國電信集約開展網絡安全業務的科技型、平台型專業公司,依靠中國電信雲網資源稟賦,始終堅持以科技創新帶動安全能力的全方位布局。作為中國電信建設安全型企業的主力軍和骨幹力量,電信安全承擔中國電信網絡安全關鍵核心技術創新的主體責任,是國家關於安全的重要科研力量。電信安全以研發營運一體化的方式,整合全集團雲網、安全、數據等優勢資源和能力,進行統一營運,為內外部客戶提供雲網安全、數據安全、資訊保安等各類安全產品和服務。拳頭產品雲堤·抗D穩居行業第一。電信安全秉承「傳承紅色基因,守護安全中國」的使命,致力於成為數碼時代最可靠的網絡安全營運商。
中國電信安全
傳承紅色基因,守護安全中國!中國電信安全公司,為您提供營運商級網絡安全產品。下轄:雲堤-抗D、雲堤-反釣魚、雲堤-網域名稱無憂、雲堤-網站安全專家等多款政企客戶專享的安全服務產品。
中國電信股份有限公司四川分公司是中國電信股份有限公司在川設立的分公司,是我省主體電信企業和綜合資訊服務提供主導企業,也是四川省內事實上承擔普遍電信服務、黨政機要通訊、國防通訊、保密通訊、應急通訊等任務的唯一通訊企業。
四川電信
四川電信使用者的網上營業廳:查流量、充話費一站式搞定!寬頻網絡線上診斷,一鍵修復!線上業務辦理,方便又快捷!
★以上由電信安全投遞申報的專案案例,最終將會角逐由數據猿與上海大數據聯盟聯合推出的 #榜樣的力量# 【2024中國數智產業最具社會責任感企業】榜單/獎項。
該榜單最終將於7月24日北京舉辦的「2024企業數智化轉型升級發展論壇——暨AI大模型趨勢論壇」現場首次揭曉榜單,並舉行頒獎儀式,歡迎報名蒞臨現場
