電信安全公益案例

本項(xiàng)目案例由電信安全投遞并參與數(shù)據(jù)猿與上海大數(shù)據(jù)聯(lián)盟聯(lián)合推出的 #榜樣的力量# 《2024中國數(shù)智產(chǎn)業(yè)最具社會責(zé)任感企業(yè)》榜單/獎(jiǎng)項(xiàng)評選。

以GPT系列為代表的大模型技術(shù)，展現(xiàn)了人工智能技術(shù)與應(yīng)用的飛速進(jìn)步。在網(wǎng)絡(luò)安全領(lǐng)域，人工智能應(yīng)用潛力巨大，亟待開發(fā)。過去十年，AI技術(shù)已逐步融入多種安全工具和產(chǎn)品，如顯著提升識別率的AI垃圾郵件檢測、在網(wǎng)絡(luò)入侵檢測中成效顯著的深度學(xué)習(xí)網(wǎng)絡(luò)等。然而，傳統(tǒng)AI應(yīng)用面臨挑戰(zhàn)：需大量人工標(biāo)注數(shù)據(jù)，模型通用性差，不同問題需單獨(dú)建模，阻礙了大規(guī)模應(yīng)用。

針對此，我們正積極探索大模型在安全領(lǐng)域的應(yīng)用，通過微調(diào)垂類安全大模型，聚焦解決安全運(yùn)營中的攻防不對等、告警疲勞等痛點(diǎn)，旨在釋放大模型潛力，使運(yùn)營人員專注于高價(jià)值任務(wù)，實(shí)現(xiàn)自動(dòng)化異常分析、自適應(yīng)防御策略生成等，降低人工干預(yù)，突破運(yùn)營效率瓶頸。

同時(shí)，隨著大模型興起，其安全問題也日益受到關(guān)注。國內(nèi)外正積極探索大模型安全相關(guān)課題，旨在確保大模型在安全、可靠的環(huán)境中應(yīng)用，并保障其自身安全。

時(shí)間周期：

開始時(shí)間：2023年6月

截止時(shí)間：至今

服務(wù)周期：2023年11月，發(fā)布見微安全大模型1.0；2024年5月，發(fā)布見微安全大模型2.0。

應(yīng)用場景

在數(shù)字化轉(zhuǎn)型加速的今天，企業(yè)面臨的網(wǎng)絡(luò)安全威脅日益復(fù)雜多變，傳統(tǒng)的安全運(yùn)營模式已難以滿足高效、精準(zhǔn)的安全防護(hù)需求。在大型企業(yè)的安全監(jiān)控中心，每日可能接收到數(shù)以萬計(jì)的安全告警信息，其中不乏大量誤報(bào)、重復(fù)或低危告警，導(dǎo)致安全團(tuán)隊(duì)陷入“告警疲勞”的困境。“見微安全大模型”通過深度學(xué)習(xí)算法，對這些海量告警進(jìn)行智能分析，自動(dòng)識別并過濾無效告警，精準(zhǔn)定位真正的高危、緊急事件。這一功能不僅減輕了安全人員的工作負(fù)擔(dān)，還確保了關(guān)鍵安全事件能夠得到及時(shí)響應(yīng)和處理，有效防止?jié)撛诘陌踩L(fēng)險(xiǎn)轉(zhuǎn)化為實(shí)際損失。

面對復(fù)雜多變的網(wǎng)絡(luò)攻擊手段，安全團(tuán)隊(duì)往往需要快速制定應(yīng)對策略并調(diào)整防御體系。“見微安全大模型”作為運(yùn)營助手，能夠基于歷史數(shù)據(jù)和實(shí)時(shí)威脅情報(bào)，為安全團(tuán)隊(duì)提供即時(shí)的問題解答和決策支持。無論是制定應(yīng)急響應(yīng)計(jì)劃、優(yōu)化安全策略，還是評估潛在威脅的嚴(yán)重性，大模型都能提供科學(xué)、合理的建議，助力企業(yè)構(gòu)建更加堅(jiān)固的安全防線。

為此，“見微安全大模型”應(yīng)運(yùn)而生，它深度融入企業(yè)安全運(yùn)營體系，為多個(gè)關(guān)鍵應(yīng)用場景提供強(qiáng)有力的支持，顯著提升企業(yè)的安全防御能力和運(yùn)營效率。

面臨挑戰(zhàn)

研究過程中遇到的主要瓶頸問題是數(shù)據(jù)集的選擇和模型泛化能力提升。高質(zhì)量的數(shù)據(jù)是訓(xùn)練有效安全模型的基礎(chǔ)。在安全領(lǐng)域，獲取大量的、標(biāo)注準(zhǔn)確的數(shù)據(jù)尤其困難，因?yàn)榘踩录呛币姷?，而且很難獲得真實(shí)的攻擊數(shù)據(jù)。此外，數(shù)據(jù)隱私和合規(guī)性問題也限制了數(shù)據(jù)的可用性。安全模型需要在不同的環(huán)境和場景中保持高效和準(zhǔn)確。然而，模型可能會在特定數(shù)據(jù)集上表現(xiàn)良好，但在現(xiàn)實(shí)世界的多樣化和動(dòng)態(tài)變化的環(huán)境中表現(xiàn)為泛化能力不足。

我們針對數(shù)據(jù)集問題，主要依靠電信自有安全中臺優(yōu)勢，匯聚生產(chǎn)場景化安全高質(zhì)量數(shù)據(jù)集。同時(shí)，充分發(fā)揮運(yùn)營商的優(yōu)勢，將萬億級的流量、域名、情報(bào)等準(zhǔn)實(shí)時(shí)數(shù)據(jù)作為大模型的基礎(chǔ)儲備知識。在泛化能力方面，我們采用了數(shù)據(jù)增強(qiáng)、集成學(xué)習(xí)、多任務(wù)學(xué)習(xí)、交叉驗(yàn)證等多類方式，同時(shí)在數(shù)據(jù)集的選擇上進(jìn)行精心挑選，確保數(shù)據(jù)集覆蓋足夠的場景和變化，可以幫助模型學(xué)習(xí)到更泛化的特征。

技術(shù)開發(fā)過程

一、整體框架

“見微安全大模型”是電信安全公司依托多年累積的高質(zhì)量的數(shù)據(jù)集和海量的安全知識庫，以及對網(wǎng)絡(luò)安全運(yùn)營場景深入的理解，形成的安全垂類大模型，主要聚焦于安全領(lǐng)域安全告警疲勞、運(yùn)營效率低下、安全專家稀缺三大痛點(diǎn)問題，著力為客戶的安全運(yùn)營流程中提供威脅告警的智能研判與降噪、安全運(yùn)營輔助等能力，幫助客戶自動(dòng)識別和過濾大量的無效告警，只保留最關(guān)鍵、最有價(jià)值的安全事件，極大地減少了人工介入的需求，降低了運(yùn)營成本，同時(shí)作為運(yùn)營助手提供即時(shí)問題解答，幫助運(yùn)營人員簡化運(yùn)營流程，提高運(yùn)營效率。此外，見微大模型還具備強(qiáng)大的可擴(kuò)展性和靈活性，能夠適配各種復(fù)雜的安全環(huán)境和業(yè)務(wù)需求。

其總體技術(shù)架構(gòu)如下：

安全大模型從下往上可分為數(shù)據(jù)工程層-模型層-任務(wù)層-應(yīng)用層：

數(shù)據(jù)工程層：提供數(shù)據(jù)的工程化處置能力，如數(shù)據(jù)清洗、標(biāo)記、增強(qiáng)等。

模型層：專注于一系列微調(diào)方法和提示詞工程的建設(shè)，處理威脅數(shù)據(jù)的高度動(dòng)態(tài)性，確保相關(guān)業(yè)務(wù)的準(zhǔn)確度。

任務(wù)層：負(fù)責(zé)執(zhí)行基本任務(wù)。這些任務(wù)作為大模型提供應(yīng)用的能力基礎(chǔ)。

應(yīng)用層：實(shí)際為監(jiān)管平臺或運(yùn)營平臺提供調(diào)用的大模型能力。

另外，算力基礎(chǔ)層和數(shù)據(jù)源層位于安全大模型之下。算力基礎(chǔ)層提供模型推理基礎(chǔ)算力；數(shù)據(jù)源層支撐匯集各運(yùn)營商云網(wǎng)數(shù)據(jù)、客戶私域數(shù)據(jù)、以及三方的威脅情報(bào)等數(shù)據(jù)，同時(shí)結(jié)合相關(guān)的政策發(fā)文文件，投入模型，形成相應(yīng)的知識庫。

綜上，算力基礎(chǔ)與用戶特色私域數(shù)據(jù)以及AI技術(shù)手段相結(jié)合，再經(jīng)過模型學(xué)習(xí)和訓(xùn)練，得到更加貼合實(shí)際應(yīng)用需求的垂類模型能力，為安全監(jiān)管和安全運(yùn)營提供輔助支撐能力。

二、能力研發(fā)創(chuàng)新點(diǎn)

1、數(shù)字生態(tài)地貌

能力介紹：數(shù)字生態(tài)地貌系統(tǒng)根據(jù)全自動(dòng)化地幫助用戶梳理企業(yè)公網(wǎng)暴露的節(jié)點(diǎn)，通過KCT理論實(shí)時(shí)計(jì)算地貌節(jié)點(diǎn)的重要度、健康度等指標(biāo)，為企業(yè)呈現(xiàn)出其公網(wǎng)節(jié)點(diǎn)的網(wǎng)絡(luò)安全數(shù)字生態(tài)地貌。

研發(fā)流程：通過在實(shí)時(shí)網(wǎng)絡(luò)流量數(shù)據(jù)上結(jié)合AI+的能力，挖掘更新客戶影子資產(chǎn)節(jié)點(diǎn)、高疑資產(chǎn)節(jié)點(diǎn)，并從節(jié)點(diǎn)重要度、健康度、相似度、關(guān)聯(lián)度等不同數(shù)據(jù)特征角度構(gòu)建客戶的網(wǎng)絡(luò)空間數(shù)字生態(tài)地貌，并以直觀的3D地圖引擎展示的方式，為客戶全面、清晰、準(zhǔn)確地勾勒還原公網(wǎng)暴露面全貌。

創(chuàng)新點(diǎn)：

1）AI增強(qiáng)的實(shí)時(shí)數(shù)據(jù)處理能力：系統(tǒng)利用人工智能技術(shù)結(jié)合數(shù)據(jù)，實(shí)現(xiàn)了對企業(yè)公網(wǎng)暴露節(jié)點(diǎn)的實(shí)時(shí)監(jiān)測和分析。AI的能力使得系統(tǒng)能夠以小時(shí)級或天級別的頻率，快速挖掘和更新確認(rèn)資產(chǎn)、影子資產(chǎn)和疑似資產(chǎn)節(jié)點(diǎn)，從而構(gòu)建出動(dòng)態(tài)變化的網(wǎng)絡(luò)安全數(shù)字生態(tài)地貌。

2）不同結(jié)構(gòu)的地貌構(gòu)建算法：探索出不同類型節(jié)點(diǎn)地貌的通用構(gòu)建方法（中心型，去中心型，分布式型）；研發(fā)了基于多源信息的節(jié)點(diǎn)歸屬方法。

3）多種地貌節(jié)點(diǎn)的發(fā)現(xiàn)算法：通過對節(jié)點(diǎn)畫像特征，行為特征，時(shí)序特征等多方面信息進(jìn)行建模，結(jié)合DBScan、Louvain等方法對地貌節(jié)點(diǎn)進(jìn)行發(fā)現(xiàn)與召回。

4）多維度數(shù)字生態(tài)評估：通過考慮節(jié)點(diǎn)的重要性、健康度、相似度、關(guān)聯(lián)度和攻防難度等不同數(shù)據(jù)角度，系統(tǒng)能夠全面評估網(wǎng)絡(luò)空間中每個(gè)節(jié)點(diǎn)的狀態(tài)和特性。這種多維度評估方法有助于深入理解網(wǎng)絡(luò)資產(chǎn)的復(fù)雜性和相互依賴性，為網(wǎng)絡(luò)安全管理提供了更為豐富和細(xì)致的視角。

5）先進(jìn)的可視化技術(shù)：為客戶呈現(xiàn)基于2D圖模型的節(jié)點(diǎn)通聯(lián)關(guān)系與基于3D實(shí)時(shí)地圖引擎的地貌展示系統(tǒng)，將復(fù)雜的網(wǎng)絡(luò)安全數(shù)據(jù)以直觀、易于理解的方式展現(xiàn)出來。通過展示節(jié)點(diǎn)的重要度、健康度等多維度狀態(tài)，和節(jié)點(diǎn)之間的互通關(guān)系和流量情況，使企業(yè)能夠全盤掌握資產(chǎn)畫像。

2、威脅研判

能力介紹：

大模型威脅研判支持對海量威脅告警進(jìn)行自動(dòng)化研判分析和降噪處理，威脅研判的類型包括但不限于payload、URL、pcap以及原始日志信息。通過大模型的自動(dòng)化研判分析，可以幫助用戶對威脅信息進(jìn)行解讀，去除誤報(bào)發(fā)現(xiàn)真實(shí)的攻擊，同時(shí)提供處置結(jié)論和方案輔助分析人員對告警事件進(jìn)行快速處置，并能直接對接處置平臺進(jìn)行自動(dòng)化處置。通過接入態(tài)勢平臺或第三方告警匯聚平臺，實(shí)時(shí)獲取告警數(shù)據(jù)，可以對海量的告警進(jìn)行自動(dòng)化降噪和智能化研判，同時(shí)將全方位的研判過程、精準(zhǔn)的研判結(jié)果以及詳細(xì)的處置建議反饋給客戶，幫助客戶更好地應(yīng)對和處置。

2.1 告警研判

威脅研判支持對海量告警進(jìn)行智能化研判，內(nèi)容包括告警類型解讀、上下文解讀、報(bào)文解讀，能結(jié)合解讀結(jié)果對告警進(jìn)行誤報(bào)、正常業(yè)務(wù)授權(quán)、真實(shí)攻擊等研判定性，同時(shí)提供大模型研判依據(jù)以及處置建議和方案。

2.2 告警降噪

告警降噪主要針對真實(shí)告警進(jìn)行告警聚合和事件生成。大模型針對告警之間的時(shí)序關(guān)系、攻擊鏈階段構(gòu)成、告警資產(chǎn)聯(lián)系等告警之間的相關(guān)性，結(jié)合威脅情報(bào)后自動(dòng)對告警進(jìn)行聚合生成安全事件，將大量單獨(dú)告警歸并為具有明確上下文的安全事件，同時(shí)由大模型對安全事件進(jìn)行研判并生成事件處理的優(yōu)先級以及處置建議，讓安全運(yùn)營人員直接聚焦高質(zhì)量安全事件。

3、大模型護(hù)欄

能力介紹：

從生成式人工智能服務(wù)全生命周期視角出發(fā)，打造大模型安全全鏈路解決方案，方案涵蓋模型、業(yè)務(wù)系統(tǒng)等關(guān)鍵模塊所面臨的安全風(fēng)險(xiǎn)和挑戰(zhàn)，提供相應(yīng)的風(fēng)險(xiǎn)檢測和安全防護(hù)能力，確保人工智能安全可信。打造多重核心算法，包括打造針對特定任務(wù)的語義風(fēng)險(xiǎn)檢測模型、構(gòu)造紅線知識庫，搭載策略配置引擎和代碼審核模型，最終建立嚴(yán)格的輸入輸出防護(hù)機(jī)制，防止用戶惡意輸入和攻擊。

創(chuàng)新點(diǎn)：

1）自動(dòng)化攻擊語料生成：構(gòu)建了自動(dòng)化攻擊語料生成的框架，能夠確保評測數(shù)據(jù)的多樣性和覆蓋范圍；同時(shí)，我們定期從外部數(shù)據(jù)源收集相關(guān)的風(fēng)險(xiǎn)話題文本，通過不斷更新和豐富話題文本，我們可以確保風(fēng)險(xiǎn)內(nèi)容評測數(shù)據(jù)的時(shí)效性，確保風(fēng)險(xiǎn)檢測的準(zhǔn)確率和召回率。

2）多層級風(fēng)險(xiǎn)檢測模型：采用先進(jìn)的自然語言處理技術(shù)，結(jié)合上下文理解，識別隱喻和潛在不良信息。建立智能過濾系統(tǒng)，結(jié)合機(jī)器學(xué)習(xí)和專家規(guī)則，及時(shí)更新和優(yōu)化過濾規(guī)則，提高監(jiān)測的準(zhǔn)確性和時(shí)效性。

應(yīng)用效果/社會價(jià)值

人工智能技術(shù)迅猛發(fā)展的同時(shí)，也會帶來諸如“AI換臉”、“AI變聲”深度偽造等一系列安全風(fēng)險(xiǎn)。中國電信深諳生成式人工智能技術(shù)變革之深刻，在積極擁抱變革的同時(shí)，也要及時(shí)認(rèn)識到變革過程中不可避免的風(fēng)險(xiǎn)。在此形勢下，企業(yè)往往面臨著更大的未知安全風(fēng)險(xiǎn)。中國電信加大研發(fā)力度，致力于改善人工智能技術(shù)使用過程中伴隨的安全問題，通過將安全大模型融入企業(yè)的運(yùn)營平臺，將有助于企業(yè)貫徹落實(shí)《網(wǎng)絡(luò)安全法》的要求，提高自身網(wǎng)絡(luò)安全管理能力，降低網(wǎng)絡(luò)安全隱患，從而幫助企業(yè)提升安全運(yùn)營效率及安全服務(wù)質(zhì)量。

中國電信踐行作為央企的責(zé)任與擔(dān)當(dāng)，將安全大模型的應(yīng)用聚焦以下三方面：

1、提升企業(yè)整體安全管理水平

開展以大模型為核心的面向不同場景的多維智能分析，形成安全分析中心、安全情報(bào)中心、策略指揮中心和安全態(tài)勢展示中心，實(shí)時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢，提升安全事件應(yīng)急處置能力，提高重大活動(dòng)保障能力，支撐安全監(jiān)控部門開展網(wǎng)絡(luò)安全工作，保障電信企業(yè)網(wǎng)絡(luò)安全，建設(shè)整體的安全智慧型運(yùn)營體系。

2、提升安全應(yīng)急處置能力

結(jié)合大數(shù)據(jù)/AI分析能力，協(xié)助工作人員完成處理告警復(fù)雜的工作，確保重要的安全事件不被海量告警淹沒。提供安全事件溯源、處置工作臺等集中的安全事件管理和處置功能，提高安全運(yùn)維人員工作效率。通過大模型的融入，對原始告警的壓降率可達(dá)99%以上，研判準(zhǔn)確率可達(dá)95%以上，整體運(yùn)營項(xiàng)目可提升50%以上。

3、提升體系化縱深聯(lián)動(dòng)防御能力

通過結(jié)合安全運(yùn)營領(lǐng)域的數(shù)據(jù)和算法優(yōu)化，提升了模型的安全性和效率，以及在網(wǎng)絡(luò)安全、威脅檢測、情報(bào)分析等專業(yè)任務(wù)中的性能，優(yōu)化安全威脅告警和預(yù)警輸出的能力，提供準(zhǔn)確而快速的安全告警和預(yù)警功能，建立基于高質(zhì)量、多源威脅情報(bào)的交叉驗(yàn)證和關(guān)聯(lián)分析，提升主動(dòng)防御能力，從集團(tuán)面向各省公司，實(shí)現(xiàn)安全隱患、預(yù)警信息的通報(bào)，推動(dòng)重要緊急安全問題的快速響應(yīng)和處置。

多措并舉，中國電信安全大模型不僅能幫助企業(yè)提升應(yīng)對安全事件的快速響應(yīng)和高效處置能力，確保重大活動(dòng)期間的網(wǎng)絡(luò)穩(wěn)定與安全，進(jìn)而為企業(yè)贏得社會信任與尊重，展現(xiàn)了企業(yè)在維護(hù)國家安全、社會穩(wěn)定方面的積極貢獻(xiàn)。同時(shí)，通過與監(jiān)管部門的緊密協(xié)同，及時(shí)共享安全信息，中國電信與行業(yè)一道共同推動(dòng)行業(yè)安全標(biāo)準(zhǔn)的提升。

結(jié)合安全運(yùn)營領(lǐng)域存在的痛點(diǎn)，中國電信認(rèn)為大模型應(yīng)用到安全領(lǐng)域，主要面臨準(zhǔn)確性、專業(yè)性和時(shí)效性三方面的難點(diǎn)問題，中國電信安全公司（天翼安全科技有限公司，簡稱：電信安全）當(dāng)前的愿景是推出及持續(xù)運(yùn)營一個(gè)安全領(lǐng)域的ImageNet——“阡陌數(shù)聚”（安全數(shù)據(jù)集），其提供統(tǒng)一平臺，匯集行業(yè)專家，共筑安全語料，服務(wù)國家安全。電信安全旨在通過與業(yè)內(nèi)伙伴一起解決數(shù)據(jù)難題，共同探索人工智能時(shí)代下的安全行業(yè)健康發(fā)展新理念、新思路。

關(guān)于企業(yè)

.電信安全

天翼安全科技有限公司（中國電信安全公司，簡稱“電信安全”）是中國電信集約開展網(wǎng)絡(luò)安全業(yè)務(wù)的科技型、平臺型專業(yè)公司，依靠中國電信云網(wǎng)資源稟賦，始終堅(jiān)持以科技創(chuàng)新帶動(dòng)安全能力的全方位布局。作為中國電信建設(shè)安全型企業(yè)的主力軍和骨干力量，電信安全承擔(dān)中國電信網(wǎng)絡(luò)安全關(guān)鍵核心技術(shù)創(chuàng)新的主體責(zé)任，是國家關(guān)于安全的重要科研力量。電信安全以研發(fā)運(yùn)營一體化的方式，整合全集團(tuán)云網(wǎng)、安全、數(shù)據(jù)等優(yōu)勢資源和能力，進(jìn)行統(tǒng)一運(yùn)營，為內(nèi)外部客戶提供云網(wǎng)安全、數(shù)據(jù)安全、信息安全等各類安全產(chǎn)品和服務(wù)。拳頭產(chǎn)品云堤·抗D穩(wěn)居行業(yè)第一。電信安全秉承“傳承紅色基因，守護(hù)安全中國”的使命，致力于成為數(shù)字時(shí)代最可靠的網(wǎng)絡(luò)安全運(yùn)營商。

中國電信安全

傳承紅色基因，守護(hù)安全中國！中國電信安全公司，為您提供運(yùn)營商級網(wǎng)絡(luò)安全產(chǎn)品。下轄：云堤-抗D、云堤-反釣魚、云堤-域名無憂、云堤-網(wǎng)站安全專家等多款政企客戶專享的安全服務(wù)產(chǎn)品。

中國電信股份有限公司四川分公司是中國電信股份有限公司在川設(shè)立的分公司，是我省主體電信企業(yè)和綜合信息服務(wù)提供主導(dǎo)企業(yè)，也是四川省內(nèi)事實(shí)上承擔(dān)普遍電信服務(wù)、黨政機(jī)要通信、國防通信、保密通信、應(yīng)急通信等任務(wù)的唯一通信企業(yè)。

四川電信

四川電信用戶的網(wǎng)上營業(yè)廳：查流量、充話費(fèi)一站式搞定！寬帶網(wǎng)絡(luò)在線診斷，一鍵修復(fù)！在線業(yè)務(wù)辦理，方便又快捷！

★以上由電信安全投遞申報(bào)的項(xiàng)目案例，最終將會角逐由數(shù)據(jù)猿與上海大數(shù)據(jù)聯(lián)盟聯(lián)合推出的 #榜樣的力量# 《2024中國數(shù)智產(chǎn)業(yè)最具社會責(zé)任感企業(yè)》榜單/獎(jiǎng)項(xiàng)。

該榜單最終將于7月24日北京舉辦的“2024企業(yè)數(shù)智化轉(zhuǎn)型升級發(fā)展論壇——暨AI大模型趨勢論壇”現(xiàn)場首次揭曉榜單，并舉行頒獎(jiǎng)儀式，歡迎報(bào)名蒞臨現(xiàn)場

來源：數(shù)據(jù)猿