網絡安全新勢力：深信服安全 GPT 的崛起與貢獻

一、網絡安全形勢與挑戰

絡安全形勢日益嚴峻，漏洞數量持續上升，高危網絡漏洞數量的增加給各行業帶來了巨大風險。Invicti Security 的研究顯示，遠程代碼執行、跨站點腳本和 SQL 注入等漏洞頻率每年都在增加或維持在較高水平。例如，有兩個行業所遭受的 SQL 注入攻擊數量高于平均水平，教育機構和政府組織分別有 35%和 32%至少經歷過一次 SQLi，這反映出這些行業陳舊代碼需要現代化以及解決開發人員知識差距問題。

同時，隨著互聯網的發展，網絡攻擊手段不斷升級。常見的網絡攻擊包括網絡釣魚、拒絕服務攻擊、木馬病毒、惡意軟件、黑客攻擊等。網絡釣魚通過仿冒合法機構網站詐騙用戶個人敏感信息；拒絕服務攻擊使目標網站或服務器負載過重無法正常訪問；木馬病毒和惡意軟件則在用戶不知情的情況下入侵計算機，盜取個人信息或危害系統安全；黑客攻擊形式多樣，給互聯網帶來巨大損失。

大模型的出現既帶來了新挑戰，也帶來了新機遇。一方面，大模型可能被“污染”，網絡攻擊方利用 AI 換臉、擬聲等技術讓網絡安全防護更加復雜，還可以用 AI 模型訓練找到用戶漏洞進行攻擊，這帶來的挑戰不單是產品問題，而是體系化問題。另一方面，網絡安全企業可以利用 AI 增強對抗網絡攻擊的能力，提高安全防護效率，如通過 AI 加持提升安全響應速度和聰明程度，訓練對于惡意病毒和惡意攻擊庫的響應能力，還可以利用 AI 給用戶帶來與網絡安全設備的交互，提高安全設備的使用效率。

二、深信服安全 GPT 的誕生

（一）背景與機遇

深信服在網絡安全領域有著深厚的積累。作為網絡安全及云計算細分龍頭，深信服一直致力于為用戶提供高效、可靠的網絡安全解決方案。多年來，深信服在文件分析、行為檢測、日志分析等十幾個不同的安全技術領域應用了人工智能，精準切中用戶需求，獲得了用戶的認可。

隨著大模型時代的到來，網絡安全面臨著新的機遇與挑戰。一方面，攻擊者利用 AI 技術快速構建攻擊工具，網絡攻擊手段更加復雜多樣；另一方面，大模型+專業數據的模式為解決新時代網絡安全問題提供了新范式。在這樣的背景下，深信服緊緊抓住時代機遇，推出了安全 GPT。

（二）技術特點

安全 GPT 由“大模型算法+威脅情報+安全知識”訓練而成，具有以下技術特點：

檢測效果好：大模型極強的推理能力和泛化能力，加上深信服多年積累的安全知識和安全小模型訓練，使得安全 GPT 在流量和日志威脅檢測方面效果顯著。經內部 5000 萬樣本數據測試，相比傳統流量檢測設備，安全 GPT 檢出率由平均 57.4%提升至 92.4%，誤報率由 42.6%降低至僅 4.3%。

專業性強：通過學習海量的安全知識以及威脅情報，安全 GPT 獲得了超通用 GPT 模型在安全領域的專業知識，能夠對未知攻擊進行意圖理解、異常判定和混淆還原。

個性化：通過單獨連接到每個用戶自身的安全日志和安全產品，安全 GPT 可以對每個用戶的環境進行個性化診斷，為用戶提供專屬的網絡安全解決方案。

迭代快速：深信服擁有大量安全專家和云化安全產品，可不斷通過強化學習對安全 GPT 進行快速調優和迭代，使其能夠適應不斷變化的網絡安全形勢。

三、安全 GPT 的應用場景

（一）未知威脅檢測

安全 GPT 通過對海量 HTTP 流量、日志等數據進行預訓練和微調，能夠精準檢測流量中的高對抗攻擊行為，如 Web 0Day、高混淆攻擊等。公開數據顯示，截至 2024 年，深信服安全 GPT 在未知威脅檢測方面表現出色，累計在 400 家企事業單位真實環境測試、應用。例如，某國家部委利用安全 GPT 結合安全運營平臺，在實際業務環境中發現多起高混淆攻擊案例，檢測大模型試運行測試精準率>95%，獨報告警占比達 82.8%。安全 GPT 先天性地對代碼語義有深入理解，從傳統代碼片段 Payload 特征檢測，進化到全報文綜合分析的維度，能夠挖掘弱特征攻擊中的真實攻擊目的，從而實現精準檢測并減少誤報。它還能在少量樣本/無樣本的情況下，基于 Zero/Few-Shot 技術檢測出新型威脅，大幅提升對 0day 漏洞攻擊的檢出率。

（二）高對抗釣魚檢測

安全 GPT 通過海量數據預訓練，包括郵件協議流量、HTTP 流量、終端行為日志、網頁、代碼等，并基于釣魚防御專家經驗數據進行微調。其釣魚檢測大模型具備了遠超一般安全專家的多郵件協議流量、代碼、攻防對抗等維度的理解能力和安全常識，可有效應對未知鏈接、二維碼、加密附件等高對抗的郵件釣魚攻擊。在實際應用中，安全 GPT 可以精準識別各種高社工、高對抗釣魚攻擊。例如，在與某行業頭部大型企業的真實效果檢測中，2 天時間內，安全 GPT 共檢出了 213 封惡意釣魚郵件，精準率 95.8%，而傳統郵件安全防護架構檢測精準率僅為 49.85%。安全 GPT 能夠像安全專家一樣，通過攻擊意圖識別和全鏈條行為關聯分析，識破偽裝欺騙手法，精準識別二維碼嵌套加密附件釣魚、網站白利用釣魚、時間對抗釣魚等多種高對抗釣魚攻擊。

（三）安全運營對話助手

安全 GPT 作為安全運營對話助手，通過自然語言方式提供對選定事件的分析、研判，大幅加快事件處置效率。它的告警 Payload 解讀能力達到 5 年以上高級專家水平，被用戶高頻使用，用戶評價“這個能力讓小白也能做實戰值守”。相比傳統平臺中查詢檢索的方式，資產、漏洞、告警的統計排查和篩選極大提升工作效率。相較于搜索引擎與通用大模型，能夠提供更貼合用戶使用場景的安全百科知識解讀。目前已上線 70+用戶，對話式輔助運營承載 80%的日常安全運營工作。

（四）智能值守運營

安全 GPT 實現 7×24 小時自主值守，可實現秒級響應閉環、支持自動研判調查、思維鏈透明處置。在廣度上，運營人員 1 人即可守護數萬資產，每天只需關注安全 GPT 逐一研判后定位的日均 10+條高危告警，準確度超過 97%。在深度上，安全 GPT 對任意一條告警都可解釋，直觀呈現完整分析過程，幫助運營人員更好理解攻擊意圖、完成研判決策。針對每一條告警，安全 GPT 提供詳盡的自主思維鏈研判結果，運營人員進行簡單的追問和處置動作，即可實現 1 分鐘事件解讀、1 分鐘分析確認、1 分鐘響應處置，極大降低 MTTD/MTTR，實現更快的威脅發現、處置閉環。以往組織單位需要每年投入 10*20 萬元/人的成本進行實戰值守，現在通過安全 GPT 即可直接減少對應人員成本支出。

四、安全 GPT 的落地成果

（一）各行業應用效果

安全 GPT 在國家部委、頂尖制造企業等不同場景中均展現出卓越的應用效果。在國家部委的應用中，安全 GPT 結合安全運營平臺，精準檢測多起高混淆攻擊案例，檢測大模型試運行測試精準率>95%，獨報告警占比達 82.8%，實現了告警降噪，為國家網絡安全保駕護航。

在頂尖制造企業，如美的集團和北汽福田汽車股份有限公司，安全 GPT 技術應用帶來了全新的工作范式。美的集團首席信息安全官劉向陽指出，安全廠商需將大模型和安全軟件深度融合，提高在不確定中的確定性，發揮大模型價值。北汽福田汽車股份有限公司集團信息安全部高級經理張志強表示，安全 GPT 技術賦能深信服 XDR 平臺，助力安全運營人員高效處理信息安全事件，實現已知和未知風險的智能化研判與自動化阻斷。經測試，安全 GPT 實現威脅主動攔截率 99.99%，惡意攻擊事件智能攔截率 97%，風險識別準確率 99.21%，安全事件及時處理率 100%，整體上提升了集團信息安全體系的防御能力和信息安全運營效率。

（二）2.0 升級能力

安全 GPT 實現了從“1.0 輔助駕駛”到“2.0 智能駕駛”的演進。在效率和能力方面，從“分鐘級閉環，十倍級提效，百萬級降本”躍升至“秒級閉環，百倍提效，千萬級降本”。

輔助駕駛方面，安全 GPT 2.0 智能駕駛能力再進階，可承載超 80%的告警分析、事件調查、資產排查等工作。升級后的安全 GPT 支持對終端安全告警的分析研判與命令行解讀，具備 5 年專業分析人員級別的解讀效果；通過簡單點擊提示問題，即可完成告警研判閉環。

智能駕駛方面，安全 GPT 升級“智能駕駛”能力后，猶如虛擬安全專家坐鎮用戶日常安全運營現場。可自主地對所有告警和事件進行研判、處置、總結，實現絕大多數告警的閉環。真正實現 30 秒研判遏制威脅，單一事件平均閉環時間縮減 96.6%。具體表現為自主研判告警，自動處置完成，出現安全告警時，通過解析數據包、查詢情報，對事件進行定性，并自動化執行封堵隔離、影響面調查等措施，生成事件報告；多模交互，思維鏈確保研判處置可解釋，支持文字、圖表等多模交互實現事件解讀，創新生成安全研判處置思維鏈；自然語言對話，分析過程可解釋，為安全人員提供針對思維鏈任一環節的深入解答，輔助進一步研判。

五、安全 GPT 的行業影響

（一）引領安全新范式

深信服安全 GPT 與安全軟件深度融合，為網絡安全領域帶來了全新的工作范式。一方面，它提升了安全御效能，以智能對抗智能，成為應對網絡安全新挑戰的有力武器。例如，在數字政府安全建設中，安全 GPT 構建了以 AI 為核心的「開放平臺＋領先組件＋云端服務」的安全新范式，幫助數字政府提升高級威脅檢測能力、威脅分析研判水平和安全運營效率。高級威脅檢出率高達 92.4%，將海量告警的分析處置時間壓縮到數分鐘，實現全天候智能值守，秒級閉環處置事件。

另一方面，安全廠商需要將思維打開，像深信服一樣將大模型和安全軟件深度融合。目前一些大模型技術和安全產品還未達到深度融合的狀態，而安全 GPT 則在這方面做出了積極探索。它不僅具備強大的檢測效果和專業性，還能通過個性化診斷為每個用戶提供專屬的網絡安全解決方案，并且迭代快速，能夠適應不斷變化的網絡安全形勢。

（二）領跑行業落地數量

深信服安全 GPT 已落地超 130 家用戶，在檢測和運營大模型場景中與現有產品聯動，優勢明顯。例如，在安全檢測方面，作為新一代檢測引擎，安全 GPT 更準確、更快速地偵測到潛在的入侵活動，如 0day 漏洞、APT 隱蔽威脅入侵等。在今年的國家級攻防演練中，深信服安全設備檢測出超 150 個 0day 漏洞利用攻擊，安全 GPT 技術賦能的檢測設備檢出率達到 90%。

在安全運營方面，安全 GPT 作為安全運營智能助手，實現自動化值守，突破用戶人員能力和精力瓶頸，提升安全運營效率和效果。目前，安全 GPT 運營大模型已上線 100+用戶，覆蓋金融、能源、政府等各行業。運營人員 1 人即可守護數萬資產，每天只需關注安全 GPT 逐一研判后定位的日均 10+條高危告警，準確度超過 97%。

安全 GPT 以其卓越的性能和廣泛的應用，在網絡安全領域樹立了新的標桿，為行業發展注入了新的活力。

六、網絡安全治理實踐借鑒

（一）進行網絡風險評估

網絡風險評估是網絡安全治理的重要環節，它有助于識別、分析潛在威脅和弱點，明確組織網絡威脅優先級，識別現有防御中的漏洞，評估 IT 和 OT 安全計劃的成熟度，更好地向非技術主管傳達風險，確定安全控制投資優先級，制定路線圖以改進安全計劃。例如，可采用合規性驅動、威脅建模和攻擊路線分析三種方法進行評估。合規性驅動側重于將組織的安全控制與網絡安全和監管框架中指定的要求進行比較，但存在“一刀切”等缺點；威脅建模需編制全面列表并進行建模，能生成對潛在威脅和現有控制措施差距的詳細見解，但耗時較長；攻擊路線分析立足于真正攻擊者的技術和思維過程，可構建攻擊路徑圖，快速確定最具成本效益的緩解措施。進行網絡風險評估時，可參考分步計劃，如了解組織的安全狀況和合規性要求、收集相關信息、分析攻擊路徑等，為網絡安全治理確定工作優先級。

（二）實施網絡安全政策

網絡安全政策是定義組織網絡安全目標、目標、角色、責任和標準的文檔，建立管理框架，確保組織合規并傳達期望要求。例如，組織可明確網絡安全工作的優先級，分配資源，并實施適當的控制和緩解戰略。同時，印發《國家網絡安全事件應急預案》，建立健全國家網絡安全應急協調和通報工作機制，及時進行監測預警、應急處置，構建起全國“一盤棋”的工作體系。出臺《關鍵信息基礎設施安全保護條例》等法律法規，明確我國建立關鍵信息基礎設施安全保護制度的法治基礎，提升關鍵信息基礎設施的網絡安全保護水平。

（三）培訓教育員工

培訓和教育員工是提高網絡安全意識和能力的關鍵。首先，要指導員工了解網絡攻擊的常見類型，如電子郵件釣魚、惡意軟件、網絡釣魚等，鼓勵員工對任何可疑的電子郵件、鏈接或附件保持警惕，并教育他們如何正確地管理密碼和登錄信息。其次，定期進行網絡安全培訓，教授員工最新的網絡攻擊手段，以及如何保護自己和企業網絡安全。例如，組織可以實施網絡安全策略，使用安全軟件、加密技術和身份驗證措施來保護企業網絡和數據。同時，建立一種網絡意識和問責的文化，讓員工知道安全意識不只是一次培訓就能解決的問題，而是需要持續不斷的學習和保持警覺。

（四）使用加密和身份驗證

加密是一種將數據轉換為不可讀格式的技術，身份驗證是在授予對數據或系統的訪問權限之前驗證用戶或設備身份的技術。使用加密和身份驗證可以保護數據免遭未經授權的訪問、使用或修改。例如，網絡安全風險評估的三種方法中，攻擊路線分析通過收集有關可能的威脅和關鍵資產的信息，構建可能的威脅和關鍵資產之間的攻擊路徑圖，利用安全控制來消除攻擊路由，其中就涉及到加密和身份驗證技術。組織可以采用多種加密和身份驗證技術，如對稱加密、非對稱加密、多因素身份驗證等，提高數據的安全性。

（五）安裝防病毒及防火墻軟件

安裝防病毒及防火墻軟件可以預防、檢測和響應網絡攻擊。防病毒軟件是一種檢測并清除設備上惡意軟件的程序，防火墻軟件是一種跟蹤并調節設備上的入站和出站網絡流量的程序。例如，防火墻可以作為一個獨立的主機設備，也可以是網關、代理服務器之類的邊界設備上的軟件，還可以作為個人計算機的一個應用程序，來控制出入計算機的信息。軟件防火墻可以檢查和過濾應用程序層數據，實施用戶身份認證機制，檢測和阻止潛在的惡意軟件，實時監控和日志記錄網絡活動。組織應根據自身需求選擇合適的防病毒及防火墻軟件，并定期更新和維護。

（六）定期更新軟件

定期更新軟件可以修復軟件中可能被網絡攻擊者利用的漏洞或錯誤，提升安全性。軟件更新是改進軟件性能、功能或安全性的補丁或修復。例如，網絡犯罪分子經常利用舊版本的軟件，因此不應忽視更新提醒。組織應提前規劃修補計劃，允許對緊急修補程序版本進行周期外修補處理，確保組織內的所有資產都能及時更新軟件。同時，組織應建立軟件更新管理機制，對軟件更新進行測試和驗證，確保更新后的軟件不會影響業務的正常運行。

（七）經常備份資料

經常備份資料可以應對網絡攻擊、自然災害、人為錯誤或硬件故障等意外情況，恢復數據。數據備份是創建數據副本，并將其存儲在單獨的位置或設備中的過程。例如，組織可以制定數據備份計劃，定期備份重要數據，并將備份數據存儲在安全的地方，如離線存儲設備或云存儲服務。同時，組織應測試備份數據的可用性，確保在需要時能夠快速恢復數據。

（八）連接公共 Wi-Fi 用 VPN

在連接公共 Wi-Fi 時使用 VPN 可以保護數據不被黑客或其他惡意行為者攔截或篡改。VPN 是一種通過互聯網在設備和遠程服務器之間創建安全加密連接的服務。例如，員工在辦公室外工作時，應警惕所連接的 Wi-Fi 網絡，避免連接自由公共網絡，因為它們通常不是特別安全，惡意行為者能夠攔截放到互聯網上的數據。使用 VPN 可以建立安全的連接，保護數據的安全。組織可以為員工提供 VPN 服務，并制定相關的使用政策和安全措施。

（九）監控審計網絡安全活動

監控和審計網絡安全活動可以衡量網絡安全控制的有效性，識別網絡安全狀況中的任何差距或弱點，并在需要時采取糾正措施。監控和審計是收集、分析和報告與網絡安全活動有關的數據和信息的過程。例如，組織可以建立網絡安全監控系統，實時監測網絡活動，及時發現和響應網絡安全事件。同時，組織可以定期進行網絡安全審計，評估網絡安全控制的有效性，發現潛在的安全風險，并采取相應的措施進行改進。

（十）審查更新網絡安全計劃

審查并更新網絡安全計劃可以將網絡安全工作與業務目標、目的和優先級保持一致，實現網絡安全卓越。網絡安全計劃是一份文件，其概述了實現網絡安全卓越和應對網絡事件的戰略。例如，組織可以定期審查網絡安全計劃，根據業務的變化和網絡安全形勢的發展，更新網絡安全目標、策略和措施。同時，組織可以建立網絡安全計劃的評估機制，對網絡安全計劃的實施效果進行評估，及時調整和改進網絡安全計劃。

七、網絡安全未來展望

隨著技術的不斷發展，網絡安全領域面臨著諸多挑戰，但深信服安全 GPT 及網絡安全治理實踐為未來網絡安全帶來了積極的影響，展現出巨大的潛力。

深信服安全 GPT 的出現，為網絡安全防護提供了新的思路和方法。在未來，隨著大模型技術的不斷進步和應用場景的不斷拓展，安全 GPT 有望在更多領域發揮重要作用。例如，在物聯網領域，安全 GPT 可以對海量的設備連接和數據傳輸進行實時監測和分析，及時發現并阻止潛在的安全威脅；在工業互聯網領域，安全 GPT 可以為關鍵基礎設施提供更加精準的安全防護，確保工業生產的穩定運行。

同時，網絡安全治理實踐也將在未來發揮更加重要的作用。通過進行網絡風險評估，組織可以更加全面地了解自身的網絡安全狀況，有針對性地制定安全策略和措施；實施網絡安全政策，建立健全的管理框架，確保組織合規并傳達期望要求；培訓教育員工，提高員工的網絡安全意識和能力，形成全員參與的網絡安全文化；使用加密和身份驗證、安裝防病毒及防火墻軟件、定期更新軟件、經常備份資料等措施，可以有效提高數據的安全性和系統的穩定性；連接公共 Wi-Fi 用 VPN、監控審計網絡安全活動、審查更新網絡安全計劃等措施，可以進一步加強網絡安全防護，確保網絡安全工作與業務目標、目的和優先級保持一致。

然而，未來網絡安全領域也面臨著一些挑戰。隨著人工智能技術的不斷發展，網絡攻擊手段也將變得更加復雜和多樣化。攻擊者可能利用人工智能技術進行更加精準的攻擊，如自動化攻擊、智能釣魚等。此外，隨著云計算、大數據、物聯網等新技術的廣泛應用，網絡安全邊界將變得更加模糊，安全防護難度也將進一步加大。

面對這些挑戰，我們需要不斷加強網絡安全技術的研發和創新，提高網絡安全防護能力。同時，我們也需要加強國際合作，共同應對全球性的網絡安全挑戰。只有通過全社會的共同努力，才能確保網絡安全，為數字經濟的發展和社會的穩定運行提供有力保障。

深信服安全 GPT 及網絡安全治理實踐為未來網絡安全帶來了積極的影響，雖然面臨著挑戰，但潛力巨大。我們相信，在全社會的共同努力下，未來的網絡安全將更加可靠，為人們的生活和工作提供更加安全的網絡環境。