当前位置:首页>>应用案例>>案例详情
企业名称

基于垂直领域LLM的智能化网络安全运营方案

微信
新浪微博
QQ
QQ空间
豆瓣网
百度贴吧
  本方案是一个基于LLM的安全运营解决方案。方案可融合公域知识、私有知识、安全运营方面的专有知识以及安全专家的经验,使用LLM为核心的Agent与RAG思想和技术,解决安全运营中存在的痛点与难题,在实现自动化、智能化安全运营的同时,提升了安全运营的效率和效果,节省了宝贵的人力成本和运维成本。同时,将智能化的预判方案、处置策略适当结合安全专家的稀缺能力,形成了一种实用性强、安全级别高、资源使用率低但综合运营效果较好的新型安全运营解决方案。
企业 西安四叶草信息技术有限公司
案例介绍

案例简介

  基于垂直领域的LLM的智能化安全运营方案可以根据不同运营场景(如告警降噪、攻击溯源、响应处置、态势感知与分析、智能报告等)承载LangChain、LangGraph、RAG、Embedding等实用框架或技术,进行告警的深度分析和降噪、攻击链路复现溯源、常规处置的智能化自动化响应处置、整体态势的感知与智能分析以、各种场景多维度智能报告生成等操作,从而提升安全运营效率、提高安全运行质量、降低安全运行成本、曾强安全运营综合能力。

  本方案首先支持异构数据的同质化,采用范式化引擎把异构的网络元数据、日志信息、告警信息等数据进行归一化、标准化,形成规范化的数据集便于智能化分析。

  其次,方案针对元数据通过联动垂直领域LLM进行深度威胁检测,智能发现高确信度、危害严重的网络攻击。同时,辅以日志信息、告警信息等信息,通过攻击链关联、智能数据挖掘,打通整体数据链路,将威胁的来源、去向、行为、破坏程度等均以有向无环图形式给予刻画,既生成更有价值的告警,又具有较强的可视化效果。

  垂直LLM具备丰富的安全知识和强大的逻辑推理能力,同时其对代码理解深刻能力使得其可以对基于代码的攻击载荷也能进行深度分析。而后结合具体场景,对其进行深度剖析拆解,形成链式的处理逻辑,并通过LangChain框架将LLM大脑和具体的执行任务链无缝衔接起来。

  另外,安全分析时根据不同的分析阶段、不同上下文信息,LLM辅以不同的Agent以工具链的形式进行指令的拆解、执行、观察、监督,逐步完成安全分析,甚至部分工作可以逐步替代安全分析工程师,节约宝贵的人力资源。


背景或痛点

  伴随网络攻击日益普遍化、复杂化,安全运营同时面临着大数据、智能化的挑战,传统基于规则的安全检测技术难以应对高级持续性威胁、零日漏洞攻击、恶意加密流量的威胁,而垂直领域LLM至少具有中级网络安全工程师的水平和能力,其已经具备了复杂网络环境的理解能力,可通过学习网络安全信息、提取数据的特征和规律,发现更加隐蔽的攻击模式、更加有价值的安全威胁和更加难以感知的安全隐患。经过微调后的垂直领域LLM,对于恶意代码变种、加密流量检测等隐蔽场景可辅助提升检测效率和准确性、降低误报和漏报率,提升安全防护能力。同时,垂直领域LLM具有强大的适应能力,可不断学习、适应新场景,用于检测新型网络攻击,保障安全运营。


技术特色

  1) 将垂直领域LLM技术融入传统的安全运营场景,改善传统基于规则、神经网络等方案的不足,解决传统方案难以解决的运营难题。借助LLM本身的推理、计算和智能化的能力,辅以垂直领域知识库,LLM具备了更加强大的智能化分析能力、研判能力、基于语义的通用理解和处置能力,可辅助决策、协助甚至自主实现智能化运营。

  2) 统筹规划、监督执行,以LLM为核心的安全运营方案提出新的安全运营范式。采用LangChain框架,融合LLM、LlamaIndex、模型微调、RAG、Embedding、思维链等技术集,结合情报系统、资产系统等工具进行数据整合,形成可智能化统筹分析、告警深度研判分析、告警降噪、攻击溯源、响应处置、态势展示、智能报告等智能化现代化安全运营机制。

  3) 通识理解推理能力,辅以安全场景领域知识,LLM运营方案可快速适应各具象化场景。采用开源大模型+微调技术+安全私域知识库增强方案,增强了LLM在领域知识中深入理解、推理能力,为安全运营中各种具体化场景的场景识别、场景分析、场景问题归纳、场景问题思考、场景解决方案规划、场景解决问题的执行、场景解决方案的执行效果等提供更加有力支撑,方案可应用于安全运营各细化场景。

  4) 强大的大脑,外加便捷的四肢,LLM安全运营方案可快速、精准解决运营难题。采用大模型技术+小模型+智能化算法+传统算法相结合机制,实现在不同安全级别、应用场景中的安全运营,既安全有效的解决传统运营的痛点和难点,各种小模型的加持又增强了大模型子细微场景中的灵活处置能力和快速适应能力,综合提升安全运营整体效果。

智能化运营方案-图1.png


应用实例场景

  可部署应用在告警降噪、攻击溯源、自动化智能化相应处置、深度态势分析、智能化报告生成等运营场景。


实施效果

  1) 解决安全运营人员人力紧张的问题。日益复杂的运营场景对安全处置与运营人员的能力要求越来越高,满足需求的安全人员缺口越来越大,基于LLM的安全运营方案可有效解决运营人员人手不足的问题,在一定的条件下可协助甚至替代安全运营人员完成一些运营任务和工作。

  2) 降低海量日志告警筛选识别难度。随着组织产生的流量越来越大、部署的安全工具/设备越来越多,由此产生海量日志告警数据。日志告警分析主要依赖于人,但安全专家少,高水平人才培养周期长,当前普遍陷入安全设备和人员增加但解决问题效率没有改善的怪圈。

  3) 增强系统智能性,协助运营人员高效工作。基于LLM的安全运营方案可将各种同源异构数据实时动态聚合与分析,将海量日志分类分级,将相同或相似告警归并处置,对运营过程异常事件深度检测,整个过程可智能化运行,解放运营人员重复性、高难度的处置工作。

简化数据接入、处置、分析、研判等环节,自动、智能辅助运营监控、研判、决策任务。原异构数据接入需数据专家使用各种工具完成,使用垂直LLM技术可以智能化提取、格式化组织数据,极大提升了数据接入的效率和准确性;原数据处置,需要多种规则、策略配合执行,使用垂直LLM在数据接入后直接进行数据标准化、归一化、预处理等过程,降低了信息丢失、延时的风险;原数据分析和研判环节,需要数据专家在理解业务场景的基础上,针对数据的多样性提取必要数据业务特征经过不断探索完成,使用垂直LLM可直接完成,极大减少了数据专家分析和挖掘数据规律的复杂性和难度。