生成式大模型的爆火不是一蹴而就的。AI技術經歷了從決策式小模型到生成式大模型的發展歷程。

最近十年，決策式小模型被大規模應用在電商、娛樂、人臉識別、自動駕駛、文本分析等領域，不知不覺早已在各行各業中司空見慣。今年開始，以ChatGPT為代表的生成式大模型爆火，慢慢涌現出在不同行業的技術應用，網絡安全亦是其中之一。

順應技術發展趨勢，以深信服為例，作為國內最早應用AI的網絡安全廠商之一，深信服在2015年開始投入決策式AI技術的研究和應用。2016年，深信服不斷加碼AI技術并確立了AI First的研發戰略，在網絡安全和云計算領域都有可落地、有效果的技術突破：

• 未知病毒檢出率國內第一的SAVE 3.0引擎

• 實現云原生應用自我保護的NoDR技術

• 精確度超90%的AIOps 智能運維分析引擎

• ……

目前深信服在十幾個不同的技術領域都用到了人工智能，均取得了良好效果，這些技術大量應用到深信服的產品和用戶使用場景中，深受認可。

從AI小模型到提出AI First戰略，深信服累積了研發垂直領域AI大模型所需的高質量數據語料、既懂AI又懂安全的人才、面向AI體系化協同的云網端產品體系。

基于這些積累，在2022年明確全面擁抱大模型后，深信服得以在業界首秀安全GPT，為網絡安全發展注入新動能。

為什么網絡安全領域需要GPT大模型技術應用？

一方面，GPT大模型的出現，讓攻擊方可以更便捷快速地生成攻擊工具、混淆攻擊代碼等，針對性地構造未知、高級的攻擊。當前安全設備對于這種未知惡意樣本查殺能力較弱，很容易被攻擊者繞過。而過去廣泛應用于安全檢測領域的AI機器學習小模型，每種模型只能用于單一檢測場景，小模型訓練與研發效率較低，誤報率居高不下。

另一方面，在安全運營工作中，人員能力和精力仍然是巨大的瓶頸。即使是專家級別的運營人員，面對高級安全威脅也要花費數小時甚至數天進行分析和研判，同時在某些領域仍會存在能力短板。安全運營效率和效果提升面臨較大的發展瓶頸。

深信服認為，面對攻擊方使用大模型，防守方能力瓶頸難以突破的情況下，防守方也要充分擁抱大模型，以智能對抗智能，以AI賦能防守，方能應對大模型時代的安全挑戰。大模型既有泛化的檢測能力，也有高質量的攻擊解釋能力，以及分析態勢和處置建議的生成能力，由此可以提升高級威脅檢出率、降低誤報率（安全告警里判錯的比例），極大拉高安全運營團隊的能力水位線，促進安全建設效果、效率的提升。

網絡安全行業玩轉GPT大模型有哪些門檻？

數據、算力、模型算法、產品架構是在網絡安全領域玩轉GPT大模型的門檻，此外，我們也不能忽視復合型人才隊伍的打造。

作為一家深耕網絡安全和云計算的公司，深信服在安全領域應用GPT技術有一些天然優勢：

• 面向AI模型訓練的高質量數據和算力

持續累計的千億級Token安全語料。
自動化的訓練數據生成和質量管理平臺。
55w+安全設備和組件接入云端。

每日更新數千萬訓練樣本。
基于托管云的分布式算力平臺。

• 云網端智能產品架構

數據采集/模型訓練/部署落地全流程的安全產品。

國內率先推出SASE、MSS等云化產品和服務.

Genius AI研發平臺模型訓練速度提升3.5倍。

全國100+節點托管云，支撐安全GPT貼近用戶部署。

• 四位一體的專家隊伍

快速組建既懂安全、又懂AI的專業團隊。

以GPT為代表的AI技術應用于網絡安全，主要帶來哪些方面的增益提效？

網絡安全的本質在于攻防對抗。根據Gartner“防御-檢測-響應-預測”的新一代自適應安全防御架構，GPT大模型技術應用于網絡安全可以從檢測、響應、預測三方面切入，最終實現對于威脅的有效防御。

• 檢測：判斷文件樣本、代碼等是否惡意，訪問登陸、進程通信等是否異常，從而精準識別未知威脅。

• 響應：實現告警削減、攻擊鏈溯源，以自然語言對話的方式，實現自動化/半自動化響應。

• 預測：通過大量學習惡意樣本、對抗策略，以及挖掘漏洞，真正實現以攻促防，預測攻擊的發生。

深信服安全GPT是完全自主可控的，不應用ChatGPT能力，且由深信服自主訓練，訓練數據部署在深信服托管云上。

深信服安全GPT以自研模型 SangforLM 為技術基礎，吸收業界眾多先進的開源大模型優秀實踐，不斷進化。

基于深信服8年來持續積累的高質量安全語料，深信服安全GPT通過預訓練和參數微調等方式，能夠深入攻擊樣本檢測、漏洞研判、分析處置等安全細分場景，實現深度理解和專業研判的安全領域垂直大模型。

在推理能力方面，安全GPT以自然語言交互為基礎，具備強大的用戶場景上下文理解能力。

在事件研判方面，深信服打通了本地系統和產品，安全GPT可以快速研判安全事件并給出正確結論，聯動日志進行溯源分析，并具備準確率極高的流量檢測能力。

基于生成式AI的安全GPT在輔助安全運營方面，具備極強的用戶需求理解和建議生成能力，可大幅降低服務和運營人力成本，為安全運營全面助力。

接下來，安全GPT會持續通過高質量安全語料和云網端產品架構的不斷喂養和學習，同時在安全專家和小模型的監督調優之下，在安全的各個領域持續提升能力。

安全GPT技術應用在XDR平臺上，如何識別未知威脅？

安全GPT對未知攻擊的檢測，來源于對攻擊流量、文件的深度理解能力。經過預訓練之后的大語言模型對于代碼、文本天然具備較好的理解和生成能力。

深信服利用安全領域的高質量攻擊樣本對安全GPT進行投喂訓練，結合多種大模型微調手段，以及專家、小模型的監督強化，使得安全GPT最終具備對未知攻擊的意圖理解、異常判定、混淆還原能力。

通過前期5000萬樣本數據測試，相較傳統檢測引擎，賦能安全GPT技術的深信服XDR高級威脅檢測率高達95.7%，誤報率（安全告警里判錯的比例）僅4.3%。

經過多輪驗證測試，深信服安全GPT技術已經達到5年經驗的安全專家水平。

安全GPT技術輔助運營的基本原理是什么？

用戶通過XDR平臺對接安全GPT，使用自然語言開展安全運營。

用戶的自然語言對話請求經過XDR平臺，會與用戶本地的各類信息，如資產信息、攻擊上下文等信息進行關聯，送入云端安全GPT進行理解。

安全GPT進一步通過XDR平臺與各類安全設備、情報、資產庫表進行對接、查詢和調查，將查詢得到的信息進行理解、轉化。

根據不同場景的個性化需求，安全GPT可以用文字、圖表等多模交互的關鍵指標為輸出。

由此，運營人員的梳理總結工作由小時級縮短到秒級，價值感知一眼便知。

企業里使用GPT技術有一定的數據安全合規要求，對此深信服安全GPT是如何做的？

深信服深耕網絡安全多年，堅持網絡安全和數據安全的底線。深信服進行大模型訓練的數據均為通用安全知識，不涉及任何與用戶信息相關的數據。

大模型部署推理所需的數據，執行嚴格匿名化策略，保證數據不標識到具體用戶。

同時，深信服確保數據不出境，不同用戶的數據充分隔離不互通。

安全GPT+XDR平臺與安全組件對接，是否必須是深信服的組件？

深信服XDR作為一個開放的平臺，通過原生的流量采集工具與端點采集工具收集關鍵數據，通過網端聚合分析引擎對數據進行上下文關聯分析，實現攻擊鏈深度溯源。

目前，深信服XDR支持對接自身網和端的安全組件，也支持第三方設備安全數據的對接和應用。XDR平臺對接第三方組件后，安全GPT即可通過XDR平臺對接第三方組件進行分析響應。