生成式大模型的爆火不是一蹴而就的。AI技术经历了从决策式小模型到生成式大模型的发展历程。

最近十年，决策式小模型被大规模应用在电商、娱乐、人脸识别、自动驾驶、文本分析等领域，不知不觉早已在各行各业中司空见惯。今年开始，以ChatGPT为代表的生成式大模型爆火，慢慢涌现出在不同行业的技术应用，网络安全亦是其中之一。

顺应技术发展趋势，以深信服为例，作为国内最早应用AI的网络安全厂商之一，深信服在2015年开始投入决策式AI技术的研究和应用。2016年，深信服不断加码AI技术并确立了AI First的研发战略，在网络安全和云计算领域都有可落地、有效果的技术突破：

• 未知病毒检出率国内第一的SAVE 3.0引擎

• 实现云原生应用自我保护的NoDR技术

• 精确度超90%的AIOps 智能运维分析引擎

• ……

目前深信服在十几个不同的技术领域都用到了人工智能，均取得了良好效果，这些技术大量应用到深信服的产品和用户使用场景中，深受认可。

从AI小模型到提出AI First战略，深信服累积了研发垂直领域AI大模型所需的高质量数据语料、既懂AI又懂安全的人才、面向AI体系化协同的云网端产品体系。

基于这些积累，在2022年明确全面拥抱大模型后，深信服得以在业界首秀安全GPT，为网络安全发展注入新动能。

为什么网络安全领域需要GPT大模型技术应用？

一方面，GPT大模型的出现，让攻击方可以更便捷快速地生成攻击工具、混淆攻击代码等，针对性地构造未知、高级的攻击。当前安全设备对于这种未知恶意样本查杀能力较弱，很容易被攻击者绕过。而过去广泛应用于安全检测领域的AI机器学习小模型，每种模型只能用于单一检测场景，小模型训练与研发效率较低，误报率居高不下。

另一方面，在安全运营工作中，人员能力和精力仍然是巨大的瓶颈。即使是专家级别的运营人员，面对高级安全威胁也要花费数小时甚至数天进行分析和研判，同时在某些领域仍会存在能力短板。安全运营效率和效果提升面临较大的发展瓶颈。

深信服认为，面对攻击方使用大模型，防守方能力瓶颈难以突破的情况下，防守方也要充分拥抱大模型，以智能对抗智能，以AI赋能防守，方能应对大模型时代的安全挑战。大模型既有泛化的检测能力，也有高质量的攻击解释能力，以及分析态势和处置建议的生成能力，由此可以提升高级威胁检出率、降低误报率（安全告警里判错的比例），极大拉高安全运营团队的能力水位线，促进安全建设效果、效率的提升。

网络安全行业玩转GPT大模型有哪些门槛？

数据、算力、模型算法、产品架构是在网络安全领域玩转GPT大模型的门槛，此外，我们也不能忽视复合型人才队伍的打造。

作为一家深耕网络安全和云计算的公司，深信服在安全领域应用GPT技术有一些天然优势：

• 面向AI模型训练的高质量数据和算力

持续累计的千亿级Token安全语料。
自动化的训练数据生成和质量管理平台。
55w+安全设备和组件接入云端。

每日更新数千万训练样本。
基于托管云的分布式算力平台。

• 云网端智能产品架构

数据采集/模型训练/部署落地全流程的安全产品。

国内率先推出SASE、MSS等云化产品和服务.

Genius AI研发平台模型训练速度提升3.5倍。

全国100+节点托管云，支撑安全GPT贴近用户部署。

• 四位一体的专家队伍

快速组建既懂安全、又懂AI的专业团队。

以GPT为代表的AI技术应用于网络安全，主要带来哪些方面的增益提效？

网络安全的本质在于攻防对抗。根据Gartner“防御-检测-响应-预测”的新一代自适应安全防御架构，GPT大模型技术应用于网络安全可以从检测、响应、预测三方面切入，最终实现对于威胁的有效防御。

• 检测：判断文件样本、代码等是否恶意，访问登陆、进程通信等是否异常，从而精准识别未知威胁。

• 响应：实现告警削减、攻击链溯源，以自然语言对话的方式，实现自动化/半自动化响应。

• 预测：通过大量学习恶意样本、对抗策略，以及挖掘漏洞，真正实现以攻促防，预测攻击的发生。

深信服安全GPT是完全自主可控的，不应用ChatGPT能力，且由深信服自主训练，训练数据部署在深信服托管云上。

深信服安全GPT以自研模型 SangforLM 为技术基础，吸收业界众多先进的开源大模型优秀实践，不断进化。

基于深信服8年来持续积累的高质量安全语料，深信服安全GPT通过预训练和参数微调等方式，能够深入攻击样本检测、漏洞研判、分析处置等安全细分场景，实现深度理解和专业研判的安全领域垂直大模型。

在推理能力方面，安全GPT以自然语言交互为基础，具备强大的用户场景上下文理解能力。

在事件研判方面，深信服打通了本地系统和产品，安全GPT可以快速研判安全事件并给出正确结论，联动日志进行溯源分析，并具备准确率极高的流量检测能力。

基于生成式AI的安全GPT在辅助安全运营方面，具备极强的用户需求理解和建议生成能力，可大幅降低服务和运营人力成本，为安全运营全面助力。

接下来，安全GPT会持续通过高质量安全语料和云网端产品架构的不断喂养和学习，同时在安全专家和小模型的监督调优之下，在安全的各个领域持续提升能力。

安全GPT技术应用在XDR平台上，如何识别未知威胁？

安全GPT对未知攻击的检测，来源于对攻击流量、文件的深度理解能力。经过预训练之后的大语言模型对于代码、文本天然具备较好的理解和生成能力。

深信服利用安全领域的高质量攻击样本对安全GPT进行投喂训练，结合多种大模型微调手段，以及专家、小模型的监督强化，使得安全GPT最终具备对未知攻击的意图理解、异常判定、混淆还原能力。

通过前期5000万样本数据测试，相较传统检测引擎，赋能安全GPT技术的深信服XDR高级威胁检测率高达95.7%，误报率（安全告警里判错的比例）仅4.3%。

经过多轮验证测试，深信服安全GPT技术已经达到5年经验的安全专家水平。

安全GPT技术辅助运营的基本原理是什么？

用户通过XDR平台对接安全GPT，使用自然语言开展安全运营。

用户的自然语言对话请求经过XDR平台，会与用户本地的各类信息，如资产信息、攻击上下文等信息进行关联，送入云端安全GPT进行理解。

安全GPT进一步通过XDR平台与各类安全设备、情报、资产库表进行对接、查询和调查，将查询得到的信息进行理解、转化。

根据不同场景的个性化需求，安全GPT可以用文字、图表等多模交互的关键指标为输出。

由此，运营人员的梳理总结工作由小时级缩短到秒级，价值感知一眼便知。

企业里使用GPT技术有一定的数据安全合规要求，对此深信服安全GPT是如何做的？

深信服深耕网络安全多年，坚持网络安全和数据安全的底线。深信服进行大模型训练的数据均为通用安全知识，不涉及任何与用户信息相关的数据。

大模型部署推理所需的数据，执行严格匿名化策略，保证数据不标识到具体用户。

同时，深信服确保数据不出境，不同用户的数据充分隔离不互通。

安全GPT+XDR平台与安全组件对接，是否必须是深信服的组件？

深信服XDR作为一个开放的平台，通过原生的流量采集工具与端点采集工具收集关键数据，通过网端聚合分析引擎对数据进行上下文关联分析，实现攻击链深度溯源。

目前，深信服XDR支持对接自身网和端的安全组件，也支持第三方设备安全数据的对接和应用。XDR平台对接第三方组件后，安全GPT即可通过XDR平台对接第三方组件进行分析响应。