360 安全大模型

需求分析

威胁日益增多,告警疲劳,降噪不好

伴随各行各业“云大物移智”的新技术、新产品推出,企事业网络资产的暴露面也在变多,对应的攻击面也随之变多,继而造成威胁告警多,当系统缺乏智能识别和过滤功能,或者告警规则设置不合理时,就会导致大量误报,从而无法准确判断哪些告警需要真正关注。

运营效率低下,人力不足

现阶段的安全运营主要是靠人工看告警、查告警、做分析,在攻击侧,很多组织已经利用GPT或专用工具创建出自动化攻击武器。但反观防御侧,安全专家们每天仅仅在处理高级别告警方面,都会耗费几乎全部的时间和精力,而中低级告警只能被忽略掉,但中低级告警恰恰是很多攻击链中的重要一环,所以当前大部分企业在运营响应效率方面仍存在瓶颈。

缺乏专家经验,依赖专业技能和经验积累

网络安全是一个复杂度高、强调技术性的领域,真实的网络攻击会涉及云、管、端多个维度,以及各类操作系统和各种技战术手法。在国家网络攻防博弈的大背景下,APT攻击日益增多,攻击团伙所使用的武器和攻击手法也较为隐蔽,要想从海量日志中挖掘出高级威胁,完成溯源分析,对安全专家们的能力具有较大挑战,经验不足往往会遗漏高级威胁的相关线索。

产品概述

360安全大模型是360基于20年积累的安全大数据以及多年来对抗APT组织的攻防实战经验研发而来的全新安全“中枢框架”。通过对安全领域进行深度训练,360构建了包含攻击检测大模型、运营处置大模型、知识管理大模型、追踪溯源大模型、代码安全大模型、数据保护大模型在内的安全大模型矩阵。同时,基于各垂类安全大模型构造数字专家团队。360安全大模型平台方便用户更快捷、灵活的创建适用于不同网络安全场景的数字专家,能够为用户打造一支高质量的数字安全专家团队,缓解因网络安全专家经验缺乏、人才稀缺所带来的困扰,提高网络安全风险和威胁的识别能力,提升安全事件的响应效率。

功能介绍

高效攻击检测
用于识别和分析网络流量、日志数据以及其他系统数据中的潜在威胁和攻击行为。充分利用安全大模型在语义理解、规则泛化上的优势,如钓鱼邮件检测、网络攻击检测,快速识别并标记可疑活动,帮助网络安全团队采取及时的防御措施。
高级威胁猎杀
将安全专家的溯源经验进行总结提炼,训练到专家模型中,利用大模型模仿安全专家在原始日志中关联出完整攻击链路,结合360多年的攻防知识谱图,发现完整攻击意图和攻击组织/团伙信息,从而给出真实的攻击信息以及相关处置建议。
安全知识问答
集成高质量威胁情报,支持构建私有知识库,将360海量安全知识、威胁情报、企业私有知识通过友好、方便的方式提供知识咨询功能,大大提升安全人员获取安全知识的便捷度。
安全运营辅助
归纳总结多个安全产品在日常安全运营中的使用方式,提供更为灵活的问答交互方式。让管理员快速获得关注的安全运营问题,针对安全事件提供详情查看、告警解读、统计分析、下发处置等操作入口,以及安全运营报告编写等提高管理员日常安全运营工作的能力。

技术优势

高质量安全数据

360拥有全球独有的样本库、广泛的服务覆盖、海量的全球互联网基础信息以及网络资产测绘信息等,沉淀多年积累了威胁图谱、漏洞库、云查日志、攻防技战术、DNS数据等,作为高质量语料训练,保障模型准确性与可靠性。

多专家协同(CoE)架构模型

通过将海量参数按照任务类型进行分区,打造类脑分区协同(CoE)模型,类比人类大脑实现专家级安全分析能力。每个分区相当于一个或多个专家,采用多专家协同方式,每次安全任务无需激活所有参数,根据任务类型、能力要求灵活组合调用语言中枢 、规划中枢 、判定中枢等,可以极大提升模型推理效率,降低模型训练成本,有效缓解多任务冲突问题,在各方面达到平衡。

内外联动,工具增强

结合外部程序启动慢思考模式共同完成任务,充分利用RAG、TAG的内外协同,减少模型幻觉,同时通过工具联通外部系统完成复杂任务。 经过多年网络安全行业积累,已经积累了丰富的安全知识和工具资源,通过智能体的快速调度,直接使用,显著提升大模型的扩展性和灵活性。

部署方案