360 安全大模型

需求分析

威胁日益增多，告警疲劳，降噪不好

伴随各行各业“云大物移智”的新技术、新产品推出，企事业网络资产的暴露面也在变多，对应的攻击面也随之变多，继而造成威胁告警多，当系统缺乏智能识别和过滤功能，或者告警规则设置不合理时，就会导致大量误报，从而无法准确判断哪些告警需要真正关注。

运营效率低下，人力不足

现阶段的安全运营主要是靠人工看告警、查告警、做分析，在攻击侧，很多组织已经利用GPT或专用工具创建出自动化攻击武器。但反观防御侧，安全专家们每天仅仅在处理高级别告警方面，都会耗费几乎全部的时间和精力，而中低级告警只能被忽略掉，但中低级告警恰恰是很多攻击链中的重要一环，所以当前大部分企业在运营响应效率方面仍存在瓶颈。

缺乏专家经验，依赖专业技能和经验积累

网络安全是一个复杂度高、强调技术性的领域，真实的网络攻击会涉及云、管、端多个维度，以及各类操作系统和各种技战术手法。在国家网络攻防博弈的大背景下，APT攻击日益增多，攻击团伙所使用的武器和攻击手法也较为隐蔽，要想从海量日志中挖掘出高级威胁，完成溯源分析，对安全专家们的能力具有较大挑战，经验不足往往会遗漏高级威胁的相关线索。

产品概述

360安全大模型是360基于20年积累的安全大数据以及多年来对抗APT组织的攻防实战经验研发而来的全新安全“中枢框架”。通过对安全领域进行深度训练，360构建了包含攻击检测大模型、运营处置大模型、知识管理大模型、追踪溯源大模型、代码安全大模型、数据保护大模型在内的安全大模型矩阵。同时，基于各垂类安全大模型构造数字专家团队。360安全大模型平台方便用户更快捷、灵活的创建适用于不同网络安全场景的数字专家，能够为用户打造一支高质量的数字安全专家团队，缓解因网络安全专家经验缺乏、人才稀缺所带来的困扰，提高网络安全风险和威胁的识别能力，提升安全事件的响应效率。

功能介绍

高效攻击检测

用于识别和分析网络流量、日志数据以及其他系统数据中的潜在威胁和攻击行为。充分利用安全大模型在语义理解、规则泛化上的优势，如钓鱼邮件检测、网络攻击检测，快速识别并标记可疑活动，帮助网络安全团队采取及时的防御措施。

高级威胁猎杀

将安全专家的溯源经验进行总结提炼，训练到专家模型中，利用大模型模仿安全专家在原始日志中关联出完整攻击链路，结合360多年的攻防知识谱图，发现完整攻击意图和攻击组织/团伙信息，从而给出真实的攻击信息以及相关处置建议。

安全知识问答

集成高质量威胁情报，支持构建私有知识库，将360海量安全知识、威胁情报、企业私有知识通过友好、方便的方式提供知识咨询功能，大大提升安全人员获取安全知识的便捷度。

安全运营辅助

归纳总结多个安全产品在日常安全运营中的使用方式，提供更为灵活的问答交互方式。让管理员快速获得关注的安全运营问题，针对安全事件提供详情查看、告警解读、统计分析、下发处置等操作入口，以及安全运营报告编写等提高管理员日常安全运营工作的能力。

技术优势

高质量安全数据

360拥有全球独有的样本库、广泛的服务覆盖、海量的全球互联网基础信息以及网络资产测绘信息等，沉淀多年积累了威胁图谱、漏洞库、云查日志、攻防技战术、DNS数据等，作为高质量语料训练，保障模型准确性与可靠性。

多专家协同（CoE）架构模型

通过将海量参数按照任务类型进行分区，打造类脑分区协同（CoE）模型，类比人类大脑实现专家级安全分析能力。每个分区相当于一个或多个专家，采用多专家协同方式，每次安全任务无需激活所有参数，根据任务类型、能力要求灵活组合调用语言中枢、规划中枢、判定中枢等，可以极大提升模型推理效率，降低模型训练成本，有效缓解多任务冲突问题，在各方面达到平衡。

内外联动，工具增强

结合外部程序启动慢思考模式共同完成任务，充分利用RAG、TAG的内外协同，减少模型幻觉，同时通过工具联通外部系统完成复杂任务。经过多年网络安全行业积累，已经积累了丰富的安全知识和工具资源，通过智能体的快速调度，直接使用，显著提升大模型的扩展性和灵活性。