流量威脅檢測的重要性無需多言。

回顧發(fā)展歷程，流量威脅檢測技術經歷了從正則匹配到語法語義匹配，再到結合統(tǒng)計分析、行為分析的機器學習小模型等技術路線。

我們可以窺探其反映出攻擊手段的升級迭代:從最開始帶有明顯特征，逐漸變成弱特征，甚至是組合利用的體系化攻擊手法，再到最 新的智能化手段運用。

《世界互聯網發(fā)展報告2023》中提到，網絡攻防進入智能化對抗時代，低成本自動化的新形式網絡攻擊層出不窮。

攻擊者已經在利用AI大模型批量快速構建攻擊工具、生成混淆攻擊代碼，并結合全方位立體攻擊手法(如:0day 漏洞攻擊、定向釣魚、C2 加密通信等)。很多人依然執(zhí)著于通過持續(xù)疊加規(guī)則，包括結合云端情報等手段，讓傳統(tǒng)檢測引擎應對新威脅，但這無異于以卵擊石。

深信服不沿襲老路，以Game Changer的思路獨辟蹊徑——利用大模型賦能流量檢測。

完爆傳統(tǒng)檢測引擎

六項能力超越通用大模型

深信服安全GPT可以作為檢測引擎，賦能態(tài)勢感知等傳統(tǒng)安全設備，具備對未知攻擊的意圖理解、異常判定、混淆還原能力，當前已完成檢測大模型的標準化落地。

基于積累的千萬條語料、千億級Token的高質量訓練數據，早在今年 4 月，安全GPT檢測大模型的效果已顯著超越了業(yè)界多家基于規(guī)則和小模型的流量檢測引擎。經內部 5000 萬樣本數據測試，相比傳統(tǒng)流量檢測設備，安全GPT檢出率由平均57.4%提升至92.4%，誤報率由42.6%降低至僅4.3%。

從實踐中來到實踐中去，安全GPT檢測大模型一次次證明了自身實力:

1.多方持續(xù)驗證檢測效果

8 月，在 2023 年大型實戰(zhàn)攻防演練中，安全GPT檢測大模型在沒有任何先驗知識的前提下，發(fā)現50+在野0day漏洞利用攻擊。

9- 11 月，深信服藍軍基于檢測大模型的研判結果，捕獲到了 32 個在野利用的0day漏洞，并將漏洞詳情報送監(jiān)管機構。

10- 11 月，經多家用戶驗證安全GPT大模型，結果顯示:針對 25 個高混淆數據包(可繞過傳統(tǒng)引擎及通用大模型GPT-4)，安全GPT檢出率100 %，其中針對三層混淆樣本，傳統(tǒng)引擎和通用大模型GPT- 4 均未檢出;在實際網絡環(huán)境中，與業(yè)界傳統(tǒng)SOC、NDR產品進行對測，傳統(tǒng)產品檢出率平均12.5%，安全GPT檢出率高達97.4%。

2.六項能力均超越通用大模型

結合安全專家經驗，深信服從六個緯度評估安全GPT檢測大模型效果，分別是代碼理解能力、攻防對抗理解能力、模型推理能力、安全基礎知識能力、任務編排能力、模型幻覺對抗能力。

結果顯示，安全GPT檢測大模型六項能力均超越通用大模型。

我們知道，檢測效果高度取決于對攻擊代碼的理解能力。通用大模型的參數至少十億級別，其具有的理解、泛化、表達能力遠超傳統(tǒng)機器學習小模型，更非傳統(tǒng)規(guī)則引擎可比擬。

如今通用大模型已經可以對一段復雜的攻擊代碼進行高水平、準確地解讀，不亞于人類高 級專家。但深信服真正做到了把大模型能力運用到流量實時檢測與研判中，并取得了更優(yōu)異的效果。

安全GPT檢測大模型就像一個懂攻防、懂代碼、懂協(xié)議的流量研判專家，對流量進行持續(xù)檢測分析，從而發(fā)現傳統(tǒng)檢測引擎發(fā)現不了的高對抗、高繞過流量攻擊。

安全GPT檢測大模型為何能降維打擊?

深信服通過知識蒸餾、模型量化、模型剪枝、Attention機制優(yōu)化等，將安全GPT推理性能提升 50 倍，實現了在實際網絡環(huán)境中，針對實時流量的實時檢測。

因而在實戰(zhàn)考驗面前，安全GPT取得了碾壓式的優(yōu)勝，從以下三個方面，幾乎是對傳統(tǒng)檢測引擎的降維打擊。

1.少量樣本/無樣本前提下檢出新型威脅

傳統(tǒng)語義分析技術開發(fā)成本高昂，且無法應對新型語言，導致傳統(tǒng)檢測引擎無法防御0day漏洞、高對抗攻擊。

安全GPT檢測大模型通過學習大量開源的代碼，先天性地對代碼語義有深入理解，從傳統(tǒng)代碼片段Payload特征檢測，進化到全報文綜合分析的維度，能夠挖掘弱特征攻擊中的真實攻擊目的，從而實現準確檢測并減少誤報。

安全GPT 檢測大模型還能觸類旁通，實現更強的泛化能力，甚至能在少量樣本/無樣本的情況下，基于Zero/Few-Shot技術檢測出新型威脅，因此大幅提升對0day漏洞攻擊的檢出率。

2.破解攻擊結果研判的業(yè)界難題

眾所周知，判定一個攻擊是否成功是業(yè)界難題，也是安全運營工作中消耗大量人力精力的重頭戲。傳統(tǒng)的攻擊成功檢測引擎主要面臨三大問題:攻擊成功無回顯、成功特征不固定、Payload混淆難理解的問題。

安全GPT檢測大模型不僅能還原攻擊中的混淆Payload，還能從響應報文中動態(tài)識別其中是否存在攻擊成功的特征。如下圖中，通過將混淆的Payload還原成最簡模式whoami，安全GPT能夠準確識別攻擊意圖，進一步會關聯分析響應的內容，從而判定攻擊結果為成功。

同時，針對攻擊成功場景，不同的命令有不同的回顯，有的命令回顯無法提規(guī)則(比如whoami回顯zhangsan)。安全GPT檢測大模型在經過大量垂直領域數據訓練后，能夠找出潛在的攻擊成功回顯特征。

3.自然語言輔助有效告警研判

傳統(tǒng)檢測引擎在對威脅事件舉證時，僅能通過高亮的方式展示惡意點。然而安全運營人員能力參差不齊，這種方式無法直接有效輔助其告警研判，時常導致高危事件的漏判誤判。

安全GPT檢測大模型能夠用自然語言對報文進行多維度剖析，輔助運營人員有效研判告警，突破人員能力和精力的瓶頸，真正實現“ 1 個普通工程師+安全GPT檢測大模型=N個安全專家”。

安全GPT檢測大模型是怎樣煉成的?

作為國內最早應用AI的網絡安全廠商之一，早在 2015 年，深信服投入決策式AI技術的研究和應用。 2016 年，深信服不斷加碼AI技術并確立了AI First研發(fā)戰(zhàn)略，在網絡安全和云計算領域都有可落地、有效果的AI技術突破。

由此，深信服積累了煉成安全GPT的必備要素:

1.面向AI模型訓練的高質量數據和算力

持續(xù)累計的千億級Token安全語料。

自動化的訓練數據生成和質量管理平臺。

55w+安全設備和組件接入云端。

每日更新數千萬訓練樣本。

基于托管云的分布式算力平臺。

2.云網端智能產品架構

數據采集/模型訓練/部署落地全流程的安全產品。

國內率先推出SASE、MSS等云化產品和服務。

Genius AI研發(fā)平臺模型訓練速度提升3. 5 倍。

全國100+節(jié)點托管云，支撐安全GPT貼近用戶部署。

3.四位一體的專家隊伍

快速組建既懂安全、又懂AI的專業(yè)團隊。

深信服相信，由“大模型+數據+安全和算法專家”形成的飛輪效應，將為安全GPT在威脅檢測效果的提升持續(xù)帶來巨大潛力。

“世界上本沒有路”，深信服將走出一條獨特的安全GPT檢測大模型之路，持續(xù)引領先鋒體驗，致力于每一位用戶「安全領先一步」。

（推廣）