大模型火不火?太火了!
如果你还以为现在大模型只能用来吟诗、绘画、写歌、做视频?不不不,不法之徒已经可在用大模型搞黑客攻击了↓
比如,最近国外研究团队利用GPT设计出了黑客智能体框架,这个家伙在阅读CVE之后,就可以学会漏洞攻击。
测试攻击成功率高达87%,单次攻击成本仅8.8美元。
这只是个案?
不不不,已经有越来越多的攻击大模型冒出来了,比如WormGPT、FraudGPT等等,都凶猛得很呀。
形势看起来很严峻,搞攻击的已经这么先进了,那咱搞防御的是不是要做点什么?
放心,安全从业者不会坐视不管的,以AI对抗AI,有人已经在路上!
比如,国内安全头部企业深信服已经早早布局,到现在已经超130家用户应用,落地数量标志着绝对优势,领跑行业。
他们为了大模型在安全领域落地,可谓操碎了心。
早在去年5月18日,深信服就在国内率先发布了安全垂域大模型:安全GPT,并成为国内首个通过双重备案的安全大模型。
深信服安全GPT到底能干哪些事儿?
我们先来客观看看,大模型的新特征,能为信息安全领域,带来什么样的技能包。
众所周知,如今的大模型相比传统AI小模型,文本理解和生成能力、知识泛化能力等多方面都强太多了。
也就是说,更高Level的智能已经涌现了。
于是,业界的安全公司都在探索,让大模型能像人类安全专家一样,去解决相对应的安全问题,细分方向很多。
而深信服安全GPT的落地思路,并不是一抓一大把,每个领域都进行尝试,而是基于客户面临的“高威胁、高影响、高价值”几个场景进行落地。
他们把落地方向分两大类,检测大模型和运营大模型。
这两类场景,用户需求紧迫,而且可以与现有产品密切结合。
比如检测大模型可以与深信服NGAF、NDR、EDR产品形成联动,而运营大模型则可以成为XDR产品的最佳“安全搭子”。
下面,我们挨个看看,深信服是怎么玩的↓
01、利用检测大模型,进行高级威胁检测
比如,结合NDR/XDR产品,深信服安全GPT可以实现对网络流量的未知威胁检测。
在实际检测中,深信服安全GPT攻克了传统威胁检测引擎难以逾越的两个难题:
第一,在少量样本甚至是无样本前提下,检测出新型威胁,这对0day漏洞检测至关重要。
第二,精准研判攻击结果,不仅检测是否发生了攻击事件,更能精准判断那些攻击成功的事件。
凭什么单单深信服能攻克这两个难题?
传统检测引擎,要么基于规则特征库匹配,要么基于机器学习特征检测,核心靠的还是匹配和分类。
比如,可以认识黑猫、白猫、橘猫,或者基于明显的“喵特征”来判断是不是猫。但认完猫,换一条狗,就可能不认识了,除非特征库足够全。
而大模型的核心运用逻辑是“生成式”的。
经过海量的通用语料库和安全垂直语料库训练之后,检测大模型就像一个懂攻防、识代码、会推理的“虚拟安全专家”。
它的本质并不是在做分类任务,而是通过逐层的生成式任务,依照宏观的安全专家逻辑进行一步步的生成式判断,并且具备泛化能力。
比如,它拥有“猫”的一切知识,能“生成猫”,能通过一点点蛛丝马迹来识别猫,认识猫以后,还能触类旁通认识老虎。
由于泛化能力强,检测大模型能在少量样本/无样本情况下(比如并没有老虎的样本,相当于0day)。基于Zero/Few-Shot技术,检测出新型威胁,大幅提升0day漏洞检出率。
同样,在攻击结果检测中,监测大模型可以抽丝剥茧,成功还原被混淆的攻击载荷,并找出潜在的攻击成功回显特征。
具体实战效果怎么样呢?
2023年9月-11月间,深信服检测大模型初出茅庐,蓝军就用它捕获了32个在野0day漏洞(漏洞细节此前未必披露过),一战成名!
02、利用检测大模型,实现主机防钓鱼
此时,安全GPT就可以与aES探针结合,来进行钓鱼邮件监测。
与传统方案(邮件安全网关等)相比,检测大模型像资深人工专家一样,进行综合意图评估和研判,大大提升检出率、降低误报率。
在实测中,深信服安全大模型检测了3万高对抗钓鱼邮件与100万白邮件。
检出率从15.7%飞升至91.4%,误报率从0.15%降低至0.046%,吊打传统终端安全和邮件网关产品。
03、利用运营大模型,实现安全辅助驾驶
想象一下,一个安全大模型,化身5年经验的安全专家,为你提供陪伴式服务。
看不懂攻击数据包?丢给它!分分钟给你讲个明明白白↓
安全趋势整不明白?问问它!绘声绘色让你醍醐灌顶↓
这个“专家”不仅可以精准理解用户的自然语言意图,又精通安全产品的实时日志、资产、告警的机器语言。
这些能力,涉及到模型基础能力训练和微调,以及与大量的API、向量数据库、关系型数据库交互。
同时,安全产品的特殊性,还要涉及到与客户本地数据打通,形成私有安全知识库。
所有这些问题,想想就很头大。
但深信服拼的就是一个头铁,硬是把这一系列工程化难题都啃下来了。
试试你就知道了,深信服安全GPT的实时对话体验,那是相当顺滑。
04、利用运营大模型,实现安全自动驾驶
到了这一步,就更加智能了。
作为国内首个提出安全自动驾驶理念的厂商,深信服将安全GPT用于全天候安全值守。
这个负责任的“专家”,可以与XDR协同作战,支持全量告警逐条分析、全量研判,一条也不会漏看。
同时,有效告警实现自动化处置,如果实在拿不准,就转人工,由运营人员介入决策。
在安全运营场景引入深信服安全GPT后,效果大大不一样。
以前安全运营靠人肉,还得是资深专家,走完一个安全闭环,至少仨小时。
如今,安全GPT辅助运营模式,10分钟完成闭环;安全GPT智能驾驶模式,30秒就能跑完全程!
为什么深信服安全GPT能够一枝独秀?
01、布局早,投入大
深信服走了一条难而正确的路。
过去十年间,深信服基于对AI的笃定,校招了大量的AI博士、硕士,这些人才过去做计算机视觉、做自然语言处理,基本都不懂安全。
但就是靠着这一份坚持,这一批硕博在大量AI安全项目中磨练,成为了业内独一份既懂安全又懂AI的复合人才。
大模型时代到来,这批人大放异彩的moment终于来了!
02、自身的独特能力积累
大模型训练离不开大数据,安全大模型训练离不开安全大数据。
深信服20年累积的海量安全数据,恰恰成为了投喂安全GPT的最佳饲料,这其中包括1400亿Tokens通用语料库和1000亿垂直语料库。
同时,深信服的主营业务是云+安全,放眼国内,这样的架构独一无二。
这恰恰为安全大模型提供最佳的架构支撑,让安全GPT能够快速发展壮大。
不仅如此,在这个高速发展的过程中,深信服用GPT赋能安全,同时,特别加码GPT自身的安全建设,持续夯实基本盘。
03、强大的AI和安全产品工程化能力
大模型的落地,算力消耗是绕不开的话题。
模型优化不好,被算力卡了脖子,很可能根本落不了地,尤其是实时流量检测、告警研判。
深信服恰恰懂云也懂AI,多年来在小模型、AI算力平台等方面的优化经验,使得其具备了强大的AI训练、推理性能优化能力。
举个典型例子,深信服能在消费级显卡上把检测和运营大模型跑得飞起,直接做到几块消费级显卡,就可以支持十几G的网络流量实时检测。
04、实战落地成功,不玩PPT
讲真,国内号称已有或在规划的安全大模型,有好大一票了。甚至都让行业客户产生了选择困难症。
但懂行的客户都知道怎么选:看PPT,不如看落地!
那么,安全大模型实际落地哪家强?非深信服莫属!
截至目前,深信服安全GPT已经有超130家落地用户,覆盖金融、能源、政府机关、企业等,安全大模型落地用户数量国内领先,实践经验丰富。