2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判

深信服千里sangforDeepINsight深信服智安全SANG深信服千里sangforDeepINsight深信服智安全2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判DEEPINSIGHTINTOCYBERSECURITYIN2024ANDTRENDANALYSISIN2025千里目安全技術(shù)中心全球Windows系統(tǒng)崩潰，再到黎巴嫩突發(fā)尋本報(bào)告旨在深入分析當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的關(guān)鍵趨勢(shì)，探討最新的攻擊手段和防御技術(shù)，并提供實(shí)用的策略和建議，幫助企業(yè)和組織更好地應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)。本報(bào)告根據(jù)國(guó)內(nèi)外開源軟件漏洞發(fā)展現(xiàn)狀，分析當(dāng)前開源軟件漏洞威脅態(tài)勢(shì)和治理成效；深入研究國(guó)內(nèi)外勒索軟件攻擊發(fā)展趨勢(shì)與犯罪特點(diǎn)，給出勒索軟件治理的建議與策略；從實(shí)際攻防場(chǎng)景出發(fā)，深入剖業(yè)代表性數(shù)據(jù)，且均明確注明來源，其余數(shù)據(jù)來源于報(bào)告編寫團(tuán)隊(duì)，目的僅為幫助讀者及時(shí)了解中國(guó)或其他地區(qū)網(wǎng)絡(luò)安全本報(bào)告中所含內(nèi)容乃一般性信息，不應(yīng)被視為任何意義上的決策意見或依據(jù)，任何編制單位的關(guān)聯(lián)機(jī)構(gòu)、附屬機(jī)構(gòu)并不因此構(gòu)成提供任何專業(yè)建議或服務(wù)。在作出任何可能影響您的財(cái)務(wù)或業(yè)務(wù)的決策或采取任何相關(guān)行動(dòng)前，或您對(duì)本報(bào)告內(nèi)容2024年，人工智能大模型深度賦能網(wǎng)絡(luò)安全技術(shù)革新，在安全運(yùn)營(yíng)、威據(jù)分級(jí)分類場(chǎng)景的大模型正逐步應(yīng)用，全網(wǎng)//o2024年典型攻防場(chǎng)景中，在橫向移動(dòng)階段身份攻擊和免殺對(duì)抗是最主要的攻// 錄開源軟件漏洞態(tài)勢(shì)分析01開源軟件漏洞威脅態(tài)勢(shì)分析01開源軟件漏洞影響分析03.開源軟件漏洞治理與防御的策略與建議04勒索軟件攻擊發(fā)展趨勢(shì)分析05勒索軟件攻擊發(fā)展趨勢(shì)分析05勒索軟件網(wǎng)絡(luò)犯罪特點(diǎn)分析06勒索軟件治理與合作的策略與建議07攻防場(chǎng)景發(fā)展趨勢(shì)分析09攻防場(chǎng)景下初始訪問階段技戰(zhàn)法分析09攻防場(chǎng)景下橫向移動(dòng)階段技戰(zhàn)法分析10攻防場(chǎng)景下安全防御能力建設(shè)的策略與建議11人工智能賦能網(wǎng)絡(luò)安全應(yīng)用發(fā)展情況分析13網(wǎng)絡(luò)安全大模型基本概況13人工智能大模型賦能的網(wǎng)絡(luò)安全場(chǎng)景14安全運(yùn)營(yíng)15威脅檢測(cè)16釣魚郵件檢測(cè)17數(shù)據(jù)分級(jí)分類18威脅情報(bào)整合與分析192025年重點(diǎn)關(guān)注趨勢(shì)20參考鏈接22近年來，開源軟件漏洞數(shù)量整體呈增長(zhǎng)趨勢(shì)，2024年統(tǒng)計(jì)供應(yīng)鏈的重要組成部分，一旦爆發(fā)嚴(yán)重漏洞將對(duì)整個(gè)軟件供應(yīng)鏈帶來極大安全風(fēng)險(xiǎn)。開源漏洞數(shù)據(jù)庫(kù)（OpenSource年高危及以上漏洞占比均超40%。漏洞數(shù)量逐年增長(zhǎng)和高危以上漏洞占比居高，與近年來開源項(xiàng)目的增多和全球開源軟00101洞攻擊者可以獲取任意代碼執(zhí)行權(quán)限，該類型的漏洞在瀏覽器和O?ce軟件中比較常見。已知被0uu0202 主要受以下因素影響：開源軟件通常依賴于社區(qū)的支持來發(fā)現(xiàn)和修復(fù)漏洞，社區(qū)的規(guī)模和活躍程度會(huì)影響漏洞修復(fù)0303●二是維護(hù)軟件物料清單（SBOM）和開源組件清單。使用自動(dòng)化工具分析軟件物料清軟件組件、相關(guān)漏洞及其對(duì)軟件架構(gòu)的影響。跟蹤項(xiàng)目中使用的所有開源組件對(duì)于有效管理和更新漏洞補(bǔ)丁至關(guān)三是持續(xù)地對(duì)項(xiàng)目進(jìn)行監(jiān)控并進(jìn)行全面的安全評(píng)估和審查。使用安全工具持續(xù)監(jiān)控生產(chǎn)中的應(yīng)用程序，自動(dòng)防止漏洞被利用。對(duì)開源工具進(jìn)行全面的安全評(píng)估，確保所有組件定期更新和打補(bǔ)丁。實(shí)施嚴(yán)格的代碼審查，并使用0404 個(gè)重要原因，RaaS的興起極大地降低了勒索攻擊成本，而因勒索攻擊導(dǎo)致的停0505數(shù)據(jù)泄露，乃至詐騙等核心元素展開的勒索軟件攻擊黑色產(chǎn)業(yè)索在網(wǎng)絡(luò)犯罪中占有極大的比重。對(duì)美國(guó)司法部發(fā)布的勒索相關(guān)網(wǎng)絡(luò)犯罪信息進(jìn)行分析后發(fā)現(xiàn)，勒索軟件網(wǎng)絡(luò)犯罪主要涉二是加密生態(tài)犯罪系統(tǒng)為勒索犯罪提供了非法洗錢服務(wù)，包括非法經(jīng)營(yíng)匯款業(yè)務(wù)及轉(zhuǎn)移和傳輸非法資金等服務(wù)。0606不同國(guó)家的全面贖金禁令效果各異。比如，澳大利亞最有可能通過全國(guó)禁令獲得成功，與美國(guó)相比，由于其勒索市場(chǎng)相對(duì)較小，即使犯罪分子放棄對(duì)澳大利亞的勒索攻擊，其網(wǎng)絡(luò)犯罪的目標(biāo)市場(chǎng)也不會(huì)顯著萎縮。相比之下，美國(guó)是受勒索軟件攻擊最嚴(yán)重的國(guó)家，占全球勒索攻擊的50%，勒索犯罪分子并不會(huì)因?yàn)橼H金禁令而放棄攻擊美國(guó)。如果我國(guó)希望將禁止支付贖金作為阻止資金流入犯罪分子的戰(zhàn)略的重要組成部分，那么一個(gè)必不可少的先決條件是國(guó)家在應(yīng)對(duì)攻擊時(shí)采取更有效的干預(yù)措施。勒索軟件現(xiàn)象的核心是經(jīng)濟(jì)和政策激勵(lì)機(jī)制的錯(cuò)位。雖然各國(guó)政府都在努力加強(qiáng)網(wǎng)絡(luò)安全立法和監(jiān)管，但勒索軟件的頻繁出現(xiàn)表明，現(xiàn)有的政策和激勵(lì)機(jī)制并未能有效阻止這一威脅的蔓延。資源分配不合理、政府與行業(yè)合當(dāng)前，政策激勵(lì)機(jī)制面臨的主要障礙包括：一是合法私人利益與公共利益的不一致，當(dāng)西方國(guó)家的私營(yíng)考慮支付贖金對(duì)公共利益的影響并非他們考慮的范疇。二是目前沒有激勵(lì)措施促使犯罪分子克制行動(dòng)，許多勒索犯罪分子并未受到懲罰。三是企業(yè)在軟件和硬件生產(chǎn)中缺乏商業(yè)激勵(lì)，無法在產(chǎn)品設(shè)計(jì)中充分考慮安全性，從而為勒索攻擊留下了隱患。如果不對(duì)激勵(lì)機(jī)制進(jìn)行更廣泛的改革，僅僅剝奪受害者的支0707型勒索團(tuán)伙的打擊，減少了全球范圍內(nèi)產(chǎn)生巨大影響的勒索大事件。同時(shí)，加強(qiáng)對(duì)加密生態(tài)犯罪系統(tǒng)的是黑市買家和賣家的主要渠道，也是勒索軟件犯罪分子進(jìn)行非法交易的避風(fēng)港，對(duì)其瓦解和破壞無疑是對(duì)勒索軟件犯罪活動(dòng)的沉重打擊。此外，針對(duì)暗網(wǎng)網(wǎng)絡(luò)犯罪市場(chǎng)的執(zhí)法也不可忽視。BreachForums、合作伙伴共同應(yīng)對(duì)勒索軟件威脅，已連續(xù)三年舉行國(guó)際勒索軟件倡議（CRI）峰會(huì)，已有50多個(gè)國(guó)家和地區(qū)參與其中。我國(guó)也一直致力于加強(qiáng)雙邊、多邊以及聯(lián)合國(guó)框架下的國(guó)際對(duì)話與合作，推動(dòng)構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體。在關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方面的國(guó)際合作至關(guān)重要，也是“一帶一路”倡議的重點(diǎn)之一。面對(duì)當(dāng)前勒索軟件攻擊態(tài)勢(shì)，建議進(jìn)一步深化在關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方面的國(guó)際合作。二是增強(qiáng)公共部門和私營(yíng)部門的合作。當(dāng)前，中小企業(yè)和其他非政府組織往往缺乏獨(dú)立抵御勒索軟件攻擊的能力，合法私人利益與公共利益的不一致導(dǎo)致私營(yíng)部門未完全向有關(guān)部門報(bào)告勒索軟件攻擊事件。針對(duì)上述公私合作的問題，建議采取進(jìn)一步措施，加強(qiáng)公共部門與私營(yíng)部門的協(xié)同聯(lián)動(dòng)。考慮組建促進(jìn)政企網(wǎng)絡(luò)安全合作的專門機(jī)構(gòu)，吸引重要網(wǎng)絡(luò)安全企業(yè)參與，并將信息共享升級(jí)為操作協(xié)同，通過進(jìn)一步為中小企業(yè)和非政府組織提供實(shí)質(zhì)性幫助，制定對(duì)受害者的相應(yīng)鼓勵(lì)和補(bǔ)償機(jī)制，以有效改善私營(yíng)部門報(bào)告勒索事件的情況，進(jìn)而緩解缺乏勒索系統(tǒng)數(shù)據(jù)的問題。同時(shí)，通過加強(qiáng)信息傳播、宣傳和教育，提高公眾對(duì)政府機(jī)0808一是通過社工釣魚竊取憑證，隨著現(xiàn)在零信任和單點(diǎn)登錄的逐漸普及，可通惡意二維碼和鏈接的方式釣取重要人員憑證。獲取到憑證后可進(jìn)一步收集企業(yè)敏感信息或通過內(nèi)對(duì)內(nèi)釣魚方式獲取重要人員終端權(quán)限。二是釣魚渠道呈現(xiàn)多樣化，包括發(fā)送釣魚郵件、直接撥打電話、添加目標(biāo)人群微信發(fā)送釣魚文件、加入相關(guān)QQ群發(fā)送釣魚文件、偽裝招聘、應(yīng)聘或通用社交軟件聊天發(fā)送釣魚文件、在公眾號(hào)中發(fā)送釣魚文件、向人工在線客服發(fā)送釣魚文件、偽裝相關(guān)業(yè)務(wù)合作發(fā)送釣魚文件等。三是釣魚目標(biāo)更加精準(zhǔn)化，不再進(jìn)行大范圍釣魚，而是選擇特定目標(biāo)進(jìn)行精準(zhǔn)釣魚。例如關(guān)鍵設(shè)備的管理員、關(guān)鍵系統(tǒng)的運(yùn)中漏洞挖掘的主要方向。0day漏洞利用網(wǎng)突破使用的通用組件主要為統(tǒng)一身份認(rèn)證組件和OA組件，由于這兩類組件在國(guó)內(nèi)使用量較大，攻擊者但在攻堅(jiān)內(nèi)外網(wǎng)重要目標(biāo)系統(tǒng)時(shí)，會(huì)挖掘新漏洞?，F(xiàn)場(chǎng)進(jìn)行黑盒和白盒漏洞挖掘難度較大但效果很好，可在短時(shí)間內(nèi)快速挖掘出高可利用漏洞，從而能最直接獲取重要成果。邏輯漏洞是現(xiàn)場(chǎng)漏洞挖掘的主要方向，原因是邏輯漏洞流量特征弱，當(dāng)前安全設(shè)備無法很好地檢測(cè)，邏輯漏洞利用相對(duì)隱蔽，不易被發(fā)現(xiàn)，使攻擊更0909應(yīng)鏈攻擊手法進(jìn)行突破。目前對(duì)供應(yīng)鏈的攻擊手法已趨于成熟，其優(yōu)勢(shì)是很難監(jiān)控到供應(yīng)鏈側(cè)的惡意流量和攻擊行為，使攻擊更具隱蔽性，并且供應(yīng)鏈側(cè)內(nèi)部安全建設(shè)較差，更易突破。面對(duì)無法直接突破的目標(biāo)，或者希望擴(kuò)大攻擊面影響范圍時(shí)，供應(yīng)鏈攻擊是一個(gè)很好的選擇。在初始訪問階段通過供應(yīng)鏈攻擊進(jìn)行目標(biāo)突破主要使用以下攻擊手法：一是通過攻擊供應(yīng)商獲取重要系統(tǒng)源代碼并進(jìn)行代碼審計(jì)，這種方式十分隱蔽。并且通過定向?qū)徲?jì)邏輯漏洞進(jìn)行突破，邏輯漏洞特征很弱，當(dāng)前安全設(shè)備無法很好檢測(cè)，可通過漏洞直接拿下目標(biāo)。二是通過打下供應(yīng)商獲取目標(biāo)憑證，由于運(yùn)維及技術(shù)支持需要，供應(yīng)商內(nèi)部會(huì)存儲(chǔ)大量甲方的系統(tǒng)和安全設(shè)備進(jìn)行身份攻擊。一是針對(duì)常規(guī)集控的身份攻擊，內(nèi)網(wǎng)最敏感且高價(jià)值的系統(tǒng)一般為：云管平臺(tái)、堡壘機(jī)、運(yùn)維跳板機(jī)、運(yùn)維機(jī)器、域控等常規(guī)集控。在成功獲取到此類系統(tǒng)權(quán)限后，可以在短時(shí)間內(nèi)接觸到重要目標(biāo)系統(tǒng)，被攻擊者往往沒有足夠時(shí)間來進(jìn)行防御，所以在內(nèi)網(wǎng)橫向中會(huì)優(yōu)先考慮攻擊此類系統(tǒng)。二是針對(duì)知識(shí)密集型應(yīng)用的身份攻擊，信息收集在內(nèi)網(wǎng)橫向階段也是最常見的攻擊手法之一，因此內(nèi)網(wǎng)中的知識(shí)對(duì)性打擊重要目標(biāo)系統(tǒng)，由于該攻擊手法與正常使用業(yè)務(wù)方式差異不大，隱蔽性極強(qiáng)，降低被發(fā)現(xiàn)概率。三是針對(duì)安全設(shè)備的身份攻擊，在內(nèi)網(wǎng)中企業(yè)為方便管理大量個(gè)人終端、服務(wù)器，通常會(huì)統(tǒng)一安裝終端集控會(huì)通過更新投毒直接控制大量的個(gè)人終端、服務(wù)器。此外，內(nèi)網(wǎng)中防火墻設(shè)備通常位于不同網(wǎng)段之間的關(guān)鍵將在云上部署，隨著微服務(wù)和云化的逐漸流行，針對(duì)微服務(wù)和云化的攻擊呈現(xiàn)增長(zhǎng)態(tài)勢(shì)。從去年開始攻防場(chǎng)景中針對(duì)微服務(wù)和云化的攻擊就已經(jīng)有了一定熱度，攻擊者主要通過漏洞、弱口令、存儲(chǔ)憑證竊取等方式，1010目安全技術(shù)中心針對(duì)近幾年的典型攻防場(chǎng)景進(jìn)行分析，發(fā)現(xiàn)攻擊者為保證后滲透階段各環(huán)節(jié)實(shí)施隱蔽和穩(wěn)定，在拿到初始權(quán)限后，通常會(huì)通過一些高級(jí)逃逸技術(shù)和致盲終端安全軟件的方式進(jìn)行免殺對(duì)抗。第一類方法是第二類方法是通過致盲終端安全軟件進(jìn)行免殺對(duì)抗，利用有漏洞的簽名驅(qū)動(dòng)程序，關(guān)閉終端安全軟件進(jìn)程或者清除終端安全軟件監(jiān)控功能利用的內(nèi)核回調(diào)機(jī)制，或通過創(chuàng)建防火墻策略、WFP（WindowsFilterPlatform）過濾規(guī)則，來阻斷終端安全軟件進(jìn)程與服務(wù)端的通信。當(dāng)前攻擊者已經(jīng)儲(chǔ)備了成熟穩(wěn)定的逃逸和致盲終端安全軟件工具，可以對(duì)抗絕大部分常見國(guó)內(nèi)外安全終端軟件，可使終端安全軟件暫時(shí)或永久失效。 攻防場(chǎng)景的分析，從防御角度深信服千里目安全技術(shù)中心給出以下策略與建議：一是需加強(qiáng)對(duì)憑證攻擊盡可能在身份認(rèn)證階段就進(jìn)行阻斷，不同業(yè)務(wù)使用不同密碼以防御口令噴灑攻擊。二是構(gòu)建基于行為檢測(cè)技術(shù)檢測(cè)邏輯漏洞能力，但需要結(jié)合多種方法和策略。包括基于訪問圖基線的檢測(cè)、基于API模式特征的檢測(cè)、基于靜態(tài)分析和動(dòng)態(tài)分析的混合方法，以及基于行為分析的檢測(cè)。三是需要加強(qiáng)對(duì)敏感信息泄露的檢測(cè)能力與數(shù)據(jù)防泄漏能力，通過實(shí)施文件傳輸通道管控技術(shù)來進(jìn)行數(shù)據(jù)防泄漏安全管控，并結(jié)合審批、審計(jì)等技術(shù)產(chǎn)品和管理措施或結(jié)合文件加解密、終端磁盤加解密方式進(jìn)行管控。四是加強(qiáng)對(duì)外1111典型攻防場(chǎng)景的分析，從防御角度深信服千里目安全技術(shù)中心給出以下策略與建議：一是重點(diǎn)關(guān)注防御逃逸手法檢測(cè)，需要結(jié)合多種方法和工具，包括監(jiān)控網(wǎng)絡(luò)流量、識(shí)別異常行為、驗(yàn)證數(shù)字證書等。通過使用自動(dòng)化檢測(cè)工具如CDK和Check，可以提高檢測(cè)效率和準(zhǔn)確性。在云原生環(huán)境中，特別需要關(guān)注加對(duì)白利用手法的檢測(cè)，如利用腳本解釋器加載木馬、利用正規(guī)遠(yuǎn)控和終端管理軟件、利用系統(tǒng)程序加利用行為來綜合研判是否失陷。四是可增加蜜罐蜜網(wǎng)功能，如誘餌蜜罐，可誘導(dǎo)攻擊者進(jìn)入蜜網(wǎng)，然后再自動(dòng)進(jìn)行隔離，不僅可以消耗攻擊者的精力和時(shí)間，也可以打斷攻擊者的進(jìn)攻節(jié)奏，消磨攻擊者的進(jìn)從防御角度來看，應(yīng)加強(qiáng)對(duì)利用集權(quán)設(shè)備進(jìn)行惡意利用、利用知識(shí)密集型應(yīng)用進(jìn)行信息收12122024年，生成式人工智能技術(shù)賦能網(wǎng)絡(luò)安全防御的應(yīng)基于規(guī)則和統(tǒng)計(jì)算法的威脅檢測(cè)和日志分析，該階段中生成式人工智能實(shí)現(xiàn)網(wǎng)絡(luò)安全技術(shù)躍遷，從被動(dòng)防御轉(zhuǎn)向主動(dòng)防護(hù)，未來結(jié)合自適應(yīng)優(yōu)化（Agent在網(wǎng)絡(luò)安全大模型最佳實(shí)踐的應(yīng)用模式上，呈現(xiàn)出從輔助運(yùn)營(yíng)到自主檢測(cè)預(yù)警再到自主決策與智能運(yùn)營(yíng)的在網(wǎng)絡(luò)安全大模型最佳實(shí)踐的應(yīng)用模式上，呈現(xiàn)出從輔助運(yùn)營(yíng)到自主檢測(cè)預(yù)警再到自主決策與智能運(yùn)營(yíng)的一是對(duì)話與輔助運(yùn)營(yíng)。在生成式AI技術(shù)初期，大模絡(luò)安全需要大量數(shù)據(jù)分析和報(bào)告生成，這些功能被率先應(yīng)用于網(wǎng)絡(luò)安全運(yùn)營(yíng)。二是自動(dòng)檢測(cè)與威脅預(yù)警，隨著AI算法的進(jìn)步，特別是深度學(xué)習(xí)技術(shù)的發(fā)展，結(jié)合網(wǎng)絡(luò)安全領(lǐng)域的大規(guī)模數(shù)據(jù)集，模型實(shí)現(xiàn)了異常行為檢測(cè)和威脅預(yù)警，替代了傳統(tǒng)基于規(guī)則的方法。1313大模型應(yīng)用服務(wù)的成熟度評(píng)估，結(jié)合國(guó)內(nèi)外技術(shù)成熟度評(píng)估標(biāo)準(zhǔn)和行業(yè)技術(shù)實(shí)踐，將網(wǎng)絡(luò)安全的大模型應(yīng)用領(lǐng)域的成熟度L1:初始階段，該項(xiàng)技術(shù)的使用僅限于概念驗(yàn)證和L2:可行階段，技術(shù)已具備基本功能，已開展可行的實(shí)踐案例，部分企業(yè)已L3:擴(kuò)展階段，可滿足進(jìn)一步的擴(kuò)展功能，技術(shù)能夠處理更復(fù)雜的場(chǎng)景和更大規(guī)模的數(shù)據(jù)，應(yīng)隨著人工智能技術(shù)的飛速發(fā)展，大模型在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用日益廣泛，特別是在安全運(yùn)營(yíng)、威脅檢測(cè)、釣魚郵件檢測(cè)、數(shù)據(jù)分級(jí)分類以及威脅情報(bào)整合與分析等關(guān)鍵場(chǎng)景提供了強(qiáng)有力的賦能。例如，在安全運(yùn)營(yíng)中，微軟推出的Security的運(yùn)營(yíng)效率。在威脅檢測(cè)領(lǐng)域，谷歌的BERT及其變體已被用于提升惡意代Proofpoint的大模型增強(qiáng)型釣魚郵件檢測(cè)，顯著提升了對(duì)高級(jí)威脅的識(shí)別能力CrowdStrike的釣魚郵件檢測(cè)平臺(tái)依托其云端威脅圖譜技術(shù)和大模型分析能力，實(shí)現(xiàn)了高效、精準(zhǔn)的威脅攔截。這些網(wǎng)絡(luò)安全大模型的應(yīng)用不僅推動(dòng)了網(wǎng)絡(luò)安全技1414還原、分析解讀、威脅定性、響應(yīng)處置等威脅運(yùn)營(yíng)工作中重復(fù)、繁瑣的事務(wù)性工作，并逐步構(gòu)建安全運(yùn)營(yíng)自主閉環(huán)能力，大模型賦能安全運(yùn)營(yíng)實(shí)現(xiàn)告警和安全事件自動(dòng)分析，極大地解決了在安全運(yùn)營(yíng)中的人以上的時(shí)間消耗。安全運(yùn)營(yíng)工作中每天產(chǎn)生上萬級(jí)告警，利用生成式人工智能大模型技術(shù)自動(dòng)化、智能化的篩選和大模型通過對(duì)話式輔助運(yùn)營(yíng)模式，減少事件響應(yīng)難度，自動(dòng)生成精準(zhǔn)的響應(yīng)建議。大模型在安全運(yùn)營(yíng)中的最佳應(yīng)用實(shí)踐是構(gòu)建一個(gè)基于自然語言交互的智能安全運(yùn)營(yíng)專家，能夠從多個(gè)維度（如威脅分析、事件響應(yīng)、漏洞管理等）自動(dòng)生成精準(zhǔn)的響應(yīng)建議，大幅提升安全運(yùn)營(yíng)效率。通過自動(dòng)化處理復(fù)的手動(dòng)運(yùn)營(yíng)工作，使安全團(tuán)隊(duì)能夠更專注于高價(jià)值的戰(zhàn)略任務(wù)，同時(shí)降低人為錯(cuò)誤風(fēng)險(xiǎn)，全面提升安全運(yùn)營(yíng)的智能化水平。例如在安全事件溯源上，安全技術(shù)人員可以通過對(duì)話模式，詢問大模型快速了解的漏洞數(shù)量、漏洞類型和嚴(yán)重程度等，并關(guān)聯(lián)到業(yè)務(wù)的責(zé)任人。在安全事件研判中，通過按鍵觸發(fā)安全輔助，實(shí)現(xiàn)人員安全能力賦能，快速閉環(huán)運(yùn)營(yíng)工作。整體效果來看，該應(yīng)用能力成熟度可達(dá)到L4水平，是目前主流的應(yīng)用方式，可賦能初級(jí)安全工程大模型通過思維鏈自主進(jìn)行資產(chǎn)梳理、加固預(yù)防、監(jiān)測(cè)研判、調(diào)查處置、聯(lián)動(dòng)處置、情報(bào)查詢及溯源總結(jié)等工作，威脅情報(bào)分析和基礎(chǔ)信息分析等維度輸出研判處置思考過程，針對(duì)人工決策告警支持自動(dòng)給出具體處置建議，并對(duì)事件產(chǎn)出分析報(bào)告。通過自動(dòng)化值守實(shí)現(xiàn)安全運(yùn)營(yíng)的“自動(dòng)駕駛”，實(shí)現(xiàn)安全告警的自動(dòng)響應(yīng)閉環(huán)，顯著提升運(yùn)營(yíng)自動(dòng)化+人工監(jiān)督成為行業(yè)標(biāo)桿實(shí)踐。目前，自1515在威脅檢測(cè)方面，生成式大模型帶來了顛覆性的突破，在基礎(chǔ)安全能力上極大提升了檢測(cè)效率以外，最核心的是帶來了未知威脅的檢測(cè)能力，打破了以往在高級(jí)對(duì)抗大模型賦能威脅檢測(cè)帶來了未知威脅檢測(cè)能力突破，特別是在0day漏洞檢測(cè)和高混淆攻擊檢測(cè)上表現(xiàn)出色。大模型賦能威脅檢測(cè)補(bǔ)齊了傳統(tǒng)檢測(cè)引擎的劣勢(shì)，在0day漏洞檢測(cè)、高混淆攻擊、未授權(quán)漏洞、APT攻擊等高級(jí)威脅檢測(cè)上帶來的全新的檢測(cè)方法，如在高混淆攻擊檢測(cè)上，能通過大模型對(duì)攻擊語言的理解實(shí)現(xiàn)不同語言、不同版本和復(fù)雜協(xié)議的混淆語法識(shí)別，提取出攻擊命令。在0day漏洞檢測(cè)方面，利用流量文本向量化技術(shù)，提取疑似0day漏洞攻擊向量，再使用向量相似度算法與歷史攻擊向量比對(duì)，篩除術(shù)中心實(shí)踐已通過大模型挖掘累計(jì)發(fā)現(xiàn)0day漏洞400+。目前，在大模型賦能未知威脅檢測(cè)的應(yīng)用成熟度處于L2（可行階段）向脅檢測(cè)中，在識(shí)別異常行為模式、未知攻擊路徑及復(fù)雜威脅特征展的未知威脅檢測(cè)，仍需在算法優(yōu)化、計(jì)算效率和實(shí)時(shí)適應(yīng)性上進(jìn)一步突破。在大模型賦能檢測(cè)精度提高方面已廣泛應(yīng)用，可達(dá)到L4中心實(shí)踐，尤其是在處理高度復(fù)雜或混淆類的攻擊時(shí)，檢出率可達(dá)聯(lián)動(dòng)響應(yīng)。隨著AI技術(shù)在威脅檢測(cè)中的深度應(yīng)用，大模型能夠?qū)崟r(shí)分析網(wǎng)絡(luò)流量、用戶行為等多維數(shù)據(jù)，快速識(shí)別異常模式并動(dòng)態(tài)調(diào)整防御策略。結(jié)合上下文感知分析，模型可預(yù)測(cè)攻擊的潛在目標(biāo)與后續(xù)行為，如推斷橫向移動(dòng)或數(shù)據(jù)竊取意圖，并提前生成阻斷建議。例如，在檢測(cè)到異常流量時(shí)，系統(tǒng)不僅能判定當(dāng)前風(fēng)險(xiǎn)，還可自主決策目前還存在較多阻礙，例如跨平臺(tái)聯(lián)動(dòng)、多源數(shù)據(jù)融合以1616網(wǎng)絡(luò)釣魚攻擊在實(shí)戰(zhàn)攻防場(chǎng)景中的攻擊比例逐步升高，近年來網(wǎng)絡(luò)釣魚攻擊成為主流的攻擊入口的統(tǒng)計(jì)顯示，網(wǎng)絡(luò)釣魚是最主要的攻擊入口，占比高達(dá)41.1%。隨著生成式大模型的應(yīng)用，降低釣魚郵件制作成本，應(yīng)用已經(jīng)處于較為成熟的階段（L4已經(jīng)具備較高的穩(wěn)定性和可靠性，該項(xiàng)技術(shù)已廣泛被應(yīng)用于企業(yè)郵件網(wǎng)關(guān)等安全防大模型通過意圖推理和對(duì)自然語言的理解，具備識(shí)別情緒誘導(dǎo)的釣魚攻擊的能力。大模型通過意圖推理和對(duì)自然語言的理解，具備識(shí)別情緒誘導(dǎo)的釣魚攻擊的能力。網(wǎng)絡(luò)郵是針對(duì)受害者的社會(huì)工程，通過各種手段進(jìn)行情緒誘導(dǎo)，加上成熟的社會(huì)工程學(xué)手段，千變?nèi)f化使受害者防不勝防。例如通過制造恐懼和焦慮，使用“賬戶封禁”或“逾期失效”等急迫語氣驅(qū)或者使用“您的同事分享了一份重要文件，請(qǐng)查看?！痹捫g(shù)，利用人類對(duì)未知事物的興趣，并觸發(fā)攻擊；再就是偽裝成權(quán)威機(jī)構(gòu)或可信來源，通過偽造身份獲取受害者的信任。大模型能夠容中的語義和情感傾向，提取郵件中的情緒特征，例如語氣、用詞風(fēng)格和情感強(qiáng)度，識(shí)別出潛在模式，如一封郵件使用了大量負(fù)面情緒詞匯、是否偏離日常的行為基線。相比傳統(tǒng)方法，大模型測(cè)已知的攻擊模式，還能通過在線學(xué)習(xí)不斷適應(yīng)新型威脅。這種能力顯著提升了對(duì)復(fù)雜情緒誘導(dǎo)大模型通過多模態(tài)分析技術(shù)實(shí)現(xiàn)對(duì)各種高對(duì)抗性攻擊和繞過手段的檢測(cè)，特別是密碼混淆大模型通過多模態(tài)分析技術(shù)實(shí)現(xiàn)對(duì)各種高對(duì)抗性攻擊和繞過手段的檢測(cè)，特別是密碼混淆對(duì)于加密附件嵌套，大模型能夠多模態(tài)密碼推理理解郵件正文、音頻及視頻內(nèi)容，提取出正通過分析壓縮包文件頭，識(shí)別嵌套結(jié)構(gòu)，預(yù)測(cè)風(fēng)險(xiǎn)路徑，并生成決策樹調(diào)用沙箱環(huán)境獲取解跨資源隱寫注入以及鏈?zhǔn)綈阂廨d荷觸發(fā)的精準(zhǔn)檢測(cè)，突破傳統(tǒng)規(guī)則引擎在對(duì)抗AST混淆和上下文感知型逃逸攻擊時(shí)的技術(shù)瓶頸；對(duì)于二維碼切割，大模型通過圖像識(shí)別技術(shù)拼接碎片并解碼二維碼內(nèi)本防御機(jī)制還原被切割、扭曲或噪聲污染的二維碼碎片，結(jié)合圖神經(jīng)網(wǎng)絡(luò)重建二維碼拓?fù)浣Y(jié)魚郵件檢測(cè)依賴規(guī)則引擎和白名單配置，因業(yè)務(wù)場(chǎng)景動(dòng)態(tài)變化，易因“加白過粗”導(dǎo)致漏報(bào)或“加白過細(xì)”經(jīng)深信服千里目安全技術(shù)中心實(shí)踐表明，基于100萬封正常郵件的訓(xùn)練與推理優(yōu)化，模型誤報(bào)率從傳統(tǒng)方1717生成式大模型在語言能力上展現(xiàn)出的能力優(yōu)勢(shì)將極大賦能數(shù)據(jù)安全分級(jí)分類工作，精確識(shí)別和分類不同類型的數(shù)據(jù)。對(duì)大實(shí)現(xiàn)跨類型數(shù)據(jù)快速標(biāo)準(zhǔn)化分類。在實(shí)際業(yè)務(wù)環(huán)境中，數(shù)據(jù)不僅限于文本，還包括圖像、音頻、視頻等多模態(tài)數(shù)據(jù)。傳統(tǒng)方法通常需要針對(duì)不同模態(tài)的提取圖像中的文本后再進(jìn)行分類，或者對(duì)音頻數(shù)據(jù)進(jìn)行轉(zhuǎn)錄后分析。這種分模塊處理的方式不僅效率低下，還容易因標(biāo)準(zhǔn)割裂而導(dǎo)致信息丟失或分類不相比之下，大模型依托多模態(tài)融合技術(shù)（如自然語解析原始數(shù)據(jù)，無需復(fù)雜的預(yù)處理步驟。在多模態(tài)對(duì)齊層，大模型將文本、圖像、音頻、視頻等不同類型的數(shù)據(jù)映射到統(tǒng)一的語義空間中，從而實(shí)現(xiàn)跨模態(tài)的信息關(guān)聯(lián)與整合。例如，在處理一張包含敏感信息的圖片時(shí)，大模型不僅能識(shí)別圖片中的文字擎同步解析其中的敏感信息。大模型基于動(dòng)態(tài)上下文感知架構(gòu)與多模態(tài)在線學(xué)習(xí)系統(tǒng)，構(gòu)建自適應(yīng)分類體系，在動(dòng)態(tài)數(shù)據(jù)分級(jí)分類領(lǐng)域?qū)崿F(xiàn)技術(shù)突破。經(jīng)深信服千里目安全技術(shù)中心實(shí)踐表明，依托機(jī)器學(xué)習(xí)和深度學(xué)習(xí)，尤其是自然語言處理（NLP大模型通過訓(xùn)練海量數(shù)據(jù)，學(xué)習(xí)復(fù)雜特征和模式，自動(dòng)識(shí)別并分類數(shù)據(jù)，效探針捕獲協(xié)議中的敏感字段，并結(jié)合上下文動(dòng)態(tài)分析，精準(zhǔn)識(shí)別數(shù)據(jù)模式與關(guān)聯(lián)。其次，大模型通過監(jiān)督學(xué)習(xí)使用大量標(biāo)注數(shù)據(jù)，掌握數(shù)據(jù)分類分級(jí)規(guī)則，同時(shí)借助無監(jiān)督學(xué)習(xí)發(fā)現(xiàn)新類別和隱藏模式，實(shí)現(xiàn)動(dòng)態(tài)分類分級(jí)。其遷移學(xué)習(xí)能力可將在一個(gè)領(lǐng)域的知識(shí)應(yīng)用于其他領(lǐng)域，靈活應(yīng)對(duì)數(shù)據(jù)類型和敏感性隨時(shí)間、環(huán)境的變化，確保分類結(jié)果的準(zhǔn)確性自動(dòng)生成符合行業(yè)屬性的分級(jí)清單，確保結(jié)果高效且合規(guī)，滿足行業(yè)需求。大模型通過自適應(yīng)技術(shù)持續(xù)學(xué)習(xí)業(yè)務(wù)環(huán)境特征，智能化調(diào)整數(shù)據(jù)分級(jí)分類策1818威脅情報(bào)作為安全事件告警分析和威脅檢測(cè)持續(xù)賦能的關(guān)鍵。2024年谷歌發(fā)布最新威脅情報(bào)平臺(tái)，其利用生成式大模型以多個(gè)維度在大規(guī)模范圍上進(jìn)行威脅情報(bào)的關(guān)聯(lián)分析。不僅對(duì)企業(yè)內(nèi)部開展情報(bào)分析，還能從全球威脅情報(bào)平臺(tái)、網(wǎng)絡(luò)流量監(jiān)控、社交媒體監(jiān)控、暗網(wǎng)情報(bào)源等多個(gè)渠道獲取數(shù)據(jù)。匯集多方情報(bào)源利用大模型進(jìn)行關(guān)聯(lián)分析，發(fā)現(xiàn)各個(gè)情報(bào)之間大模型多模態(tài)情報(bào)自動(dòng)化提取整合，實(shí)現(xiàn)數(shù)據(jù)協(xié)同與實(shí)時(shí)威脅感知。利用生成式大模型信息檢索和語義搜索等技術(shù)自動(dòng)檢索、提取和整合情報(bào)數(shù)據(jù)，包括全球威脅情報(bào)平臺(tái)、流量監(jiān)控、社交媒體監(jiān)控、暗網(wǎng)▲大模型通過情報(bào)關(guān)聯(lián)分析，能夠發(fā)現(xiàn)傳統(tǒng)威脅情報(bào)平臺(tái)難以識(shí)別的未知威脅活動(dòng)，顯著提升威脅檢測(cè)的使用生成式大模型通過多數(shù)據(jù)源的深度融合和關(guān)聯(lián)分析，識(shí)別出潛在的攻擊模式并生成更加精準(zhǔn)的威脅情報(bào)，并回溯歷史數(shù)據(jù)，發(fā)現(xiàn)長(zhǎng)期潛伏的攻擊活動(dòng)或已經(jīng)發(fā)生但未被發(fā)現(xiàn)的威脅活動(dòng)。具體技術(shù)實(shí)現(xiàn)上，文進(jìn)行深度語義理解與關(guān)聯(lián)分析。這種技術(shù)不僅能夠整合結(jié)構(gòu)化數(shù)據(jù)（如日志、事件記錄）和非結(jié)構(gòu)化在此基礎(chǔ)上，大模型通過對(duì)歷史數(shù)據(jù)的回溯分析，識(shí)別潛在的攻擊模式，推演出完整的攻擊鏈，并生成▲大模型通過時(shí)間序列預(yù)測(cè)模型和因果推理算法結(jié)合多源情報(bào)分析，構(gòu)建攻擊者行為模式圖譜，預(yù)測(cè)威脅活動(dòng)趨勢(shì)。大模型基于全球威脅活動(dòng)的實(shí)時(shí)監(jiān)控和多數(shù)據(jù)源關(guān)聯(lián)分析，利用歷史攻擊數(shù)據(jù)預(yù)測(cè)新型攻擊及外部威脅活動(dòng)的發(fā)展趨勢(shì)?；跁r(shí)間序列預(yù)測(cè)模型和因果推理算法，構(gòu)建攻擊者行為模式圖譜，包括解析歷史攻擊數(shù)據(jù)中隱藏的TTPs（戰(zhàn)術(shù)、技術(shù)與程序）演化規(guī)律，量化評(píng)估漏洞利用周期、惡意軟件變種迭代速率等關(guān)鍵指標(biāo)，預(yù)測(cè)APT組織武器化漏洞的優(yōu)與經(jīng)濟(jì)、地緣政治事件的動(dòng)態(tài)關(guān)聯(lián)模型。谷歌2024年推出191920