文 / 深信服科技
随着金融行業數字化、智能化轉型步入深水區,金融機構面臨的網絡安全資料規模和複雜性不斷增加,對金融機構威脅檢測防禦能力的要求越來越高,同時,在網絡安全專業技術人員少,能力精力也存在瓶頸的前提下,金融機構如何對海量網絡安全告警進行快速分析研判,定位真實攻擊及高效響應處置?安全垂域大模型帶來了新的思路。
為落實中國人民銀行《金融科技發展規劃(2022—2025 年)》,系統展現大模型在金融領域的優秀應用實踐成果,由中關村西城園管委會、北京市西城區總工會、北京金融科技産業聯盟、北京金融資訊化研究所主辦的“全球金融科技大會系列活動——大模型金融應用創新與實踐大賽”面向行業進行成果征集。大賽經過前期的初審和終審,最終由行業知名專家評選出“大模型金融應用創新與實踐大賽”十佳卓越獎,于4月28日舉行了頒獎儀式。此次大賽充分展示了大模型在金融應用領域的創新實踐成果,有效推動了大模型金融應用場景探索及生态建設,為數字金融和智慧金融的穩健發展提供了有力支援。
作為此次“大模型金融應用創新與實踐大賽”十佳卓越獎中唯一一個網絡安全垂直領域的大模型,深信服安全GPT針對金融機構在網絡安全營運中遇到的挑戰,提供了創新性的解決思路。
深信服安全 GPT 作為國内首個通過深度合成服務算法備案的安全大模型,可協助金融機構完成流量檢測、事件解析、安全建議生成、安全事件處置等複雜工作,秒級閉環、百倍提效,從檢測能力和安全營運工作上賦能組織,對抗外部強敵。
檢測能力遠超傳統裝置和通用大模型,大幅提升金融機構“威脅檢測防禦力”
金融機構資訊系統複雜、網絡邊界分散、風險點位衆多,風險暴露面大,對威脅檢測防禦能力要求高,傳統檢測引擎難以應對外部高對抗、高隐蔽的攻擊手段。
深信服安全GPT可以作為檢測引擎,賦能态勢感覺、端點安全等傳統安全裝置,具備對未知攻擊的意圖了解、異常判定、混淆還原能力,在流量威脅檢測和主機側釣魚攻擊檢測上都取得突破性的效果。
流量威脅檢出率高達95.7%,誤報率低至4.3%
深信服通過知識蒸餾、模型量化、模型剪枝、Attention機制優化等,将安全GPT推理性能提升50倍,實作了在實際網絡環境中,針對實時流量的實時檢測。
安全GPT檢測大模型能夠發現混淆、編碼類高繞過流量,并針對Web漏洞有良好檢出效果,具有較強Web 0day漏洞檢測能力,同時針對攻擊成功研判具有較高準确率。
圖1 安全GPT檢測大模型能力架構
經過對3000w黑樣本與2000w白樣本的檢測,對比傳統引擎,安全GPT的檢出率從45.6%提升至95.7%,誤報率從21.4%下降到4.3%。在某部委實際測試中,25個高混淆資料包(可繞過傳統引擎及通用大模型GPT-4),安全GPT檢出率100%,覆寫Web通用攻擊、通用元件漏洞攻擊、混淆繞過攻擊和國家級攻防演練出現過的0 day/N day漏洞。
釣魚攻擊檢出率高達91.7%,遠超傳統解決方案
釣魚攻擊的難防在于,從技術角度看,釣魚郵件與正常郵件無異,普通人難以識别,而高混淆和形式多變的釣魚攻擊也難以用規則進行定義。
安全GPT 基于對自然語言的泛化了解能力,能夠對郵件和檔案内容背後的意圖進行綜合評估和研判,就像聘請了一個懂攻防、懂技術、懂人情世故的防釣魚“安全專家”實時防守一樣,實作釣魚事件的精準檢測和處置。
圖2 釣魚郵件識别方法
通過對3萬高對抗釣魚郵件、100萬白郵件檢測,對比傳統解決方案,安全GPT釣魚攻擊檢出率從15.7%飛升至91.4%,誤報率從0.15%降低至0.046%,效果超越傳統方案數倍。
提效90%,金融行業的安全營運“新質生産力”
攻防長期處于不對等中,随着大模型的深入應用,攻擊手段更加低成本化,非工作時間的攻擊數量也持續上升,而網絡安全技術人才的缺少,分析研判效率的難把控,讓金融機構的安全營運工作面臨着嚴峻挑戰。
安全GPT通過自然語言對話的方式提供符合安全人員營運水準的差異化建議和營運路徑,承載 80% 安全營運操作,将海量告警的分析處置過程壓縮到數分鐘内,賦能初級安全工程師在5分鐘内對單一進階威脅進行閉環,将日常安全營運所花費的時間減少90%以上。
由于攻防的不對等,攻擊者常在非工作時間進行攻擊,安全GPT 2.0 智能駕駛提供7*24小時安全事件/告警自主值守,減少 92% 需多次手動的營運工作,平均威脅檢測時間(MTTD)/平均威脅響應時間(MTTR)減少 85%,營運人員1人即可守護數萬資産。
圖3 深信服安全GPT營運大模型演進藍圖
截至目前,安全GPT已累計在130多家企業真實環境測試和應用,幫助金融、能源、政府機關等行業使用者提升安全人員實際分析水準和處置效率。
深信服認為,安全大模型仍擁有廣闊的想象空間,除了檢測大模型與營運大模型,未來會逐漸孵化更多可應用于實際的場景,将會為金融行業的網絡安全建設帶來更多“領先一步”的效果與體驗。