文 / 深信服科技
随着金融行业数字化、智能化转型步入深水区,金融机构面临的网络安全数据规模和复杂性不断增加,对金融机构威胁检测防御能力的要求越来越高,同时,在网络安全专业技术人员少,能力精力也存在瓶颈的前提下,金融机构如何对海量网络安全告警进行快速分析研判,定位真实攻击及高效响应处置?安全垂域大模型带来了新的思路。
为落实中国人民银行《金融科技发展规划(2022—2025 年)》,系统展现大模型在金融领域的优秀应用实践成果,由中关村西城园管委会、北京市西城区总工会、北京金融科技产业联盟、北京金融信息化研究所主办的“全球金融科技大会系列活动——大模型金融应用创新与实践大赛”面向行业进行成果征集。大赛经过前期的初审和终审,最终由行业知名专家评选出“大模型金融应用创新与实践大赛”十佳卓越奖,于4月28日举行了颁奖仪式。此次大赛充分展示了大模型在金融应用领域的创新实践成果,有效推动了大模型金融应用场景探索及生态建设,为数字金融和智慧金融的稳健发展提供了有力支持。
作为此次“大模型金融应用创新与实践大赛”十佳卓越奖中唯一一个网络安全垂直领域的大模型,深信服安全GPT针对金融机构在网络安全运营中遇到的挑战,提供了创新性的解决思路。
深信服安全 GPT 作为国内首个通过深度合成服务算法备案的安全大模型,可协助金融机构完成流量检测、事件解析、安全建议生成、安全事件处置等复杂工作,秒级闭环、百倍提效,从检测能力和安全运营工作上赋能组织,对抗外部强敌。
检测能力远超传统设备和通用大模型,大幅提升金融机构“威胁检测防御力”
金融机构信息系统复杂、网络边界分散、风险点位众多,风险暴露面大,对威胁检测防御能力要求高,传统检测引擎难以应对外部高对抗、高隐蔽的攻击手段。
深信服安全GPT可以作为检测引擎,赋能态势感知、端点安全等传统安全设备,具备对未知攻击的意图理解、异常判定、混淆还原能力,在流量威胁检测和主机侧钓鱼攻击检测上都取得突破性的效果。
流量威胁检出率高达95.7%,误报率低至4.3%
深信服通过知识蒸馏、模型量化、模型剪枝、Attention机制优化等,将安全GPT推理性能提升50倍,实现了在实际网络环境中,针对实时流量的实时检测。
安全GPT检测大模型能够发现混淆、编码类高绕过流量,并针对Web漏洞有良好检出效果,具有较强Web 0day漏洞检测能力,同时针对攻击成功研判具有较高准确率。
图1 安全GPT检测大模型能力架构
经过对3000w黑样本与2000w白样本的检测,对比传统引擎,安全GPT的检出率从45.6%提升至95.7%,误报率从21.4%下降到4.3%。在某部委实际测试中,25个高混淆数据包(可绕过传统引擎及通用大模型GPT-4),安全GPT检出率100%,覆盖Web通用攻击、通用组件漏洞攻击、混淆绕过攻击和国家级攻防演练出现过的0 day/N day漏洞。
钓鱼攻击检出率高达91.7%,远超传统解决方案
钓鱼攻击的难防在于,从技术角度看,钓鱼邮件与正常邮件无异,普通人难以识别,而高混淆和形式多变的钓鱼攻击也难以用规则进行定义。
安全GPT 基于对自然语言的泛化理解能力,能够对邮件和文件内容背后的意图进行综合评估和研判,就像聘请了一个懂攻防、懂技术、懂人情世故的防钓鱼“安全专家”实时防守一样,实现钓鱼事件的精准检测和处置。
图2 钓鱼邮件识别方法
通过对3万高对抗钓鱼邮件、100万白邮件检测,对比传统解决方案,安全GPT钓鱼攻击检出率从15.7%飞升至91.4%,误报率从0.15%降低至0.046%,效果超越传统方案数倍。
提效90%,金融行业的安全运营“新质生产力”
攻防长期处于不对等中,随着大模型的深入应用,攻击手段更加低成本化,非工作时间的攻击数量也持续上升,而网络安全技术人才的缺少,分析研判效率的难把控,让金融机构的安全运营工作面临着严峻挑战。
安全GPT通过自然语言对话的方式提供符合安全人员运营水平的差异化建议和运营路径,承载 80% 安全运营操作,将海量告警的分析处置过程压缩到数分钟内,赋能初级安全工程师在5分钟内对单一高级威胁进行闭环,将日常安全运营所花费的时间减少90%以上。
由于攻防的不对等,攻击者常在非工作时间进行攻击,安全GPT 2.0 智能驾驶提供7*24小时安全事件/告警自主值守,减少 92% 需多次手动的运营工作,平均威胁检测时间(MTTD)/平均威胁响应时间(MTTR)减少 85%,运营人员1人即可守护数万资产。
图3 深信服安全GPT运营大模型演进蓝图
截至目前,安全GPT已累计在130多家企业真实环境测试和应用,帮助金融、能源、政府机关等行业用户提升安全人员实际分析水平和处置效率。
深信服认为,安全大模型仍拥有广阔的想象空间,除了检测大模型与运营大模型,未来会逐步孵化更多可应用于实际的场景,将会为金融行业的网络安全建设带来更多“领先一步”的效果与体验。