Будучи энтузиастом сетевой безопасности и искусственного интеллекта, автор также уделяет внимание соответствующим приложениям крупных моделей в области безопасности. Судя по продуктам, которые в настоящее время представлены на рынке, соответствующая комбинация все еще находится на относительно ранней стадии, и. многие возможности продукта также не соответствуют действительности. Большая модель ради большой модели на самом деле не осознает своей ценности.

       在去年上一篇相关文章《Семь основных применений больших моделей в сфере сетевой безопасности》после выпуска,После почти года изучения и обновления,Автор также имеет более глубокое понимание больших моделей.,здесь,Автор еще раз объединяет некоторые рыночные приложения и личные наблюдения.,С трех точек зрения технической реализации, ценности и преимуществ по сравнению с традиционными методами.,Бросить кирпич,Я надеюсь, что у меня будет лучшая встреча со всеми. Я также считаю, что с течением времени,Должны быть хорошие сценарии, которые можно применить и реализовать.

1. Интеллектуальный анализ угроз

Технический путь реализации:

1. Сбор данных: совокупная информация об угрозах, журналы, сетевой трафик и другие данные из нескольких источников.
2. Предварительная обработка текста: очистка и стандартизация неструктурированных данных
3. Точная настройка большой модели: используйте данные домена безопасности для точной настройки предварительно обученных больших моделей.
4. Оперативное проектирование: создавайте эффективные подсказки, которые помогут модели анализировать угрозы.
5. Анализ результатов: анализ выходных данных модели и извлечение ключевой информации и идей.

Преимущества:

• Автоматизируйте сложные процессы анализа угроз и повысьте эффективность анализа.
• Обнаружьте потенциальные ассоциации угроз и постройте полную цепочку атак.
• Создавайте удобочитаемые отчеты об угрозах для облегчения принятия решений.

Преимущества по сравнению с традиционными методами и обычным ИИ:

• Способность понимать и обрабатывать неструктурированные данные безопасности, такие как журналы и описания угроз.
• Обладает сильными логическими способностями и может обнаруживать скрытые схемы атак.
• Постоянно изучайте новые знания об угрозах и идите в ногу с новейшими методами атак.

2. Интеллектуальный помощник по обеспечению безопасности.

Технический путь реализации:

1. Создание базы знаний: интеграция лучших практик безопасности, внутренних политик и т. д. для формирования базы знаний.
2. Проектирование диалоговой системы: Разработка диалоговых интерфейсов на основе больших моделей.
3. Управление контекстом: реализация нескольких раундов диалога и поддержание контекста диалога.
4. Интеграция инструментов: интеграция больших моделей с существующими инструментами безопасности (например, SIEM, SOAR).
5. Непрерывное обучение: постоянно оптимизируйте реакцию модели на основе отзывов пользователей.

Преимущества:

• Оказывать интеллектуальную помощь аналитикам безопасности круглосуточно и без выходных.
• Ускорьте процесс диагностики и решения проблем
• Предоставьте последовательные рекомендации по безопасности и уменьшите количество человеческих ошибок.

Преимущества по сравнению с традиционными методами и обычным ИИ:

• Способность понимать сложные запросы на естественном языке и обеспечивать более естественный интерактивный опыт.
• Иметь возможность интегрировать междоменные знания и уметь решать разнообразные проблемы безопасности.
• Может генерировать индивидуальные решения, а не только заранее определенные ответы

3. Расширенный анализ вредоносного ПО.

Технический путь реализации:

1. Пример предварительной обработки: извлечение статических и динамических характеристик вредоносного ПО.
2. Преобразование функций: конвертируйте извлеченные функции в описания на естественном языке.
3. Анализ больших моделей: используйте точно настроенные большие модели для анализа поведения вредоносных программ.
4. Обнаружение вариантов: использование возможностей обобщения больших моделей для выявления вариантов вредоносного ПО.
5. Создание отчетов: автоматическое создание подробных отчетов по анализу вредоносных программ.

Преимущества:

• Быстро анализируйте сложные вредоносные программы и сокращайте время ответа.
• Обнаружение сложных и неизвестных вариантов вредоносного ПО
• Создавайте комплексные и простые для понимания аналитические отчеты для совместной работы команды.

Преимущества по сравнению с традиционными методами и обычным ИИ:

• Способность понимать и анализировать сложные структуры кода и модели поведения.
• Иметь сильные логические способности, чтобы размышлять о цели и влиянии вредоносного ПО.
• Может быстро адаптироваться к новому вредоносному ПО с небольшим количеством образцов и обладает лучшими возможностями обобщения.

4. Интеллектуальное управление политикой безопасности.

Технический путь реализации:

1. Анализ документов политики: используйте технологию NLP для анализа существующих документов политики безопасности.
2. Анализ требований соответствия: используйте большие модели для понимания последних требований соответствия.
3. Анализ пробелов: сравнение существующих политик с лучшими практиками и требованиями соответствия.
4. Создание политик: используйте большие модели для создания или обновления политик безопасности.
5. Сотрудничество человека и машины: эксперты по безопасности проверяют и корректируют созданные политики.

Преимущества:

• Автоматизируйте процесс разработки и обновления политик безопасности.
• Убедитесь, что политики соответствуют последним требованиям соответствия и ландшафту угроз.
• Разрабатывать четкие и простые для понимания политические документы, облегчающие выполнение и обучение.

Преимущества по сравнению с традиционными методами и обычным ИИ:

• Способность понимать и обрабатывать сложный нормативный текст и техническую документацию.
• Иметь четкое понимание контекста для разработки политик, адаптированных к конкретным потребностям организации.
• Может быстро адаптироваться к новым стандартам безопасности и лучшим практикам для дальнейшего развития политик.

5. Расширенное обнаружение атак социальной инженерии

Технический путь реализации:

1. Сбор данных: интеграция данных из нескольких источников, таких как электронные письма, социальные сети, записи общения и т. д.
2. Семантический анализ: используйте большие модели для анализа семантики и содержания коммуникационного контента.
3. Контекстное понимание: рассмотрите исходную информацию, такую ​​как организационная структура, бизнес-процессы и т. д.
4. Обнаружение аномалий: выявление подозрительного поведения, которое не соответствует нормальным моделям общения.
5. Оценка риска: Комплексная оценка уровня риска потенциальных атак социальной инженерии.

Преимущества:

• Эффективно обнаруживайте сложные и индивидуальные атаки социальной инженерии.
• Уменьшите количество ложных срабатываний и повысьте точность обнаружения.
• Предоставление подробного анализа атак для помощи в формулировании стратегии защиты.

Преимущества по сравнению с традиционными методами и обычным ИИ:

• Способность понимать сложные языковые шаблоны и неявные намерения для обнаружения сложных фишинговых атак.
• Иметь четкое контекстуальное понимание, позволяющее учитывать специфичные для организации модели общения.
• Может быстро адаптироваться к новым технологиям социальной инженерии и поддерживать развитие возможностей обнаружения.

6. Интеллектуальное управление уязвимостями

Технический путь реализации:

1. Сбор информации об уязвимостях: интеграция базы данных CVE, бюллетеней по безопасности и другой информации из нескольких источников.
2. Контекстный анализ: используйте большие модели для понимания технических деталей и масштаба уязвимости.
3. Сопоставление активов: сопоставьте информацию об уязвимостях с инвентаризацией ИТ-активов организации.
4. Оценка рисков: интеллектуальная оценка рисков на основе характеристик уязвимости и важности активов.
5. Генерация предложений по ремонту: используйте большие модели для создания индивидуальных планов ремонта и приоритетных предложений.

Преимущества:

• Более точная оценка риска уязвимости, чтобы избежать напрасной траты ресурсов.
• Создание рекомендаций по исправлению для специфичных для организации сред для повышения эффективности исправления.
• Автоматизируйте классификацию уязвимостей и определение приоритетов, чтобы снизить нагрузку на команды безопасности.

Преимущества по сравнению с традиционными методами:

• Способен понимать сложные описания уязвимостей и технические детали и обеспечивать более точный анализ.
• Может рассмотреть конкретную ситуацию в организации, чтобы разработать более практические предложения по исправлению ситуации.
• Обладает сильными способностями к рассуждению и может предсказывать потенциальные цепочки уязвимостей и сложные сценарии атак.

7. Расширенный поиск угроз

Технический путь реализации:

1. Интеграция данных: суммируйте многомерные данные, такие как журналы, сетевой трафик, поведение терминала и т. д.
2. Поведенческое моделирование: используйте большие модели для понимания нормальных моделей поведения системы и пользователей.
3. Обнаружение аномалий: выявление подозрительной активности, которая отличается от обычных моделей.
4. Обоснование угроз: используйте возможности рассуждения больших моделей для построения возможных сценариев атак.
5. Создание цепочки доказательств: автоматически собирайте и сопоставляйте доказательства, подтверждающие гипотезы об угрозах.

Преимущества:

• Упреждающее обнаружение скрытых постоянных угроз (APT)
• Уменьшите количество ложных тревог и повысьте эффективность поиска угроз.
• Предоставьте аналитикам безопасности четкие сведения о следственных действиях и цепочках доказательств.

Преимущества по сравнению с традиционными методами:

• Способен понимать сложные методы и тактику атак и обнаруживать скрытые индикаторы угроз.
• Иметь хорошее понимание контекста и учитывать бизнес-логику, специфичную для организации.
• Может постоянно изучать новые модели атак и поддерживать развитие возможностей обнаружения угроз.

8. Интеллектуальное управление конфигурацией безопасности.

Технический путь реализации:

1. Сканирование конфигурации: сбор информации о конфигурации сетевых устройств, серверов, приложений и т. д.
2. Базовое сравнение: используйте большие модели для анализа различий между конфигурациями и базовыми показателями безопасности.
3. Оценка рисков: оцените риски безопасности, которые могут возникнуть в результате отклонений конфигурации.
4. Предложения по оптимизации: создание предложений по оптимизации конфигурации, включая конкретные команды или шаги.
5. Анализ влияния изменений: прогнозирование возможных последствий изменений конфигурации для безопасности.

Преимущества:

• Постоянно обеспечивать соответствие конфигураций системы лучшим практикам безопасности.
• Снижение рисков безопасности, вызванных человеческими ошибками конфигурации.
• Предоставление исполняемых предложений по оптимизации конфигурации для упрощения процесса управления.

Преимущества по сравнению с традиционными методами:

• Способность понимать сложный синтаксис и контекст конфигурации и обеспечивать более точный анализ.
• Может учитывать конкретные потребности организации и генерировать индивидуальные рекомендации по конфигурации.
• Иметь сильные способности к рассуждению, чтобы предсказать потенциальное влияние изменений конфигурации на безопасность.

9. Расширенное обнаружение и защита от мошенничества

Технический путь реализации:

1. Мультимодальное объединение данных: интеграция данных транзакций, поведения пользователей, информации об устройствах и т. д.
2. Понимание контекста: используйте большие модели для анализа сценариев транзакций и намерений пользователей.
3. Распознавание образов: обнаружение сложных схем мошенничества и новых методов мошенничества.
4. Оценка риска: рассчитайте оценку риска мошенничества для транзакции или действия в режиме реального времени.
5. Генерация описаний: создание подробных описаний рисков и рекомендаций для событий высокого риска.

Преимущества:

• Повысьте точность обнаружения мошенничества и уменьшите количество ложноположительных и отрицательных результатов.
• Быстро адаптируйтесь к новым методам мошенничества и улучшайте возможности защиты.
• Предоставить персоналу по контролю рисков четкие объяснения рисков, чтобы помочь в принятии решений.

Преимущества по сравнению с традиционными методами:

• Способен понимать сложные сценарии транзакций и модели поведения пользователей.
• Имеют сильные способности к рассуждению и могут обнаруживать скрытые связи с мошенничеством.
• Может генерировать понятные человеку описания рисков для повышения интерпретируемости

10. Персонализированное обучение по вопросам безопасности.

Технический путь реализации:

1. Построение портретов пользователей: создавайте портреты безопасности сотрудников на основе ролей, истории поведения и т. д.
2. Генерация контента: используйте большие модели для создания целевых учебных материалов и сценариев моделирования.
3. Интерактивные вопросы и ответы: внедрение безопасной системы вопросов и ответов на основе больших моделей.
4. Оценка эффективности обучения: анализируйте реакцию сотрудников и изменения в поведении, чтобы оценить эффективность обучения.
5. Оптимизация стратегии обучения: постоянно корректируйте содержание и методы обучения для повышения эффективности.

Преимущества:

• Обеспечьте индивидуальное обучение технике безопасности для повышения эффективности обучения.
• Повысьте практические способности сотрудников справляться с ситуацией посредством моделирования сценариев
• Постоянно оценивать и повышать эффективность обучения для создания позитивной культуры безопасности.

Преимущества по сравнению с традиционными методами:

• Возможность создания индивидуального учебного контента для разных ролей и уровней зрелости безопасности.
• Обеспечьте более естественный и интерактивный процесс обучения и повысьте вовлеченность сотрудников.
• Может быстро адаптироваться к новым угрозам безопасности и обновлять учебные материалы.