流量威胁检测的重要性无需多言。回顾发展历程，流量威胁检测技术经历了从正则匹配到语法语义匹配，再到结合统计分析、行为分析的机器学习小模型等技术路线。

　　我们可以窥探其反映出攻击手段的升级迭代：从最开始带有明显特征，逐渐变成弱特征，甚至是组合利用的体系化攻击手法，再到最新的智能化手段运用。

　　《世界互联网发展报告2023》中提到，网络攻防进入智能化对抗时代，低成本自动化的新形式网络攻击层出不穷。

　　攻击者已经在利用AI大模型批量快速构建攻击工具、生成混淆攻击代码，并结合全方位立体攻击手法（如：0day 漏洞攻击、定向钓鱼、C2加密通信等）。很多人依然执着于通过持续叠加规则，包括结合云端情报等手段，让传统检测引擎应对新威胁，但这无异于以卵击石。

　　深信服不沿袭老路，以Game Changer的思路独辟蹊径——利用大模型赋能流量检测。

　　完爆传统检测引擎

　　六项能力超越通用大模型

　　深信服安全GPT可以作为检测引擎，赋能态势感知等传统安全设备，具备对未知攻击的意图理解、异常判定、混淆还原能力，当前已完成检测大模型的标准化落地。

　　基于积累的千万条语料、千亿级Token的高质量训练数据，早在今年4月，安全GPT检测大模型的效果已显著超越了业界多家基于规则和小模型的流量检测引擎。经内部5000万样本数据测试，相比传统流量检测设备，安全GPT检出率由平均57.4%提升至92.4%，误报率由42.6%降低至仅4.3%。

　　从实践中来到实践中去，安全GPT检测大模型一次次证明了自身实力：

　　1.多方持续验证检测效果

　　8月，在2023年大型实战攻防演练中，安全GPT检测大模型在没有任何先验知识的前提下，发现50+在野0day漏洞利用攻击。

　　9-11月，深信服蓝军基于检测大模型的研判结果，捕获到了32个在野利用的0day漏洞，并将漏洞详情报送监管机构。

　　10-11月，经多家用户验证安全GPT大模型，结果显示：针对25个高混淆数据包（可绕过传统引擎及通用大模型GPT-4），安全GPT检出率100%，其中针对三层混淆样本，传统引擎和通用大模型GPT-4均未检出；在实际网络环境中，与业界传统SOC、NDR产品进行对测，传统产品检出率平均12.5%，安全GPT检出率高达97.4%。

　　2.六项能力均超越通用大模型

　　结合安全专家经验，深信服从六个维度评估安全GPT检测大模型效果，分别是代码理解能力、攻防对抗理解能力、模型推理能力、安全基础知识能力、任务编排能力、模型幻觉对抗能力。

　　结果显示，安全GPT检测大模型六项能力均超越通用大模型。

　　我们知道，检测效果高度取决于对攻击代码的理解能力。通用大模型的参数至少十亿级别，其具有的理解、泛化、表达能力远超传统机器学习小模型，更非传统规则引擎可比拟。

　　如今通用大模型已经可以对一段复杂的攻击代码进行高水平、准确地解读，不亚于人类高级专家。但深信服真正做到了把大模型能力运用到流量实时检测与研判中，并取得了更优异的效果。

　　安全GPT检测大模型就像一个懂攻防、懂代码、懂协议的流量研判专家，对流量进行持续检测分析，从而发现传统检测引擎发现不了的高对抗、高绕过流量攻击。

　　安全GPT检测大模型为何能降维打击？

　　深信服通过知识蒸馏、模型量化、模型剪枝、Attention机制优化等，将安全GPT推理性能提升50倍，实现了在实际网络环境中，针对实时流量的实时检测。

　　因而在实战考验面前，安全GPT取得了碾压式的优胜，从以下三个方面，几乎是对传统检测引擎的降维打击。

　　1.少量样本/无样本前提下检出新型威胁

　　传统语义分析技术开发成本高昂，且无法应对新型语言，导致传统检测引擎无法防御0day漏洞、高对抗攻击。

　　安全GPT检测大模型通过学习大量开源的代码，先天性地对代码语义有深入理解，从传统代码片段Payload特征检测，进化到全报文综合分析的维度，能够挖掘弱特征攻击中的真实攻击目的，从而实现精准检测并减少误报。

　　安全GPT 检测大模型还能触类旁通，实现更强的泛化能力，甚至能在少量样本/无样本的情况下，基于Zero/Few-Shot技术检测出新型威胁，因此大幅提升对0day漏洞攻击的检出率。

　　2.破解攻击结果研判的业界难题

　　众所周知，判定一个攻击是否成功是业界难题，也是安全运营工作中消耗大量人力精力的重头戏。传统的攻击成功检测引擎主要面临三大问题：攻击成功无回显、成功特征不固定、Payload混淆难理解的问题。

　　安全GPT检测大模型不仅能还原攻击中的混淆Payload，还能从响应报文中动态识别其中是否存在攻击成功的特征。如下图中，通过将混淆的Payload还原成最简模式whoami，安全GPT能够准确识别攻击意图，进一步会关联分析响应的内容，从而判定攻击结果为成功。

　　同时，针对攻击成功场景，不同的命令有不同的回显，有的命令回显无法提规则（比如whoami回显zhangsan）。安全GPT检测大模型在经过大量垂直领域数据训练后，能够找出潜在的攻击成功回显特征。

　　3.自然语言辅助有效告警研判

　　传统检测引擎在对威胁事件举证时，仅能通过高亮的方式展示恶意点。然而安全运营人员能力参差不齐，这种方式无法直接有效辅助其告警研判，时常导致高危事件的漏判误判。

　　安全GPT检测大模型能够用自然语言对报文进行多维度剖析，辅助运营人员高效研判告警，突破人员能力和精力的瓶颈，真正实现“1个普通工程师+安全GPT检测大模型=N个安全专家”。

　　安全GPT检测大模型是怎样炼成的？

　　作为国内最早应用AI的网络安全厂商之一，早在2015年，深信服投入决策式AI技术的研究和应用。2016年，深信服不断加码AI技术并确立了AI First研发战略，在网络安全和云计算领域都有可落地、有效果的AI技术突破。

　　由此，深信服积累了炼成安全GPT的必备要素：

　　1.面向AI模型训练的高质量数据和算力

　　持续累计的千亿级Token安全语料。

　　自动化的训练数据生成和质量管理平台。

　　55w+安全设备和组件接入云端。

　　每日更新数千万训练样本。

　　基于托管云的分布式算力平台。

　　2.云网端智能产品架构

　　数据采集/模型训练/部署落地全流程的安全产品。

　　国内率先推出SASE、MSS等云化产品和服务。

　　Genius AI研发平台模型训练速度提升3.5倍。

　　全国100+节点托管云，支撑安全GPT贴近用户部署。

　　3.四位一体的专家队伍

　　快速组建既懂安全、又懂AI的专业团队。

　　深信服相信，由“大模型+数据+安全和算法专家”形成的飞轮效应，将为安全GPT在威胁检测效果的提升持续带来巨大潜力。

　　“世界上本没有路”，深信服将走出一条独特的安全GPT检测大模型之路，持续引领先锋体验，致力于每一位用户“安全领先一步”。（科文）