编者按
关保联盟推出《关键信息基础设施安全保护支撑能力白皮书——以新质战斗力引领“AI+”时代网络安全(2025)》系列解读,聚焦 “AI+” 时代关键信息基础设施安全领域全新挑战,拆解能力建设要点,助力运营者提升防护效能。期待与同仁共筑关基安全屏障。
随着 “AI+” 时代加速到来,网络安全领域正面临攻击智能化、威胁隐蔽化、防御复杂化的多重挑战,传统依赖规则匹配、人工研判的防御体系已难以应对新型风险。人工智能技术通过特征工程、知识工程、模型工程三大范式,正深度融合网络安全技术,构建起小模型、大模型、混合模型 “三位一体” 的技术架构,推动网络安全从 “人工主导” 向 “智能原生” 跨越式发展。
小模型:精准防御的 “神经末梢”
小模型作为网络安全精准防御的核心支撑,涵盖从传统机器学习到小型语言模型(SLM)的技术谱系,其核心优势在于高效部署、可解释性强,能在资源受限场景下实现威胁的实时精准检测。这类模型通过高质量特征工程,对网络流量、系统日志、用户行为等数据进行精细化分析,既明确 “存在威胁”,更能阐明 “威胁成因”,为自动化响应提供可信依据。
在实际应用中,小模型已广泛落地于关键安全场景:采用隔离森林、自编码器等算法的异常检测系统,可实时监控网络流量与终端进程,快速识别未知攻击与零日漏洞利用;基于卷积神经网络(CNN)、循环神经网络(RNN)的恶意代码检测模型,能在毫秒级完成 PE 文件、API 调用序列的分析,满足终端防护实时性需求;逻辑回归、梯度提升决策树等模型构建的威胁评分系统,可对安全事件进行优先级排序,有效缓解安全团队的告警疲劳。无论是 IoT 设备、边缘计算节点等资源敏感环境,还是需要人工介入调查的复杂场景,小模型都以其轻量化、高精准的特性成为不可或缺的技术基石。
大模型:战略分析的 “大脑中枢”
参数规模超百亿的大语言模型(LLM),凭借强大的语义理解、上下文推理与知识整合能力,成为网络安全战略分析的核心引擎。与小模型的 “特征 - 标签” 映射逻辑不同,大模型通过知识工程方法,从海量非结构化安全数据中提取关键信息,构建动态更新的安全知识体系,实现从 “被动响应” 到 “主动预判” 的能力升级。
大模型的核心价值体现在三大维度:一是知识图谱重构,通过预训练与微调,自动从 CVE 漏洞库、MITRE ATT&CK 框架、安全博客等数据源中抽取实体与关系,构建涵盖漏洞、攻击技术、资产关联的动态知识图谱,替代传统静态规则库,大幅降低维护成本;二是 Prompt 工程赋能,通过零样本、少样本提示与思维链(CoT)推理,将大模型 “专业化” 为安全专家,支持多轮对话式交互,辅助完成漏洞分析、攻击链还原、报告生成等复杂任务;三是检索增强生成(RAG)实战应用,结合外部威胁情报库与企业资产数据,实时检索最新漏洞信息与防御方案,有效解决大模型 “幻觉” 与知识滞后问题,为安全决策提供精准支撑。微软 SecurityCopilot 等系统的实践表明,大模型已成为威胁情报分析、高级威胁狩猎、合规报告生成等复杂场景的核心支撑。
混合模型:复杂场景的 “协同神经系统”
单一模型难以兼顾效率与全面性,融合小模型、大模型、知识图谱、博弈算法等技术的 “混合智能” 模式,成为应对复杂网络攻防环境的主流趋势。这种模式以 “解决具体安全问题” 为牵引,通过 “模型工程” 实现多技术协同,构建面向任务的系统化解决方案,打通 “感知 - 认知 - 行动” 的闭环联动。
混合模型在网络安全中的应用呈现多元化特征:知识图谱与神经网络的组合,既借助知识图谱存储结构化攻击模式,又通过神经网络处理非结构化数据,实现对高级持续性威胁(APT)的跨阶段检测;博弈算法与机器学习的融合,可模拟攻击者与防御者的策略互动,动态调整防御策略,显著提升蜜网系统、移动目标防御(MTD)的防护效能;多智能体协作架构则通过数据智能体、分析智能体、行动智能体的分工配合,覆盖从数据采集、威胁研判到响应执行的全流程,既保证单点任务效率,又实现复杂场景的全面覆盖。在安全运营中心(SOC)等核心场景中,混合模型可无缝整合小模型的实时检测能力与大模型的深度分析能力,实现 “边缘感知与中枢决策” 的有机协同。
技术融合重塑网络安全新范式
人工智能技术与网络安全的深度融合,不仅是技术工具的升级,更是防御理念的根本性变革。小模型的精准检测、大模型的战略分析、混合模型的协同联动,共同构建起 “神经末梢 - 大脑中枢 - 协同神经” 的完整技术体系,推动网络安全从 “被动修补” 向 “主动免疫”、从 “单点防御” 向 “体系化防护” 转型。
在数字化转型与技术革命纵深发展的背景下,人工智能赋能网络安全的实践仍需聚焦两大核心:一是技术适配,根据具体安全场景的实时性、准确性需求,科学选择单一模型或混合模型方案;二是可信可控,重视模型本身的安全性、隐私保护与算法公平性,确保赋能安全的技术手段可靠合规。随着 Agent、RAG、Prompt 等技术的持续成熟,人工智能将深度融入网络安全全生命周期,为关键信息基础设施保护注入新质战斗力,助力构建更智能、更主动、更坚韧的网络安全防御体系。
白皮书订购
如有意购买,请联系:
关小元 13391615952 (微信同号)
关小宝 13810321968 (微信同号)
近期活动与培训
「关键信息基础设施安全保护人员专业能力认证培训与AI安全攻击测试培训」
报名咨询
为深入贯彻党的“二十大”精神,全面落实习近平总书记关于“网络强国”建设的重要思想,以提升网络空间技术对抗能力作为增强国家整体实力的关键抓手,切实落实教育部等部委关于高等院校培养网络空间安全实战化人才的战略部署和要求,提高网络人才实战化能力,中关村华安关键信息基础设施安全保护联盟(简称“关保联盟”)拟开设关基能力培训与AI安全攻击与测试培训。
关键信息基础设施安全保护人员专业能力认证培训:
报名咨询:
