安天澜砥威胁检测分析垂直大模型入选“年度大模型创新技术”

为有效赋能威胁分析和防御场景，提升网空对抗场景感知能力，缩短完成响应处置威胁所需的时间，改善网络安全防御和响应的自动化与智能化水平，安天澜砥实验室自主研发了澜砥威胁检测分析垂直大模型（VILLM）。今年9月，澜砥垂直大模型在仅使用安天千分之一数据训练的情况下，在CNCERT联合多家单位举办的2024 年人工智能技术赋能网络安全应用测试“恶意软件检测场景”中排名第二，并在近日入选2024 网络安全“金帽子”年度大模型创新技术。

▲安天澜砥威胁检测分析垂直大模型入选“年度大模型创新技术”

澜砥垂直大模型基于安天赛博超脑20余年积累的海量样本特征工程数据训练而成，训练数据包括文件识别信息、判定信息、属性信息、结构信息、行为信息、主机环境信息、数据信息等，支持对不同场景下向量特征进行威胁判定和输出详实的知识理解，形成应用不同需求和场景的多形态的检测方式，提升后台隐蔽威胁判定能力，进一步为安全运营赋能。

通过在产品中加装该模型，应用模型检测响应，可有效提升端点产品、流量产品、分析产品和态势感知等产品的场景化检测能力与知识输出能力，支撑对威胁的理解和响应处置。

▲ 安天澜砥威胁检测分析垂直大模型基本运行机理

为了更好地处理二进制数据和执行体分析的特殊需求，安天设计并实施了特定的模型架构。通过调整和优化模型的内部结构，提高了模型对二进制文件的理解能力。通过引入能够更有效处理二进制数据的编码机制，并调整模型的注意力机制，使其更聚焦关注二进制数据中的有效信息。

同时，安天对模型进行特定领域的预训练和微调，使模型在处理任务时更加精准有效。通过使用与网络安全相关的大量数据集进行预训练，模型能够学习和理解与安全威胁相关的复杂模式和特征。此外，通过在特定的威胁检测任务上进行微调，模型的性能和准确性得到进一步提升。

除执行体样本对象外，澜砥垂直大模型还专门适配威胁对抗和安全运营场景，特别改善了对强时序数据对象（如日志、网络数据流）的检测能力。在不同算力环境、不同网络联通或隔离条件下，既能发挥传统反病毒引擎体系的高速、精准、可弹性定制剪裁的优势，也在威胁的检测识别能力方面具有良好的泛化效果和鲁棒性。

基于“叠加创新”的设计理念，澜砥垂直大模型在赛博超脑侧与安天特征工程和知识工程融合，提升了特征工程和知识工程运行质量。在客户侧，通过生成式大模型技术，为威胁检测和分析产品提供更强的威胁鉴定能力和威胁知识输出能力。安天的端点产品、流量产品、分析产品和态势感知等产品可加装该模块，进一步解决人工智能在数字安全领域的应用需求，协助客户有效应对数字智能时代的安全挑战。

考虑到绝大多数客户自身难以独立承担GPU算力体系建设成本，安天针对澜砥垂直大模型，提供了接入赋能、低算力条件部署和独立算力建设三种方案，所需的算力显著低于常见开源模型，在能耗和使用成本方面具有明显优势。

安天将不断加强人工智能相关技术研究与应用创新，进一步助力构建安全可信有序发展的数字世界。

往期回顾