自动化威胁研判新赛道:让安全运营从”人海战术”走向“智能决策”
原文链接: https://mp.weixin.qq.com/s?__biz=MzA3NjU5MTIxMg==&mid=2650575660&idx=1&sn=c1ef83b03b9bfdfd2e72db85fe4d7e16
自动化威胁研判新赛道:让安全运营从”人海战术”走向“智能决策”
国舜股份 2025-07-10 01:00
当前,网络安全运营中心(SOC)普遍面临严峻挑战:(1)日均万级告警量会导致中低危事件基本看不到,即使在 TOPN 告警助力下,高危事件仍存在识别盲区。(2)人工研判溯源效率低下造成大量漏检。而有效告警处置环节中,从事件研判、资产查询到调查溯源的全流程耗时比较久,往往在防守方完成处置前,攻击者已达成入侵目标。这种“人海战术”模式不仅导致安全运维成本高,更难以应对实战化攻防的实时响应需求。
作为网络安全行业从业者,我们必须思考:
如何让用户在人力、物力、财力都有限的条件下,还能做到高效率的、智能化的、自动化的安全运营?
北京国舜科技股份有限公司副总裁兼首席产品官 杨志泉
自动化威胁研判新赛道
一方面,伴随着国家级的HW行动,企业面临着检测发现、分析研判、应急处置、通报预警、协同联动、追踪溯源6大方面的考核能力,摆在安全运营人员面前的压力空前的大。另一方面,到目前为止,企业普遍已经遵循纵深防御体系,从边界到端点、从流量到态势感知/SOC,基本上已全面建设。SOC平台已经成为安全运营工作的核心平台和指挥中枢。
但是,《2024年SOC调查报告》指出,多年来,SOC分析师很容易出现严重的、令人心力交瘁的倦怠,这是因为无休止的手动警报流程、严重的警报疲劳以及大量消耗精力和动力的误报。
这样,就形成了一种很怪的现象,企业因为要解决告警日志分散、安全设备误报量大、安全运营人员人力和精力都有限的情况从而来建设SOC,然后建设完了SOC发现,每次到HW或者重大活动保障期间,还是得找人盯着安全设备看告警,还是得组建专家级的“监控分析组”和“研判处置组”来进行防守。用某客户的话来说就是
“放眼一看,每家都有SOC,但好像又没啥用!”
。
面对这样的行业状况和用户的挑战,北京国舜迎难而上,通过大量的客户访谈、院士论证,率先在网络安全领域,开辟了
【自动化威胁研判】新赛道
,该赛道是属于安全运营领域的细分领域。北京国舜通过技术公关,成功研发出
“
自动化威胁研判平台
”
,目前已在众多行业客户进行落地应用并取得国家级奖项和行业认证,一举领跑“自动化威胁研判”这个新赛道。
入选工信部“2024年信息技术应用创新典型解决方案”
在2025全球数字经济大会上获信通院优秀标杆案例
国舜自动化威胁研判平台
国舜自动化威胁研判平台,作为企业的“数智员工”,从
“看得全、判得准、处置快”
三个维度重构告警运营体系,用八项自动化安全能力突破传统人力瓶颈,找到告警事件、网络/应用日志、资产/漏洞/情报之间的相关性和因果性,通过自动化的流程引擎实现推理过程,最终实现“
误报/真正攻击,攻击路径/溯源取证
”的自动化研判结果。
自动化告警聚合
汇聚分散的安全设备日志和告警并自动聚合与关联,例如NDR日志、WAF告警日志、防火墙日志、EDR日志等;
自动化威胁识别
根据告警类型自动化归类到威胁场景,并告诉用户发生了什么安全事件,例如黑客利用了终端存在的漏洞进行了攻击;
自动化误报分析
通过内置误报分析模型,告诉用户该安全事件是不是误报;
自动化攻击取证
通过内置取证模型,联动取证工具,告诉用户该安全事件如果不是误报,相关的证据是什么;
自动化威胁研判
通过内置威胁研判模型,告诉用户该安全事件存在哪些威胁,例如终端已经被攻陷,同时被中了马;
自动化溯源分析
通过内置威胁溯源模型,告诉用户该攻击的历史行为和攻击路径;
自动化制定方案
通过内置威胁溯源模型结合威胁知识库,告诉用户该类型的安全事件如何进行响应处置,做到处置零遗漏;
自动化联动处置
告诉用户已经按照处置方案进行了自动化的联动处置,处置结果如何。
建设模式
1.已建SOC平台
客户已经建设SOC平台的情况下,国舜自动化威胁研判平台可以无缝和已有SOC平台进行对接,通过集成SOC平台的原始告警日志或者关联分析后的告警事件,实现对告警的自动化研判分析,解决目前SOC分析师心力憔悴的问题。
2.未建SOC平台
国舜自动化威胁研判平台,是国舜北斗网络安全运营平台中的原生模块,是国舜北斗网络安全运营平台的原子能力。客户未建SOC平台的情况下,可以选择建设国舜北斗网络安全运营平台,一次性把其他客户所走的弯路进行绕过,实现变道超车。
国舜北斗网络安全运营平台架构图
客户案例
国舜自动化威胁研判平台
目前已在多家客户进行落地应用,并获得行业认可,在“自动化威胁研判”这个赛道上进行了成功引跑。
部分金融领域客户(排名不分先后)
助力苏州银行获信息安全创新优秀案例奖
助力贵州农信获金融机构数智化转型TOP10优秀案例奖
助力贵州农信获信息安全创新优秀案例
基于LLM的大模型路径未清、谨慎投入
- LLM的局限
这是一篇发表于国际顶级学术期刊《Nature》(自然)2024年6月19日刊(第630卷)的论文。该研究由麻省理工学院(MIT)与加州大学伯克利分校合作完成。论文基于神经科学、认知科学及语言学证据,挑战了“语言是思维载体”的传统
观点,提出以下核心论点:
1. 语言的核心功能是交流而非思考
-
语言的结构特性优化于信息传递
-
语言与思维的演化关系
-
语言并非复杂思维(如符号思维)的先决条件,而是与思维共同进化。语言的核心作用是实现跨代知识传递,推动文化累积与文明发展,而非直接产生认知复杂性。
该研究直接挑战当前大语言模型(LLM)的发展逻辑:
– LLM的局限性:模型虽掌握语言形式,但因语言非思维载体,
其推理能力薄弱且知识表征脆弱
。
-
架构反思:图灵奖得主Yann LeCun指出,自回归LLM(如GPT、Claude)因固定计算步骤无法真正推理,需转向多模态或非自回归架构。
-
训练策略优化:研究建议AI应侧重学习程序性知识(如代码、数学推导),而非依赖参数化记忆检索,以提升泛化能力。
总结起来就是,
基于LLM的大模型推理能力弱,而自动化威胁研判的本质恰恰是“推理”
。
- AI Agent和Agentic AI
的局限
到了2025年,基于LLM的大模型发展迅速,总结起来大概如下:
在行业内,也有很多机构开始推出 AI Agent和Agentic AI,来实现自动化威胁研判,但是仍然处于研究阶段。
AI Agents vs. Agentic AI论文
上面这篇论文是由康奈尔大学于2025年5月发布的一篇论文。该论文首次系统解构了AI领域两大范式的本质差异:AI Agents是“单兵尖兵”,精于特定任务;Agentic AI则是“特种部队”,通过协作解决复杂问题。
但无论是AI Agents,还是Agentic AI,都有其本质上的挑战与局限:
AI Agents的核心挑战与局限:
– 缺乏因果理解
:难以区分相关性和因果关系
-
继承了LLM 的局限:易产生幻觉、对提示敏感、推理深度较浅
-
不完全的智能体属性:自主性、主动性、响应性和社交能力不足,限制应用范围。
-
可靠性和安全性问题:不足以在关键基础设施中部署,行为不可预测影响可靠性与安全性。
Agentic AI的核心挑战与局限:
– 因果问题被放大
:Agent 间相互作用放大因果性缺陷
-
通信和协调瓶颈:Agent 间高效、精确沟通协调困难,影响系统性能与效率
-
涌现行为和不可预测性:复杂交互可能导致不可预测行为与系统不稳定
-
扩展性和调试复杂性高:Agent之间的黑箱推理链和异步交互使得追踪错误根源异常困难。
总结起来就是,
无论是AI Agent,还是Agentic AI,都难以区分相关性和因果关系,Agentic AI不仅没有解决这个问题,反而放大了因果性缺陷。而自动化威胁研判的本质恰恰是“推理”,而“推理”的本质又恰恰是“找到事件之间的相关性和因果性”。
从ChatGPT推出以来,短短的2、3年时间,基于LLM的大模型发展迅猛,如果产品不和其靠上边,沾上关系,都不好意思说出口。但此时恰恰需要大家的冷静,保持头脑清醒。我们需要追求新技术,需要拥抱大模型,但不能盲目,尤其是在实战中的商业化应用,更要考虑其可靠性和准确性是不是已经达到了生产环境的应用要求。
国舜自动化威胁研判平台目前也正在探索如何利用大模型的优势来提升产品的智能化能力,但是在大模型技术成熟稳定之前,我们仍然会采用传统机器学习技术和自动化编排技术来帮助用户提质增效,在”自动化威胁研判”这条赛道上持续前行。
拓展阅读●●
HW失分、勒索难阻、网络攻击总是后知后觉:怎样才能全流量监控无死角?
光速对接:国舜自动化告警研判AI Agent全面适配DeepSeek-R1-0528
