安全大模型的思考
马上要准备2025年的护网了,最近就一直很忙,被事情裹挟着前进,忙的晕头转向,近乎感冒,昨天部门搞了一场AI大模型培训,演讲者有着很深的技术底蕴,我听到了一句关于Sass数据验证这块大为感悟,数据收集,数据验证,这对我们迭代自己产品能力来说,真的太重要了,因为我也从零到一做了一款产品。
ailx10
网络安全优秀回答者
互联网行业 安全攻防员
去知乎咨询:ailx10
在2025年的4月份,我将 poclogsender 的数据直接无感同步云端,我当时心里想的是,收集各个使用者的安全场景,等年底的时候,可以写总结说:这个工具有多少人在使用,沉淀了多少安全场景。但是5月份,我把这个云端数据公开了,所有注册用户都可以使用,一键加载回本地,用过的都说好用。
在2025年的4月份,我以为我在 poclogsender 中增加了自动生成函数功能,代理转发功能,已经是封神的操作了,但是在2025年的5月份开放云端数据后,直接将这个工具从单机版,变成了Saas联机版,简直是二次封神。这是我听了这场AI大模型培训最大的感悟,我要将“单机”做成“联机”,我要将“单兵作战“做成”协同作战“。
大模型发展很迅猛,很多人看到了套壳 agent 的机会,就网络安全运营这块,一些厂商说自己能研判所有告警,一眼假,里面跑着一个告警二次研判引擎,外面挂着一个大模型输出模版,就说这个告警是大模型研判的。就这?就这还真的能虎住很多领导,前提是告警二次研判引擎真的很准。你可别小瞧这,在没有大模型的时代,告警二次研判引擎就是态势感知产品的灵魂,是态势感知产品的核心竞争力,现在通通拿给大模型做嫁衣了。
就告警二次研判引擎来说,最重要的是维护好一套精准的攻击成功特征库,比如一个告警,请求中有A特征,响应中有B特征,那么就说这个告警是一个攻击成功事件。这里的A特征,B特征就是所谓的特征库。就拿最常见的弱口令来说,首先就要定义哪些告警属于弱口令引擎管辖范围,其次就是弱口令引擎怎么研判告警的攻击结果,想做好这些就要看大量的告警,这就回到了Sass数据收集和验证。
发布于: 2025-05-31 11:25・江苏