网络安全智能体：重塑重大赛事安全保障新范式

近年来，随着信息技术的飞速发展，重大赛事网络安全保障面临着前所未有的挑战。尤其是伴随网络攻击手段日益智能化、自动化，不仅攻击频率显著增加，攻击方式也变得愈发复杂多样，传统网络安全保障模式已难以应对当前的威胁态势。在此背景下，网络安全智能体应运而生，成为重塑重大赛事安全保障新范式的关键技术。顺应上述趋势变化，杭州安恒信息技术股份有限公司(以下简称“安恒信息”)将网络安全智能体应用于重大赛事安全保障工作，探索构建基于AI赋能的智能化防御体系，显著提升了威胁检测、分析、研判和处置效率。实践证明，网络安全智能体的广泛应用将为网络安全保障模式带来重大变革。

一、重大赛事

网络安全挑战与需求

当前，重大体育赛事作为全民广泛关注的公共事件，往往具备较高的社会影响力，不仅自身易成为高危攻击目标，而且在网络安全保障方面也面临高复杂度、高风险、高要求等诸多挑战。

首先，赛事网络涉及多个关键系统，如赛事管理、视频监控、转播网络、票务系统等，其业务连续性要求极高，任何网络中断或数据泄露事件都可能造成严重影响。赛事期间网络系统必须保持7×24小时的高可用性，任何中断都可能影响赛事正常进行。

其次，赛事网络环境动态变化频繁，从建设期到赛时保障，网络架构、设备部署、安全策略均面临不断调整，从而对安全运营提出了更高的实时响应要求。同时，赛事网络环境复杂，经常涉及多个场馆、多个系统，且系统之间相互关联，攻击者可能通过一个薄弱点渗透到整个网络，也可能从多个维度同步发起攻击(包括应用层、传输层、网络层等)，因此安全防御体系需要具备全方位防护能力。

除此之外，重大赛事也是黑客组织和高级持续性威胁(APT)攻击的重点目标，攻击手段包括DDoS攻击、供应链攻击、钓鱼邮件、恶意软件投放等。相关数据显示，近年来监测到的攻击频率显著增加，尤其是针对赛事信息系统和场馆网络的攻击愈发频繁。从网络攻击趋势上看，预计2025年有30%的外部攻击将使用AI技术，而2022年这一比例仅为5%。从安全事件增长趋势上看，AI攻击事件的年增长率超过200%。从攻防演进趋势上看，使用AI执行自动化渗透、深度伪造(语音/视频)、自适应恶意代码等攻击的方式正逐渐成为常态。例如，恶意软件的构建时间从2022年的12小时缩短到2025年的15分钟，漏洞利用时间也从此前的1～2周缩短到60分钟。这些变化都意味着安全防御团队必须不断强化AI技术应用，赶在攻击者之前构建出更为坚固的防御体系，形成以AI对抗AI的新局面。

二、重大赛事

网络安全保障体系浅析

1.安全能力建设

面对智能化攻击挑战，重大赛事网络安全保障体系需要具备以下能力：一是实时监测与响应能力，赛事期间需能够实时监测网络流量和安全事件，并能够快速响应和处理安全威胁。二是智能化分析能力，面对海量的安全数据，需能够借助AI技术进行智能化分析，快速识别潜在风险。三是自动化处置能力，在检测到安全威胁后，需能够自动调度相关安全产品进行防御处置，减少人工干预。四是追踪溯源能力，在发生安全事件后，需能够快速追溯攻击路径，准确定位攻击来源，防止类似事件再次发生。五是数据安全与隐私保护能力，赛事期间涉及大量敏感数据，需能够确保数据的安全性和隐私保护，防止数据泄露。

2.智能化演进趋势

按智能化程度划分，重大赛事网络安全保障体系大致可分为三个阶段：

(1) 人海战术阶段

在传统赛事重保阶段，网络安全保障主要依赖于人海战术，即通过大量的人力投入来应对各种安全威胁。这一阶段的特点是高度依赖人工，成本高、效率低、响应速度慢。安全人员只能凭借经验来判断、处理各种安全事件，难以应对复杂多变的网络攻击。

(2) 体系作战阶段

杭州亚运会、成都大运会等大型赛事采用了更为体系化的网络安全保障方式。通过整合城市侧、赛事侧、场馆侧和供应链四个维度(三侧一链)的安全防护，构建了一个全方位、多层次的网络安全防御体系，实现了人员可靠、技术过硬、AI赋能、运营得当等安全目标。其中，城市侧主要关注与赛事相关的城市基础设施的网络安全，包括交通、通信、能源等关键系统。赛事侧聚焦于赛事管理、票务系统、转播平台等核心业务系统的安全防护。场馆侧涉及赛事场馆的网络设备和系统的安全防护。例如，在杭州亚运会期间，安恒信息对56个竞赛场馆和32个非竞赛场馆进行了全面的网络安全检测和保障，确保了场馆网络环境的安全。供应链安全是“三侧一链”体系中的重要一环，主要关注为赛事提供技术支持的第三方供应商的安全风险，包括对供应商的网络环境、设备安全性进行严格审查，确保供应链环节不会成为攻击者的突破口。在此模式下，虽然人工作业仍然是主要方式，但AI技术开始小试牛刀，并能够辅助安全人员执行部分安全任务，使安全保障的效率和可靠性实现大幅提升。

(3) 安全智能体阶段

在2025年亚冬会安全保障中，网络安全智能体得到了大规模应用，这标志着网络安全保障进入AI深度参与的新阶段。这一阶段的特点是智能体自主获取数据、分析决策，安全专家审核操作。网络安全智能体在防护、研判、溯源、通报、管理等多个维度全面提质增效，极大地提升了赛事的网络安全保障能力和水平。

三、网络安全智能体

核心原理

网络安全智能体是一种基于人工智能技术构建的智能化防御实体，其核心原理是通过模拟网络安全专家分析与决策的过程，利用机器学习、深度学习、自然语言处理等技术，对海量的网络安全数据进行分析和处理，从而实现自动化威胁检测、分析、研判和处置。具体而言，网络安全智能体的构建主要涉及以下几个方面：

一是数据采集与预处理。网络安全智能体通过多种方式采集网络流量、日志、威胁情报等数据，并对其进行清洗、归一化等预处理操作，以便后续开展数据分析和应用。

二是特征提取与建模。基于预处理后的数据，网络安全智能体利用机器学习算法提取关键特征，构建相应的安全模型，并基于这些模型对正常网络行为和异常行为进行区分，从而实现对威胁的检测和识别。

三是智能分析与决策。网络安全智能体利用深度学习算法对提取到的特征进行分析，同时结合自然语言处理技术对威胁情报进行语义理解，从而实现对复杂威胁的精准识别和分析。在此基础上，网络安全智能体根据预设的规则和策略，还可自动作出决策，生成相应的处置建议。

四是自动化处置与反馈。网络安全智能体根据决策结果，自动调度相关安全产品进行防御处置，并将处置结果反馈给安全专家进行审核。安全专家可以根据实际情况对处置结果进行调整和优化，进而使网络安全智能体实现持续学习和自我进化。

在网络安全运营领域，智能体通过实时监测网络流量和安全事件，并对海量的网络安全数据进行分析和处理，可帮助安全人员更好地掌握网络安全态势。例如，通过提取关键特征，识别威胁的类型、来源和意图，以及对威胁进行语义理解，网络安全智能体可实现对威胁的精准分析和研判，并通过自动化处置流程，快速地响应、消除威胁，有效降低安全威胁对赛事网络的影响。此外，网络安全智能体还可以根据处置结果进行自我学习和优化，从而不断改进处置策略、提高处置效果。

四、网络安全智能体

规模化应用实践

面对日益复杂的网络安全威胁，基于AI的安全智能体和安全垂域大模型为重大赛事提供了一种更为高效的智能化防御方案。在2025年亚冬会期间，安恒信息基于安全智能体开发平台(如图1所示)，以恒脑安全垂域大模型为底座，设计部署10个亚冬会专属智能体(数据安全风险评估智能体、场馆安全风险分析智能体、主机异常行为分析智能体、AI告警研判智能体、恶意IOC查询智能体、恶意IOC拓线智能体、安全情报分析智能体、恶意文件分析智能体、亚冬小恒智聊智能体、场馆安全检查助手)，为亚冬会网络安全提供了丰富且专业的技术保障。具体而言，网络安全智能体主要提供了如下能力支持：

图1 安全智能体开发平台

1.智能监测

在亚冬会网络安全保障体系中，智能监测环节至关重要。对此，网络安全智能体通过先进的AI算法，可全方位、不间断地对网络流量进行实时监控。一旦网络流量出现异常波动，网络安全智能体便会迅速响应，并利用强大的数据分析能力精准识别安全威胁，从源头找出可能引发安全事件的风险隐患，确保任何潜在的安全威胁都无所遁形。

2.深度分析

在深度分析方面，网络安全智能体充分发挥了自动化、智能化防护的技术优势。一方面，网络安全智能体运用自动化技术进行全方位深度扫描，可快速收集设备性能、网络稳定性等多方面的数据;另一方面，通过广泛收集来自各方的安全情报，还可快速提炼出最具价值的信息。在此基础上，通过将设备运行数据与安全情报相结合，网络安全智能体能够把原本复杂、无序的数据转化为清晰直观的安全态势，为后续安全决策提供有力的数据支持。

3.精准研判

面对海量告警信息，网络安全智能体如同经验丰富的侦探，可运用智能算法快速筛选出关键内容，并精准判断告警的真实性和紧急程度，有效去除大量的误报信息，从而让安全人员聚焦于真正的安全风险；同时，结合对赛事数据风险的精准评估，可从多个维度对安全事件展开综合研判，并快速确定风险等级，为制定科学合理的应对策略提供可靠依据。

4.快速处置

在确认安全威胁后，各个网络安全智能体通过协同联动，将进入到快速处置阶段。例如，网络安全智能体可协助工作人员对场馆设备和网络配置进行紧急排查，确保没有任何漏洞能够被攻击者利用;同时，借助高效的智能通报系统，及时将安全风险和经过分析得出的处置建议传达给相关人员，并协助其采取诸如阻断连接、隔离受攻击区域等防护措施，快速消除安全威胁。在此模式下，整个处置过程紧密衔接、快速有序，可有效降低安全威胁带来的不良影响。

5.全面溯源

面对异常情况，恶意文件分析智能体和恶意IOC拓线智能体是探寻攻击真相的关键力量。基于两者的紧密配合，安全人员可全面追溯攻击路径，准确定位攻击来源。其中，恶意文件分析智能体可为恶意IOC拓线智能体提供文件层面的线索，恶意IOC拓线智能体则能够基于这些线索，在更广阔的网络空间中追踪攻击者的踪迹。

基于上述功能设计，网络安全智能体在实践应用中取得了良好成效：一是高级威胁发现准确率大幅提升，通过快速关联多维数据，网络安全智能体能够精准识别高级威胁。二是提升标准化工作效率，网络安全智能体通过自动完成检查、分析、研判等标准化工作，有效提升了参与安全保障人员的能力水平。三是在确保安全保障质量和效率的前提下，网络安全智能体大幅降低了人员投入，将复杂的网络安全工作简单化。四是显著提升安全运营效率，亚冬会安保期间，人力资源效能比以往提升了300%，威胁研判效率提升了60%。网络安全智能体不仅为赛事顺利举办提供了坚实的网络安全保障，也助力赛事实现了“零网络故障、零要客投诉、零网信安全事件”的安全目标。

五、网络安全智能体

后续演进方向

2025年，随着DeepSeek R1版本的发布，深度推理在网络安全领域的研究和应用愈发深入。顺应这一趋势，安恒信息将恒脑与DeepSeek相结合，在部分安全场景取得了良好效果。以钓鱼邮件为例，在大型赛事的网络安全保障工作中，运营团队同样会受到钓鱼邮件攻击，不仅正文中可能内嵌木马链接，附件也可能夹带攻击代码，一旦攻击成功即可能导致安全防御出现漏洞，甚至引发重大安全问题。对此，安恒信息结合恒脑·安全垂域大模型能力和DeepSeek的深度推理能力，创新探索出分而治之的识别思路，显著提升了钓鱼邮件的识别精准度。其中，恒脑主要用来识别邮件发件人邮箱域名、邮件链接(二维码)、邮件附件是否包含恶意内容；对于邮件正文，则基于DeepSeek强大的意图识别能力，重点识别与营造紧迫气氛、诱惑点击等有关的语言描述。恒脑与DeepSeek相结合的钓鱼邮件检测逻辑如图2所示。

图2 恒脑与DeepSeek相结合的钓鱼邮件检测逻辑

六、总结与展望

综上所述，网络安全智能体在重大赛事中的规模化应用，标志着网络安全保障进入了AI深度应用的新阶段。通过引入安全垂域大模型和网络安全智能体，赛事网络安全保障体系逐步从传统的人海战术演进为智能化、自动化防御模式，显著提升了威胁检测、分析、研判和处置效率。同时，通过使用关联知识库将过往应对各类网络攻击的成功案例、关键决策点以及对网络安全态势的敏锐判断逻辑以数据模型和算法的形式融入其中，网络安全智能体不仅具备了强大的AI自主学习和自我进化能力，还能对赛事网络安全态势进行智能研判，并提前预警潜在风险，为主动防御提供有力支持。