AI在安全运营中的四大价值与制约

        在数字化变革与攻防格局加速演进的时代，网络安全正站在十字路口。传统 SOC 模式（依赖规则、签名、本地人工分析）在面对海量告警、越来越复杂攻击手段（APT、零日、内外部协同攻击等）时愈显捉襟见肘。近期，The Hacker News 发布的研究指出：安全团队每天处理平均 960 条告警，且约 40% 的告警因资源限制被完全忽视，61% 被忽视的告警后来被证实为关键安全事件 。告警洪流与分析瓶颈已成为现代 SOC 的“承压墙”。

        在这种背景下，AI（尤其是大模型与生成式 AI）正被视为安全运营的关键转折点。从实验性质工具逐步演进为优先战略，AI 正在重塑威胁检测、告警处置、调查响应、资源分配、人员协作等多个维度的能力。以下，我们将从多个方面剖析 AI 在安全运营中的核心价值。

一、缓解告警洪流与警报疲劳

1. 告警海量、资源有限的痛点

研究指出，大型组织可能每天用 30 多种警报源产生 3000+ 条告警，普通组织也面临 900 余条／日的告警压力。人力分析师根本无力处理如此规模。
在这些告警中，很多是重复、低价值或者误报，如果由人工逐条过滤，不仅效率极低，还极易因疲劳漏掉真正关键的威胁。

2. AI 的告警优先级排序与智能聚合

AI 系统可以对告警进行自动分类、打标签、优先级排序、聚类与关联，将高危警报提前推送给分析师，低价值或重复警报自动屏蔽或延后。
据报道，已有 55% 的安全团队在生产环境中部署 AI 助手，作为警报分拣与初步分析工具使用。

二、提升调查效率与上下文深度

1. 历史数据与实时日志的跨域关联

传统分析师在调查时需跨系统、跨产品搜集日志、网络流量、身份认证、主机状态等信息，耗时极长。
AI 模型（包括大模型、图神经网络、行为分析模型等）能够自动整合多源信息，构建攻击路径、揭示侧面关联，并将关键信息摘要推送给分析师。

2. LLM 的“辅助认知”角色

最新研究表明，LLM 在 SOC 中更多被用于“帮助理解上下文、生成可读分析结论或草稿、技术翻译”等辅助任务，而非直接做高风险判断。
一项基于 45 名分析师、超过 3,000 条问答的长期观察显示：分析师用 LLM 来做低级电信号解读、命令含义解释、分析报告草稿润色等（占大部分使用案例），而关键决策依然由人类判断主导。93% 的查询符合主流网络安全能力框架（NICE）中的标准任务。(arXiv)
这种人机协作模式既能加速调查流程，也能保证人工主导判断的可控性。

三、加速响应、自动执行

• 自动化响应建议：在分析检测到威胁后，AI 能基于历史响应模式与行业最佳实践，向分析师推荐响应步骤（如封禁、隔离、取证等）。

• 半自动 / 全自动执行：对于可预定义、风险较低的流程（如隔离某一端口、阻断可疑连接、邮件附件隔离等），可由 AI 或 SOAR 平台自动执行，进一步提升响应速度与精确度。

• 自适应优化：AI 可根据组织历史反馈和响应效果，动态优化自己的建议和自动化策略，使响应越来越贴合组织实际。

四、优化资源分配与组织效能

1. 分层职责重塑

通过 AI 自动处理大部分重复任务，可以让一线分析师从“流水线处理者”转为“AI 操作者 + 初步判断者”，而高级分析师则专注于复杂溯源、模型优化、战术策略。
同时，SOC 管理者更多聚焦战略思维和跨部门协作，而不是日常告警指标监督。

2. 缓解分析师疲劳与降低流失率

告警疲劳是现代 SOC 分析师高流失率的重要原因。AI 帮助减轻重复性工作负荷，提高工作效率与满意度，从而有助于稳定团队。
The Hacker News 的调查指出，过载警报使团队被迫选择忽略部分告警，而这正是漏报形成的根源。

3. 覆盖率提升与安全盲区缩小

目前由于资源瓶颈，很多告警根本无人调查。研究表明，40% 的警报因资源限制被完全忽视。
在 AI 辅助下，范围更广、优先级更有结构的告警将被覆盖分析，从而减少被迫忽视的重要风险。

五、制约与挑战：应对风控与信任问题

虽然 AI 在安全运营上的价值巨大，但落地并非零阻力。以下是常见挑战与应对方向：

在学术界，也有针对这些挑战的研究。例如《A Unified Framework for Human-AI Collaboration in SOCs》提出了一种层级自治（autonomy tiering）机制，将 AI 有不同自治级别与人类协作机制相匹配，以适配不同任务的风险程度。
又如《Towards AI-Driven Human-Machine Co-Teaming for Adaptive and Agile SOCs》提出，让 LLM 型 AI 代理从人类分析师那“学 tacit knowledge”，形成协作队伍，提升整体效率。

结语

        AI 在安全运营中的价值，不再是遥远的愿景，而是在“告警洪流”下缓解瓶颈、在“人为极限”中放大效率、在“复杂攻击”前提供协同判断。它不仅是对传统 SOC 的补足，更是一场以人为本的能力进化。未来的 SOC，是 AI 与人类智力协作的融合体：AI 处理繁复任务，人类主导判断与策略。

        为了真正实现这场变革，组织必须在技术、流程、人才、治理与文化层面同步准备。唯有如此，才能在新一轮网络攻防博弈中立于不败之地。

参考文献：

• The Hacker News. (2025, September). The State of AI in the SOC 2025 — Insights from Recent Study. Retrieved from https://thehackernews.com/2025/09/the-state-of-ai-in-soc-2025-insights.html

• Omdia. (2025). Human-Centered AI: Redefining the Modern SOC. Omdia Research Report.

• Software Analyst. (2025). Revolutionizing Security Operations: The Road to AI-Enhanced SOCs. Software Analyst Industry Insights.

• IBM Security. (2024). Cost of a Data Breach Report 2024. IBM Corporation. Retrieved from https://www.ibm.com/security/data-breach

• Google Cloud Security. (2025). The Future of AI-Driven Cyber Defense. Google Cloud Whitepaper. Retrieved from https://cloud.google.com/security

• Wang, T., Chen, L., & Zhao, Y. (2025). A Unified Framework for Human-AI Collaboration in SOCs. arXiv preprint arXiv:2505.23397. Retrieved from https://arxiv.org/abs/2505.23397

• Li, Z., Zhang, H., & Sun, X. (2025). Exploring the Role of LLMs in Security Operations Centers. arXiv preprint arXiv:2508.18947. Retrieved from https://arxiv.org/abs/2508.18947

• Xu, M., & He, K. (2025). Towards AI-Driven Human-Machine Co-Teaming for Adaptive and Agile SOCs. arXiv preprint arXiv:2505.06394. Retrieved from https://arxiv.org/abs/2505.06394

• Microsoft Security. (2025). AI-Powered Security Operations: From Detection to Response. Microsoft Whitepaper. Retrieved from https://www.microsoft.com/security

• Palo Alto Networks. (2025). Cortex XSIAM: The Autonomous SOC. Palo Alto Networks Whitepaper. Retrieved from https://www.paloaltonetworks.com/cortex/xsiam

• MITRE Engenuity. (2024). AI and Cyber Threat Intelligence: A Framework for Adaptive SOCs. MITRE Corporation. Retrieved from https://mitre-engenuity.org

注意：封面由sora生成。