生成式人工智能赋能网络安全运营降噪能力研究.pdf

「信息通信技术与政策

生成式人工智能赋能网络安全运营降噪能力研究

孟楠周成胜赵勋

（中国信息通信研究院安全研究所，北京100191）

摘要：在数字化时代背景下，网络安全面临的挑战日益增加，告警疲劳问题突出，传统的告警处理方法因

难以区分真假威胁而效率低下。通过采用生成式人工智能（ArtificialIntelligence，AI)技术,不仅能更准

确地识别安全威胁、减少误报,还能提高安全事件处理的效率。此外,AI的数据分析能力也有助于安全

团队更有效应对复杂安全事件，提升网络安全运营水平。AI技术在实际应用中面临准确度和可解释性

挑战，通过引入大型语言模型代理（LargeLanguageModelAgent,LLMAgent）降噪系统，集成大小模型

的能力，结合告警态势感知和知识库数据，能进一步提高降噪的准确率，实现告警降噪的高效处理。

关键词：生成式人工智能；告警降噪；大型语言模型代理；告警疲劳

中图分类号：TP393.08;TP18文献标志码：A

引用格式：孟楠，周成胜，赵勋：生成式人工智能赋能网络安全运营降噪能力研究[J]信息通信技术

与政策，2024,50(8):24-31,

D0I:10.12267/j.issn.2096-5931.2024.08.004

0弓集成大小模型和知识库数据，提高了告警研判的效率

引言

和准确性；三是机器学习和深度学习小模型的组合应

在数字化时代，网络安全已成为重要议题。随着用,实现了实时告警处理,提升了降噪效果。

科技飞速发展，网络面临频繁攻击，安全告警疲劳加

剧,即安全系统频繁生成大量告警,降低了安全团队对1告警疲劳与传统降噪技术

真实威胁的警惕性从而忽视重要安全事件。其原因包在安全运营中，系统安全维护依赖于监控和检测

括攻击手段多样化、告警规则难以平衡、安全团队谨慎系统，通过收集、分析和处理日志数据来监视网络和系

态度和探针信息不一致等。生成式人工智能统活动,并生成告警以提示潜在的安全威胁。这包括

（ArtificialIntelligence，AI）为解决告警疲劳提供了新将原始日志数据转换为可操作的安全事件或告警，识

途径,通过深度学习和自我调整，生成式AI更准确地别异常行为和检测攻击迹象。例如，开源流处理框架

识别和过滤安全威胁，提高处理效率。生成式AI降ApacheFlink的复杂事件处理（ComplexEvent

噪,包括告警疲劳的原因、传统降噪技术、AI模型降噪Processing,CEP）功能通过定义和匹配模式，从海量日

技术、生成式AI赋能技术及结论。该方法的创新点在志中提取相关安全事件并生成告警[]。然而，日志到

于：一是基于微调数据和创新提示词结构的告警分析，告警的转化并不简单，误报导致的告警疲劳严重影响

通过独特的提示词设计和微调数据，提高了告警分析了研判效率和准确度。许多研究致力于减少误报以缓

的准确性和解释性；二是引人大型语言模型代理解告警疲劳，如减少错误操作、定期培训[2]，以及探查

(LargeLanguageModelAgent,LLMAgent)降噪系统,告警因果依赖以过滤告警数据[3]。本章讨论传统的过

.24.

专题：网络安全2024年第8期

滤告警噪声技术，探讨告警疲劳的原因及其带来的问告警降噪的核心目标是准确判断告警是否为误报，这

题,并介绍规则匹配降噪技术在解决告警疲劳问题中一过程可视为结构化文本数据的分类问题。通过机器

的应用及局限性。学习和深度学习技术，利用已有告警数据进行模型训

1.1告警疲劳的原因以及当前问题练，可实现自动化误报判断。这些小模型通常具有较

在网络安全领域，告警疲劳严重影响安全运营效快的推理速度和较低的资源消耗，适用于实时告警处

率，其根源在于持续攻击、正常行为误报和探针日志不理。整