光大证券通过引入安全大模型，构建“1+N”的安全检测体系，显著提升了网络安全入侵检测与响应能力。该体系结合大模型技术与现有安全设备，有效检测0/1DAY漏洞攻击，并提高了安全运营人员处理告警信息的效率。实践成果表明，安全大模型在金融行业具有实际应用价值，为构建高效安全体系提供了新思路。

💡光大证券构建了“1+N”安全检测体系，其中“1”是大模型技术，对现有安全设备采集的原始数据进行研判；“N”是指现有检测体系，识别和拦截已知网络攻击，两者协作提升检测能力。

🛡️该体系成功捕获了10起0/1DAY漏洞攻击，并识别出23个高价值事件，大幅提高了安全运营人员处理告警信息的能力，验证了安全大模型平台的实际应用效果。

🔍安全大模型通过对原始流量审计日志进行自动研判，研判告警准确率在98%以上，同时成功检出高混淆攻击、弱特征攻击事件、0/1DAY共计33个，研判效率提升至原有的400%。

🚀未来，光大证券计划基于统一的物理资源底座，不断扩展流量检测、网络安全运营等维度的能力，并探索“统一采集—并行检测—统一呈现”的落地模式，实现安全大模型技术的实践落地。

原创 光大证券 2025-05-13 08:45 广东

大模型是当下科技创新的关键驱动力

光大证券股份有限公司（以下简称光大证券）通过系统性网络安全建设，构建了传统网络安全纵深防护体系，涵盖从防火墙到态势感知系统，再到PC防病毒和服务器主机安全等各个层面。然而，在实际的网络攻防演练中，实践发现这些传统的防护手段对于高对抗性的网络攻击，尤其是0/1DAY漏洞利用攻击存在检测效果和研判效率的不足。

为了进一步增强网络安全入侵检测与响应能力，在现有的纵深防御体系基础上，引入了大模型技术来构建“1+N”的安全检测体系。其中“1”指的是大模型技术，对现有安全设备采集到的原始代码数据像一个安全专家一样进行逐条研判，将结果赋能现有检测体系。“N”则是指现有的检测体系，该体系可以通过多种安全设备的检测规则来识别并拦截超过90%的已知网络攻击，并且作为有效的数据采集点部署在网络中。通过“1+N”模式的相互协作与补充，有效提升了网络检测能力和告警研判效率。在一个高强度对抗演练中，这一新体系成功捕获了10起0/1DAY漏洞攻击，并识别出23个高价值事件（其中包括高对抗事件11起、弱特征事件10起、违规攻击事件2起），同时大幅提高了每个安全运营人员每天处理告警信息的能力，从而验证了安全大模型平台的实际应用效果。

作为典型的证券公司，尽管公司在网络安全防护上已经部署了包括态势感知平台、WAF防火墙等在内的多种传统安全设备，并且有专门的安全工程师负责日常监控和响应，但这些措施在面对高复杂度的网络攻击时仍显不足。一方面，现有网络安全机制主要基于预设的安全规则库来识别潜在威胁，这使得对于采用新型或变异攻击手法的恶意行为难以有效防御，容易出现漏报的情况；另一方面，随着业务规模不断扩大以及攻击手段日益多样化，每天产生的告警数量庞大且种类繁杂，即便是经验丰富的安全团队也很难做到对每一个告警进行深入分析与及时处理。因此，即便在网络安全领域投入了大量资源，但由于上述原因，在实际操作过程中发现，所取得的安全成效往往低于预期目标。为了解决这些问题，需要探索更加智能化、自动化的解决方案，以提高检测精度并优化事件响应流程，从而构建一个能够适应快速变化威胁环境的高效安全体系。

基于安全大模型技术采集现有安全设备数据进行分析，可以实现对高对抗攻击，甚至是0/1DAY利用攻击的有效检测和研判。同时将大量告警当中少量需要真正关注的安全事件呈现给安全运营人员，并协助其进行研判和处置。系统架构分为数据采集端和安全大模型平台端，数据采集端为现网中的网络安全设备，目前主要通过态势感知平台和终端安全软件进行流量数据采集，安全大模型平台端为专有显卡服务器，同时搭载完成训练的安全大模型对采集到安全数据进行分析，从而形成现有安全体系的有效补充。

本文实践目标是基于安全大模型实现高对抗攻击（如弱特征、高绕过、0/NDAY漏洞利用）有效检测的实践，完成现有安全检测体系能力的补充，为安全大模型在金融行业的实践落地提供一些参考，具体实践目标如下：

1、基于安全大模型增强流量检测能力与效果。通过现有流量检测体系获取的大量的HTTP流量、日志、代码等数据对初始模型进行预训练，使得检测大模型具备了HTTP流量理解能力、代码理解能力、攻防对抗理解能力和安全常识理解能力，类似一个懂攻防、识代码，同时对公司业务有一定了解的“虚拟安全专家”。

2、基于安全大模型提升自动化研判和响应效率。模型训练完成后，对现有的流量检测体系进行“赋能和补漏”，一方面会保留原有的流量检测告警，另一方面大模型会将自身研判产生的告警进行补充。同时安全工程师可通过安全大模型平台直接对数据包进行解读，通过攻击对话框完成事件的研判，大幅提升检测与响应的效率。

3、基于统一的物理资源底座，完成安全大模型能力的不断生长。基于公司网络安全的实际需求，在统一物理底座的基础上，不断扩展流量检测、网络安全运营等维度的能力。

4.1实战目标

在实战攻防过程中预期达到如下目标：

1） 形成对现有安全设备检测能力的有效补充，能够检出攻击队使用的各类高对抗攻击，提升整体的网络安全监测响应能力；

2） 对现有的安全设备产生的误报进行纠正，降低需要关注的告警数量；

3） 实现网络安全运营的“提质增效”，安全运营人员借助网络安全大模型能够快速对安全告警进行二次研判和处置。

4.2部署环境和拓扑

通过新部署了3台数据标准化平台和1台安全大模型设备，同时通过复用原有安全设备如态势感知平台、终端安全平台，进行原始安全数据的采集。

图1 光大证券安全大模型部署逻辑拓扑

4.3典型成果

4.3.1成果1：用友反序列化远程代码执行0day漏洞攻击的检测

概况说明：网络安全大模型平台在演练期间，持续对流量探针采集到的原始流量日志进行解读分析，并发现一起JAVA反序列化攻击事件，被攻击资产为蜜罐。进一步对此攻击进行人工研判确认，该攻击为用友反序列化远程代码执行0day漏洞。技术实现过程如下：

过程一：探针采集到原始数据包并上报。

图2 态势感知平台采集原始流量数据

过程二：网络安全大模型平台不基于检测规则，而是像专业网络安全专家对原始的数据包进行专业化解读。

图3 网络安全大模型对数据包进行解读

过程三：原始数据包经过gzip算法加密，安全大模型平台自动使用gzip算法解密后还原出关键payload，同时判断其具备java反序列化漏洞攻击特征。

图4 网络安全大模型对数据包进行研判分析

过程四：大模型平台确认为java反序列化攻击后，形成告警同步到现有安全运营平台，作为现有安全检测体系的能力补充。

图5 安全大模型对攻击形成告警并同步到现有安全运营平台

过程五：通过人工进行研判确认，确认为用友反序列化远程代码执行0day漏洞。在7月22日通过互联网及漏洞平台进行查询，并未发现该漏洞并未披露，在7月26日，此漏洞才被正式公开为高风险漏洞。

图6 在漏洞平台上对此漏洞进行查询

4.3.2实例2：用友NC Cloud blobRefClassSearch fastjson反序列化漏洞1day的检测

概况说明：安全大模型平台在演练期间，持续对流量探针采集到的原始流量日志进行解读分析，并发现一起JAVA反序列化攻击事件，被攻击资产为蜜罐。进一步对此攻击进行人工研判确认，该攻击为用友NC Cloud blobRefClassSearch fastjson反序列化漏洞0day攻击。技术实现过程如下：

过程一：探针于采集到原始流量审计日志并上报。

图7 态势感知平台采集原始流量数据

过程二：安全大模型平台不基于检测规则，而是像专业安全专家对原始的数据包进行专业化解读。

图8 安全大模型对数据包进行解读

过程三：大模型研判发现用友NC Cloud中某组件使用了fastjson框架，攻击者尝试利用java.net.InetSocketAddress类去解析dnslog域名。

图9 安全大模型对数据包进行研判分析

过程四：大模型平台确认为java反序列化攻击后，形成告警同步到现有安全运营平台，作为运营平台的能力补充。

图10安全大模型对攻击形成告警并同步到现有安全运营平台

过程五：通过人工进行研判确认，此攻击为用友NC Cloud blobRefClassSearch fastjson反序列化0day漏洞利用，在7月23日通过互联网及漏洞平台进行查询，发现该漏洞为近期新披露漏洞。

图11 在互联网上对此漏洞进行查询

4.4结论

公司为整体评估安全大模型的整体效果，设定了检测精准率、高威胁事件检出、研判效率三大维度对安全大模型的实际效果进行评估，整体结论为：

在整个攻防演练期间，安全大模型通过对原始流量审计日志进行自动研判，研判告警准确率在98%以上，同时安全大模型成功检出高混淆攻击、弱特征攻击事件、0/1DAY共计33个，网络安全人员通过安全大模型对告警进行解读，从原有的完成500+告警研判/天增加至2000条以上，研判效率提升至原有的400%，安全大模型平台上线后对现有安全防护体系的检测能力实现有效提升。

表1 安全大模型整体效果评估统计表

5.1优化大模型在安全检测垂直领域能力

大模型是当下科技创新的关键驱动力，但在网络安全检测领域，尤其是金融行业的网络安全方面，仍存在较大的技术和应用空白。大模型时代，数据的丰富程度和数据量是决定最终模型效果的重要因素之一，公司自身长期积累了大量的行业级的流量样本，IP、URL、漏洞等情报数据，为大模型提供了不同类型的真实数据，配合安全人员研判知识，对业界优秀大语言模型基座进行二次预训练和微调，构建安全检测大模型。安全检测大模型能够发现混淆、编码类高绕过流量，并针对Web漏洞利用攻击有良好检出效果，具有较强Web 0day漏洞检测能力，同时针对攻击是否成功的研判具有较高准确率。

图12 光大证券GPT平台对攻击载荷的解读展示

5.2完成大模型技术在金融行业安全检测领域的落地

理论研究到技术落地之间往往存在着很大的鸿沟，既不需要对现有安全架构进行大幅改造，同时又能很好地赋能现有安全体系成为此次实践的重点，最终探索出“统一采集—并行检测—统一呈现”的方式，实现大模型技术在公司的成功实践落地。具体落地模式为：流量探针统一采集流量数据，并传输至传统流量检测平台与大模型平台并行进行检测，将检测结果统一传输至公司的网络安全运营监测平台进行聚合、呈现。本文在大模型技术研发创新的基础上，为行业创新落地提供了良好的实践基础和案例。

图13 光大证券GPT平台整体检测流程

5.3基于大模型技术实现安全运营“提质增效”

网络安全领域的提质增效一直是各大金融公司长期关注的课题。一方面，网络安全设备的告警需要大量的安全工程师进行研判；另一方面，部分告警对安全工程师的专业能力提出了很高的要求。这两者叠加导致金融企业在日常安全运营中的成本非常高。而安全大模型更像是一位“既懂安全，又懂代码开发”的安全专家，它能够对原始的流量数据进行解读，判断代码的攻击意图，从而实现大量告警的自动化处理，仅将少量真实的安全事件传递给安全工程师进行二次判断。此外，网络安全人员可以通过安全大模型平台使用自然语言进行持续对话研判，从而显著提升日常安全运营的效率。

图14 光大证券GPT平台自动化处理告警的展示

5.4基于大模型底座完成网络安全能力的叠加与扩展

目前通用大模型在细分网络安全领域的能力存在不足，因此此次在探索实践的过程中，基于统一、通用的大模型基础算力底座，在此底座上不断扩展各类网络安全应用能力，目前已完成检测能力与网络安全运营能力的扩展，后续还将在此底座上扩展邮件安全及数据安全能力，最终实现一个底座，多种垂直领域网络安全能力的不断生长。

证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案，为大家分享一线安全规划、运营、建设的心得和实践经验。

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

投稿邮箱：info@sec-un.org

阅读原文

跳转微信打开