摘要
恒脑安全智能体是在恒脑安全垂域大模型驱动下,结合智能体管理框架,具备零代码和低代码创建智能体能力,通过将各类安全工具、产品、系统作为插件引入,结合安全知识库和情报库作为补充,面向安全运营场景、数据安全场景,实现安全运营任务的自适应、自规划、自闭环,有效解决网络攻击威胁检测与分类、未知攻击检测、基于意图识别发现异常行为、实时监测网络流量异常、动态防御策略优化等,全方位强化网络安全态势感知能力。
在主要功能上,智能体管理框架实现任务自规划、执行与反馈,通过分层架构高效完成任务编排;恶意文件检测方法融合多维特征,精准识别恶意文件;样本学习方法提升上下文学习效率;推理加速技术满足速度需求,快速分析流量并响应威胁,全方位强化了网络安全的运营、管理和态势预测能力。
在应用效果方面,安全智能体数量破百,关键安全运营场景应用成效突出。经济效益上,项目已在多行业近百家单位落地,安全项目中人力成本普遍降低60%,节约成本数千万元,预示着安全大模型将成为网络安全行业的新增长点。社会效益上,提升了重大活动保障能力,为成都大运会、杭州亚运会、哈尔滨亚冬会等提供安全保障。引领安全行业变革,推动应用创新,缓解人才短缺,提升效率,促进了数字经济健康发展。
一、项目背景
近年来,网络安全领域,存在多项挑战,1)攻击者借助生成式AI、自动化漏洞挖掘工具,可在分钟级完成侦察、入侵、横向移动和数据窃取,传统依赖边界防御、特征库更新和人力值守的模式,因告警海啸、专家稀缺、处置链条冗长而陷入“防御者困境”;2)告警疲劳持续加剧,每天产生海量安全告警,安全团队在海量噪声中难以精准识别真实威胁,导致关键告警遗漏、响应延迟;3)资深安全专家稀缺,经验高度依赖个人,缺乏系统化沉淀与传承机制,一旦人员流失,组织即面临知识断层;4)安全研究成果落地周期长,传统“研究→设计→开发→测试→发布”需3个月,无法匹配攻击者迭代速度;5)整体安全成本居高不下,传统人工+产品模式需持续投入高端人才与复杂运维。
二、项目创新点
项目创新点按技术创新和业务创新两方面进行阐述,技术创新方面包括:
1.AI驱动的扩展安全智能和自动化管理框架
系统基于安全大模型实现了一套智能体管理框架,可实现任务的自规划、自执行和自反馈,结合不同的推理框架和同源异构大小模型,实现了安全运营的多场景覆盖,并可大幅提升推理解码在高并发情况下的系统性能,其中限制性解码效率是知名开源项目vLLM的3倍,占用系统资源下降95%(20倍),申请三项专利。
2.“自主规划+自我进化”智能体的持续交付方法
系统提出“人治→智治”范式,把安全领域高并发低时延实时安全场景从“人工写规则”迁移到“智能体持续交付”。
自主规划:为智能体配备与工程师等价的完整工具链——鼠标键盘、命令行、文本/代码编辑器、浏览器、数据库查询、MCP/A2A外部协议等,并通过Prompt工程+后训练使其在实时环境中拆解任务、调用工具、生成低延迟代码,从而摆脱单一模型逐条处理瓶颈。
自我进化:构建“智能体-知识库”双向闭环——运行中周期性总结规律写入长期记忆,动态更新知识库;引入自动纠错机制,依据执行失败及人工标注的错误案例反向修正规则与代码,实现持续学习、自适应数据漂移。
3.告警研判场景下“小模型快思考+大模型慢思考”协同推理范式
该范式以“快慢结合”的思路运转,先让7B以下的小模型扮演“快思考”角色,对每秒涌入的告警进行高吞吐初筛,精准抽取出payload、攻击要素、IP来源等结构化信息;随后,32B以上的大模型作为“慢思考”环节,仅聚焦可疑告警,通过Chain-of-Thought与Self-consistency等多步Prompt策略,在小模型提供的结构化输入基础上进行深度语义推理与交叉验证,既抑制大模型幻觉,又输出逻辑清晰、可追溯的研判结论,实现从毫秒级响应到分钟级深度分析的平滑衔接。
4.基于大语言模型和深度神经网络的恶意文件检测方法
本成果提出了一种基于大语言模型和深度神经网络的恶意文件检测方法,通过多维特征融合和先进的模型技术,实现了对恶意文件的高效和准确识别,申请两项专利。
业务创新方面:恒脑安全智能体正在推动网络安全行业智能体变革。交付模式上,从当前主流的交付安全产品革新为交付智能体+安全引擎,促使安全厂家轻工程研发重核心能力积累,缩短交付周期的同时也大幅提升安全运营效率和准确性。知识传承上,安全运营最佳实践由安全专家的个人经验转换为平台经验,以智能体形式无限复制,从而降低了安全运营技术门槛,安全知识也最大化保留。
三、项目推广与应用情况
基于恒脑的“小恒智聊”插件,已在安恒信息公司现有各类安全产品中集成,基于恒脑编排完成的官方智能体已达100个,覆盖了超过90%的网络安全场景和超过80%的数据安全场景,重点应用场景包括:网络告警深度研判、恶意软件检测、大型体育赛事网络安全保障、数据分类分级、钓鱼邮件检测等。
恒脑目前已在政府、金融、交通、运营商、电力、能源等关键信息基础设施客户及普通企业,当前落地合同用户数已超150家。
四、项目经济和社会效益
经济效益方面:恒脑安全智能体目前已在政府、金融、交通、通信、电力、能源等行业落地合同超百个。从智能体数量上看,目前由安全专家创建的各类智能体超100个,激活状态超80个;从覆盖安全运营场景上看,目前重保场景已覆盖超80%,日常安全运营超90%,主要集中在告警研判、事件调查、联动处置、分类分级、渗透测试、API安全和报告生成等方面。从效能提升上,以亚冬会为例,安全项目中人力成本普遍降低60%,节省资金达2500万元。
社会效益方面:
1)提升重大活动保障能力(发现和抵御境外组织攻击)
基于恒脑的“小恒智聊”安全助手已成功应用于国内重大赛事保障,包括2023年成都世界大学生夏季运动会和2023年杭州第19届亚洲运动会。
2、提升现有安全产品智能化水平
目前恒脑已深入公司包括资产管理、攻击面管理、漏洞管理、威胁狩猎和应急响应等在内的核心产品,截止到2024年已广泛应用于上万家各类企业,为数十万各类IT信息化系统的安全运营提供保障,保护了数千亿规模的数字资产,为我国数字经济健康发展保驾护航。
3、引领安全行业变革
恒脑正在推动网络安全行业的革新与创新。它不仅能分析海量非结构化文本,识别潜在的安全威胁,还能通过机器学习迅速发现新的攻击模式,并建立相应的检测模型。此外,通过强化学习进行红蓝对抗测试,发现系统漏洞,并基于上下文进行高效的网络安全决策、风险评估及资源分配。自然语言处理能力降低了对运营人员的技术门槛,缓解了安全领域的人才短缺,同时提升了运营效率,实现了成本节约与效能提升。随着AI在安全领域的深入应用,市场格局也将随之变化,那些能快速整合AI技术与安全能力的企业将在竞争中脱颖而出。
4、促进数字经济健康发展
随着数字经济在国家发展战略中的重要性不断提升,政府和监管机构对网络安全的要求也日益严格。恒脑的应用为企业提供了强有力的网络安全保障,促使它们加大网络安全投入,从而为数字经济的发展扫清障碍。


完成单位:杭州安恒信息技术股份有限公司
完成人:王欣、李华伟、孙思明、黄旗亮