大模型如何辅助EDR进行告警分析？我们引入了一款研判机器人

四大核心功能

助力告警研判提质增效

在探索大模型技术的过程中，玄武实验室构建了集数据、训练和评估为一体的大模型研究平台，并基于此平台对告警研判机器人的技术方案进行了30余轮的技术迭代，实现了一系列创新性的突破。这些成果涵盖了多个关键技术领域，包括创新的训练数据生成算法、数据分布优化策略、Prompt工程、微调和强化学习算法以及模型能力评价体系。

基于这些突破性成果，玄武实验室最终完成了告警研判机器人的技术方案，并申请了相关发明专利。

EDR告警研判机器人对告警的分析功能包括：多维度告警分析、误报可能性量化、自动调查取证、结论推理。以多维度告警为例，安全软件将自己添加到启动项中是一种常见行为，这是因为安全软件通常需要在计算机启动时立即运行，以便提供实时的防护；然而，恶意软件也常常会采取同样的行为以实现持久的攻击，这就导致检测规则可能会将安全软件误认为恶意软件而产生误报。

为了解决这一问题，研判机器人结合告警中的资产信息、事件信息、进程树和告警规则等多种细节，利用大模型的安全知识和推理能力进行多维度分析。研判机器人会考虑各种信息，如可执行文件的路径、签名来源、使用的命令行参数，以及进程树的调用关系等，并以自然语言的形式向用户解释这些信息的常见与异常之处。这样，用户就能更清楚地了解哪些信息是正常的，哪些可能表明存在潜在威胁。

研判机器人的研判过程示例

如上图，在告警研判的例子中，EDR发现主机上的一个软件“API Fox”尝试修改启动项，因符合恶意软件的行为特征所以上报了告警。研判机器人首先根据先验知识从可执行文件路径、进程签名、进程参数等角度分析告警信息中是否存在可疑情况，并判断此告警误报可能性很大——理由是修改注册表、添加启动项是API Fox的常见行为。随后，研判机器人提供了一些方便运维人员调查取证的建议，并开展了自动调查取证。研判机器人通过和EDR和运维人员配合，获取了相关信息后，最终给出研判结论：告警为误报。

三大特性

解决部署和使用成本问题

企业IT架构复杂，牵一发而动全身，对于新引入一个技术方案，多数企业IT部门也会优先考虑部署成本、易用性、可用性的问题。

玄武实验室的告警研判机器人有几大特性：私有化部署、专业性强、吞吐量高。

私有化部署：告警信息中往往包含资产的IP地址等敏感信息，部分企业担心上传云端分析存在隐私泄露的安全隐患。我们的模型支持私有化部署，可以解决企业这方面的担忧。

专业性强：分析机器人能够覆盖20余条EDR的告警规则。经过评估，告警研判机器人与玄武安全专家分析结果的一致性高达95.3%。分析机器人具备的多种专业能力，能够为企业的安全专家和运营人员提供强大助力，降低告警分析的技术门槛，从而节省组织的安全运营成本。

吞吐量高：研判机器人使用的模型参数量小、推理速度快、成本更低，单张消费级显卡部署即可实现至少“8W条告警/天”的吞吐量。低成本、高吞吐量意味着企业将可以在成本可控的情况下，无需担心被海量告警淹没，让真正的威胁无处遁形。

目前，玄武实验室已经将相关知识基准SecEval开源（点击【阅读原文】访问）。

玄武实验室拥有专业的“攻防+AI”团队，发布过多项在国际上有广泛影响力的安全研究成果。实验室在ChatGPT发布之前就已经开始研究AI在安全领域的应用，并在ChatGPT推出后，进一步加深了对大模型相关技术的研究。

未来，腾讯安全也会对大模型进行更加深入的研究，从数据、算法和评估等多个角度针对知识注入、指令微调等技术方向进行前沿探索，并将这些先进研究成果不断地分享给大模型研究社区，推动整个领域的持续创新和发展。腾讯安全也会持续关注网络安全领域的痛点需求，如渗透测试、漏洞挖掘等，并持续研发新的技术方案。

如果您对安全大模型、安全告警分析等领域有需求，诚邀您与我们联系，以便探讨深入的合作机会。联系方式：[email protected]。