近日，國家計算機網絡應急技術處理協調中心發布了2024年人工智能技術賦能網絡安全應用測試結果，安天瀾砥實驗室自研的瀾砥威脅檢測垂直大模型（VILLM）在惡意軟件檢測場景排名第二。

2024年人工智能技術賦能網絡安全應用測試活動，由中央網信辦網絡安全協調局、中國科學院網信辦、中國人民銀行科技司指導，國家計算機網絡應急技術處理協調中心聯合中國網絡空間安全協會、中國科學院信息工程研究所、國家信息技術安全研究中心、中國網絡安全產業聯盟、、長安通信科技有限責任公司舉辦，共有來自47家企事業單位的82個團隊報名參加。

三名安天工程師化名為“影子獵手”，代表安天參加了初賽、復賽和專家評審答辯。安天工程師依托安天自研的瀾砥威脅檢測垂直大模型（VILLM）用于惡意軟件檢測的獨特優勢，及現場測試的優異成績，獲得專家一致認可。瀾砥垂直大模型屬于生成式模型，不受傳統分類模型的分類數量限制，具備更強的理解能力和分析能力。在測試中，安天將瀾砥垂直大模型部署在華為國產化昇騰硬件平臺上，實現了與硬件廠商的適配協作，同時使用該模型的檢測能力，實測提升了對于新型未知威脅的檢測效率，降低了誤報率。

瀾砥垂直大模型基于安天賽博超腦20余年積累的海量樣本特征工程數據訓練而成，本次測試應用的模型，僅采用VILLM Base數據集的千分之一（大約20TB）進行訓練。訓練數據包括文件識別信息、判定信息、屬性信息、結構信息、行為信息、主機環境信息、數據信息等，支持對不同場景下向量特征進行威脅判定和輸出詳實的知識理解，形成應用不同需求和場景的多形態的檢測方式，提升后臺隱蔽威脅判定能力，進一步為安全運營賦能。

通過在產品中加裝該模型，應用模型檢測響應，可有效提升端點產品、流量產品、分析產品和態勢感知等產品的場景化檢測能力與知識輸出能力，支撐對威脅的理解和響應處置。

▲ 瀾砥威脅檢測垂直大模型基本運行機理

為了更好地處理二進制數據和執行體分析的特殊需求，安天設計并實施了特定的模型架構。通過調整和優化模型的內部結構，提高了模型對二進制文件的理解能力。通過引入能夠更有效處理二進制數據的編碼機制，并調整模型的注意力機制，使其更聚焦關注二進制數據中的有效信息。

同時，安天對模型進行特定領域的預訓練和微調，使模型在處理任務時更加精準有效。通過使用與網絡安全相關的大量數據集進行預訓練，模型能夠學習和理解與安全威脅相關的復雜模式和特征。此外，通過在特定的威脅檢測任務上進行微調，模型的性能和準確性得到進一步提升。

除執行體樣本對象外，瀾砥垂直大模型還專門適配威脅對抗和安全運營場景，特別改善了對強時序數據對象（如日志、網絡數據流）的檢測能力。在不同算力環境、不同網絡聯通或隔離條件下，既能發揮傳統反病毒引擎體系的高速、精準、可彈性定制剪裁的優勢，也在威脅的檢測識別能力方面具有良好的泛化效果和魯棒性。

基于“疊加創新”的設計理念，瀾砥垂直大模型在賽博超腦側與安天特征工程和知識工程融合，提升了特征工程和知識工程運行質量。在客戶側，通過生成式大模型技術，為威脅檢測和分析產品提供更強的威脅鑒定能力和威脅知識輸出能力。安天的端點產品、流量產品、分析產品和態勢感知等產品可加裝該模塊，進一步解決人工智能在數字安全領域的應用需求，協助客戶有效應對數字智能時代的安全挑戰。

考慮到當前的新的算力危機背景下，絕大多數客戶本身難以承載獨立的GPU算力體系建設成本。安天針對瀾砥垂直大模型，提供了接入賦能、低算力條件部署和獨立算力建設三種方案。所需的算力顯著低于常見開源模型，在能耗和使用成本方面具有明顯優勢。

瀾砥垂直大模型是安天在AI驅動網絡安全技術研發創新方面的重要突破，安天將持續深耕網絡安全核心技術創新，為推動網絡安全領域的智能化和自動化做出更大貢獻。