2025年安全大模型发展路径洞察与实践报告

安全大模型发展路径洞察与实践2025年3月CONTENTS / 目录360安全大模型落地实践现阶段如何做好安全大模型？大模型的“快慢思考”大模型的“快慢思考”大语言模型的“理解力”DeepSeek-R1在数学、代码、自然语言等任务上性能可比肩OpenAI-o1模型正式版。在AIME 2024数学基准测试中，DeepSeek R1得分率79.8%，OpenAIo1得分率79.2%。在MATH-500基准测试中，DeepSeek R1得分率97.3%，OpenAI o1得分率96.4%。“统计性”理解•在依靠统计获得的文字符号之间的关联关系，是一种语言层面的表象关联1“本质性”理解•人类在抽象知识层面依据内容与客观逻辑形成的关联2当前大语言模型表现的“理解力”相通之处：随着语料的丰富，逐步逼近“本质性”理解存在差异：事实性知识、反思型推理等大模型的“快慢思考”参考诺贝尔经济学奖获得者、心理学家丹尼尔·卡尼曼（Daniel Kahneman）在其著作《思考，快与慢》中提出人类大脑处理信息的不同方式。2024年3月，在360安全大模型3.0发布会上，圈内首次公开引入认知心理学的快、慢思考，来说明大模型本身到底擅长做什么、不擅长做什么？大模型的“快慢思考”大模型“快思考”• 从大量标签（经验）数据中找出统计性规律，从而解决同类问题的过程，我们称之为 “快思考”；（一般是快速的、不太耗费资源的、内隐的（无需反省），也是很难控制或修正的）大模型“慢思考”• 基于“本质性”理解的关联分析过程• 一般涉及复杂的计算过程，需要反思、多步骤推理• 整体是缓慢的、耗费资源的、不容易出错、存在控制• 可能需要结合外部工具、知识调用等2“快思考”“深度思考”基于统计性理解，快速生成“结果”+生成“过程”“慢思考”本质性理解、深度反思、多步推理，消除“快思考”的“幻觉”大模型“深度思考”• 在问题和答案之间加入大段推理过程，通过推理时计算不断提升生成答案的准确性，我们称之为 “深度思考”（类似deepseek-r1,GPT-o1/o3）大模型擅长做什么？目前大模型的价值是很好的模拟了人脑的“快思考”人脑要达到一个比较好的“快思考”效果，需要细分场景，然后进行反复训练，才能达到快速、潜意识判断。“快思考”能力乒乓球训练人脸判定情绪人脑“快思考”能力 大模型概率性关联关系自回归序列生成通过海量数据训练，做文字符号层面的统计处理，从数据中找出统计性规律，在概率的意义上掌握学习样本所反映的隐含知识，并以此为基础来生成内容。推理大模型擅长做什么？推理大模型（GPT-o1/o3、DeepSeek-R1等）通过“深度思考”能力，向“慢思考”更近一步“快思考”能力“慢思考”能力“知道”：概率性关联关系“理解”：本质性关联关系“深度思考”能力Long CoT序列推理时计算推理大模型的价值是模拟了“深度思考”，其使得模型的推理向“慢思考”更近了一步。大模型的“深度思考”试图突破在“快思考”阶段，模型训练数据的局限，寻找能力增长的“第二曲线”。结果导向的强化学习方法……大模型当前大模型距离“慢思考”还有多远？依靠当前大模型结构，尚未达到“本质性理解”大模型不擅长“慢思考”任务知识的本质性理解调动注意力分析思考速度慢注重规划和反思准确性高人脑擅长“慢思考”……“慢思考”的本质：是对事物本质性理解，需借助事实性知识，通过多步推理、反思，是“深思熟虑”的结晶大模型的“深度思考”不是真正的“慢思考”：其并没离开语言模型的框架，依然是自回归单向序列生成在简单任务上，大模型生成的基于表象的统计性理解已经逼近人类的“慢思考”；但在复杂任务上，“快思考”“慢思考”就会产生明显差异大模型不擅长“慢思考”不擅长长链路任务规划不擅长逻辑推理不擅长事实认知不擅长实时反思……理想很丰满，现实很骨干现阶段如何做好安全大模型？什么是“真正”的安全大模型？安全大模型干得了通用大模型干不了的安全任务，EDR行为端到端研判、网络流量端到端研判……异常行为检测、安全告警降噪、威胁组织归因……创新模型结构，优化推理程序，通过专项训练手段，能够“学习”海量安全数据“主任医师”通用大模型的安全领域应用“博学人+医学书”通用大模型：关键信息提取、归纳总结、知识问答……安全知识问答、告警结构化解读、报告总结生成……自然语言理解、知识库召回，大模型对召回内容进行总结输出做安全大模型的必备条件海量高质量安全数据创新优化模型底层深度融合安全场景做安全大模型的整体思路“快思考”任务：针对专项场景生产安全数据语料，进行模型结构优化，创新模型训练来完成“慢思考”任务：现阶段，Agentic workflow+安全大模型，实现特定场景的“慢思考”效果以安全大模型为核心，结合外部知识和工具，增强智能体规划、反思能力，完成复杂任务。“慢思考”任务：现阶段用Agentic workflow打造意图识别缺槽反问任务拆解指令库专有知识库互联网知识库Agent智能体短期记忆长期记忆搜索实时信息数据请求业务系统规划（Planning）知识（Knowledge）记忆（Memory）工具（API）“快思考”任务：大模型场景化专项训练面向网络告警端到端研判、终端行为端到端研判、钓鱼邮件研判等快思考任务，生产海量专业标签语料，针对性创新训练模型分区训练模 型评 估效 果评 测模型发布360海量安全训练语料（终端行为数据、网络告警数据等）360安全大模型（自研模型、DeepSeek等）任何大模型基座（自研模型、DeepSeek等）模型结构调整360安全大模型落地实践安全大模型整体落地实践路线海量高质量安全语料生产安全大模型“分区训练”12海量安全语料自动化生产平台安全威胁行为生成工具360XOS系统语料批量转换工具360安全大数据底座海量高质量训练语料大模型分区训练模 型评 估效 果评 测模型发布评测对比模型参数分区调整360海量安全训练语料360安全大模型海量安全数据、自研模型架构、专项场景训练、专家经验沉淀、全线产品赋能“快思考”+“深度思考”落地方法安全Agentic Workflow赋能产品3终端安全产品流量检测产品本地安全大脑核心安全产品360安全大模型系统任务编排引擎记忆存储监督评测引擎任务生成引擎指令调度引擎执行反馈语言中枢规划中枢安全大模型（CCoE）意图识别文本摘要语言翻译判别中枢道德中枢记忆中枢……“慢思考”落地方法安全数字专家安全数字专家……海量安全语料生产网络威胁行为生成终端威胁行为生成终端威胁行为捕获网络威胁行为捕获360全球独有的样本库•真实样本320亿•每天新增1300万+•恶意样本52亿360高质量主防日志库•十多年运营积累•高精度主机行为日志安全威胁行为生成与捕获360XOS系统威胁行为日志语料批量转换威胁全链行为序列多维标注终端威胁行为序列终端安全语料360一线实战化网络攻库•原始攻击流量•网络告警日志数据•网络文件数据多维标注网络威胁行为系列网络安全语料360安全语料自动化生产平台其他数据•网络资产数据•威胁情报数据•漏洞数据海量高质量安全语料多维标注终端+网络行为序列全链安全语料…………终端威胁行为全链路生产……网络威胁行为全链路生产……“多专家协同（CoE）” 大模型