2024年醫院新興技術創新應用典型案例征集活動經行業專家背靠背盲審以及終審，共選出20篇典型案例，將陸續刊登出來，以饗讀者。

1 網絡安全現狀

　　2022年底，以ChatGPT為代表的的生成式人工智能取得了長足進展。相比傳統機器學習、深度學習算法，生成式人工智能一般具備算法模型參數大（數十億以上）、訓練數據量級大、訓練推理算力大三方面的特點。

　　網絡安全領域的各類威脅、樣本、日志、事件，同樣可以通過生成式人工智能進行學習訓練、推理研判，并且微軟、OpenAI、谷歌、CrowdStrike、斯坦福大學、清華大學等機構的大量學術研究和工程實踐證實，生成式人工智能相比傳統機器學習和深度學習算法，具有更高的威脅檢出率，更低的誤報率，更強的意圖理解和內容生成能力，甚至具備自主聯動情報、沙箱、安全設備等能力。生成式人工智能在網絡安全中的應用，為網絡安全的威脅檢測、事件研判、溯源處置，甚至應用開發安全、數據安全，都具有巨大助力。

　　當前，上海市肺科醫院網絡安全已完成云網端體系的安全建設，但在面對黑客基于ChatGPT等工具的攻擊時現有安全體系仍然有些力不從心。為了應對這種挑戰，上海市肺科醫院引入網絡安全垂直領域的生成式人工智能大模型，提升網絡安全運營處置能力。

2 醫院網絡安全自主值守體系搭建

　　上海市肺科醫院在原有云網端安全運營體系之上再次構建GPT能力，通過XDR（可擴展的檢測與響應平臺）接入現有網絡側和終端側的安全流量日志，做網端告警的聚合分析。同時通過“安全GPT”賦能XDR安全平臺，提供深度威脅檢測框架、自然語音交互的安全運營和基于思維鏈的自主值守，并針對自主運營值守和研判處置在醫院深入落地實踐。

　　網絡安全領域的生成式人工智能“安全GPT”基于面向安全行業的垂直領域應用，構建具備網絡安全常見知識和最佳實踐流程的專用大模型?；谧匀徽Z言的交互式安全運營，依托于云端強大的算力、架構、安全實踐的能力，結合實際場景和安全數據進行預訓練，構建安全大模型基座。通過采集來自端、網端的海量網絡安全威脅數據，以及其他合法來源的網絡安全百科知識等，進行數據清洗、數據擴充、數據配比融合，形成高質量完備的安全行業數據。經過行業數據進行增量預訓練和指令微調，打造具備安全問答、上下文理解、產品數據聯動、服從合規原則的安全原始大模型。

圖1 整體架構圖

3 技術亮點

　　自主運營值守基于場景化運營工作實踐經驗，將資產梳理、加固預防、監測研判、調查處置、聯動處置、情報查詢及溯源總結等方面的工作能力流程化，并能使安全專員可以通過自然語言與安全大模型進行交互，通過快速問答的方式，調動對應的工具、人員和流程完成安全運營的輔助駕駛，提升安全運營效率，將安全響應單安全事件的處置時間壓縮到1分鐘以內，提升網絡空間安全對抗響應和處置效能。安全GPT可以提供基于思維鏈的運營值守和研判處置能力，進行托管式值守，支持7x24小時實時在線自動研判，代替安全運營人員做資產、漏洞的排查和管理等工作。

　　具體應用技術如下：

　　（1）大模型自主值守研判技術

　　值守總覽提供當前自主值守的研判處置結果統計信息，包括自有設備與第三方設備產品接入數量展示，可點擊跳轉具體展示界面進行查看與配置，同時可顯示離線&告警設備情況、系統資源狀態。同時，值守總覽還包括值守狀態整體監控，可基于時間自定義篩選，支持展示各類組件的告警數量、GPT告警消減后的有效告警數量與自動處置告警數、人工決策告警數，點擊后可跳轉告警值守中心查看詳情。同時可查看告警效應率、累計處置威脅實體數、待決策告警數、GPT告警消減率和累計節省研判用時等。

　?。?）基于思維鏈的大模型自主告警研判技術

　　告警值守中心支持實時告警分析，可實現思維鏈處置過程追溯，24小時不間斷自動分析、實時值守，可結合數據包解讀、周期檢測、資產分析、威脅情報分析和基礎信息分析等維度輸出研判處置思考過程，針對人工決策告警支持自動給出具體處置建議，針對自動處置告警支持直接實現自動處置并展示處置狀態。

　　（3）攻擊行為分析和威脅定性技術

　　在面對海量告警的時候，運維人員無法對告警進行一一研判，可能導致關鍵告警被忽略，這其中大部分告警屬于低價值的業務誤報、自動化掃描，這些告警量大、價值低，嚴重拖累處置效率，真正需要關注的病毒類、手動攻擊告警量反而占比少。威脅定性就是通過業務誤報識別、病毒行為識別、人機行為識別及結合云端強大的威脅情報庫，對告警進行類型定性，以達到更高的處置效率。

　　（4）基于威脅圖譜的攻擊過程還原技術

　　首先通過Provenance Graph溯源圖對海量數據中時間、資產、網絡、情報等多因子進行關聯，形成初始的攻擊故事鏈——威脅圖譜。

　　其次基于告警統計、時序、語義、情報、關聯等維度上下文，結合攻擊成功檢測，精準判斷攻擊是否已經成功。對告警進行自動化分類，并評估其威脅等級，降低誤報對安全運營人員的干擾。針對不同場景，靈活采用了強關聯或弱關聯，通過ATT&CK技戰術因果關系、時間順序、威脅場景等關聯，發現最合理的數據關聯關系，幫助安全運營人員高效快速的研判威脅。

　?。?）自動化響應處置技術

　　應用SOAR技術架構，根據不同的安全事件可自行靈活地編排不同的處置流程，將安全運營相關的技術、流程和人員等各種能力整合在一起工作。

　　當安全組件中產生安全事件并同步到安全事件編排與響應組件之后，會在響應中心的安全事件列表產生對應的數據，此時可觸發劇本的執行，并將待執行任務同步到應用管理中，應用管理通過劇本中具體的動作以及應用資源，通過對應的調用方式，例如API、SSH、命令行等，調用具體的實例執行動作，并最終由任務管理將動作執行的情況同步到事件列表中完成事件狀態的更新。

　?。?）基于大模型的值守研判報告生成技術

　　安全GPT自主值守過程產生的安全報告將集中展示在報告中心中，支持按照自定義時間生成報告，可基于日報、周報、月報、自定義等維度篩選查詢報告。報告列表展示上，屬性內容包括按照報告名稱、報告創建時間、時間范圍、報告類型、操作等維度展示報告詳情。報告內容上，包含資產總覽、威脅總覽（含安全事件分析、影響資產分析與調查、安全告警值守等內容）。

4 應用效果

　　截至本文編纂時間，現有自助值守系統已為上海市肺科醫院守護超過245天，分析網絡側及終端側各類告警超72178條，有效告警超426條，其中已自動處置341條，需人工決策告警85條。GPT告警消減率99.41%，累計節省研判用時1203小時以上。

圖2 值守總覽

　　告警危害等級分布如下圖所示，其中嚴重告警占比1.22%，高危告警占比21.81%，中危告警占比23.96%。

圖3 危害等級分布

　　告警攻擊類型分布排名前五的分別為：遠程執行、違規訪問、釣魚網站、遠程控制行為以及隱秘隧道，攻擊類型分布較多，呈分散態勢。

圖4 攻擊類型分布TOP5

5 總結

　　本院人工智能技術在賦能網絡安全并實現自主值守方面的實踐效果顯著，通過運用機器學習和大數據分析技術，AI可以實時監控和深度挖掘網絡流量、系統日志等海量數據，模擬專家的決策思維鏈，對潛在的安全威脅進行智能研判。AI能自動識別異常行為模式，如未經授權的數據訪問、非正常時間段的操作行為等，并根據預設的風險評估模型，快速準確地判斷出可能的安全風險等級，及時預警。同時在自動處置層面，一旦發現外網安全威脅或事件，AI系統能夠立即啟動自動化響應機制。通過自我學習和訓練，不斷提升對新型攻擊手段的識別能力，實現對外網攻擊的精準定位與攔截。同時，對于已知類型的威脅，AI可以基于策略自動隔離受影響的系統，阻斷病毒傳播路徑，或封堵外網惡意IP，保障業務正常運行。

　　整體來看，人工智能在醫院網絡安全領域的應用，不僅減輕了醫院運維人員的工作壓力，提升了工作效率，也極大增強了醫院網絡環境的整體安全性，為醫療信息化建設提供了堅實保障。

　　申報單位：上海市肺科醫院

　　聯合申報單位：深信服科技股份有限公司

　　案例賽道：網絡安全創新

　　案例業務領域：其他