智能化安全運(yùn)營(yíng)（ISOC）在國(guó)內(nèi)正迎來(lái)高速發(fā)展，市場(chǎng)需求強(qiáng)勁、競(jìng)爭(zhēng)激烈，ISOC市場(chǎng)正迎來(lái)令人振奮的發(fā)展前景。同時(shí)ISOC代表了安全運(yùn)營(yíng)的未來(lái)技術(shù)方向。ISOC將AI技術(shù)深度滲透到安全運(yùn)營(yíng)的威脅檢測(cè)、事件分析、響應(yīng)到風(fēng)險(xiǎn)管理、安全策略優(yōu)化等各個(gè)環(huán)節(jié)，各廠商積極探索AI在不同場(chǎng)景的應(yīng)用創(chuàng)新，以AI深度融合、混合模型及云地協(xié)同等為標(biāo)志向標(biāo)準(zhǔn)化演進(jìn)。

國(guó)內(nèi)ISOC市場(chǎng)應(yīng)用現(xiàn)狀

國(guó)內(nèi)ISOC市場(chǎng)需求強(qiáng)勁，應(yīng)用場(chǎng)景不斷拓展，AI技術(shù)在其中發(fā)揮著越來(lái)越重要的作用。ISOC已成為安全運(yùn)營(yíng)的發(fā)展趨勢(shì)，為企業(yè)構(gòu)建更主動(dòng)、更智能、更有效的安全防御體系提供有力支撐。

國(guó)內(nèi)ISOC市場(chǎng)應(yīng)用現(xiàn)狀

市場(chǎng)應(yīng)用情況

1.國(guó)內(nèi)市場(chǎng)潛力巨大，用戶期望高漲

ISOC市場(chǎng)正表現(xiàn)出廣闊的發(fā)展前景和強(qiáng)勁的增長(zhǎng)勢(shì)頭。根據(jù)安全牛2025年的用戶調(diào)查數(shù)據(jù)，國(guó)內(nèi)大多數(shù)組織（90%）對(duì)ISOC的未來(lái)發(fā)展持樂(lè)觀態(tài)度，其中33%的組織表示非常樂(lè)觀，認(rèn)為前景廣闊；57%的組織表示比較樂(lè)觀，認(rèn)為擁有顯著的預(yù)期發(fā)展勢(shì)頭。這種積極的態(tài)度也體現(xiàn)在實(shí)際行動(dòng)和規(guī)劃中：目前已有10%的組織正在開展ISOC的實(shí)施 ，有 29% 的組織正處于測(cè)試運(yùn)行階段。值得關(guān)注的是，在尚未實(shí)施的組織中，49% 的組織計(jì)劃在一年內(nèi)進(jìn)行相關(guān)采購(gòu)。

圖片

安全牛分析

這種強(qiáng)勁的市場(chǎng)需求和樂(lè)觀預(yù)期，源于國(guó)內(nèi)組織在安全運(yùn)營(yíng)方面普遍面臨的痛點(diǎn)。傳統(tǒng)SOC模式下，海量報(bào)告數(shù)據(jù)帶來(lái)的“告警疲勞”、安全分析能力不足導(dǎo)致的威脅漏報(bào)、人工處理造成事件響應(yīng)效率低下等問(wèn)題凸顯。ISOC通過(guò)引入人工智能、大數(shù)據(jù)分析、自動(dòng)化編排等先進(jìn)技術(shù)，能夠有效解決這些痛點(diǎn)，大幅提升安全運(yùn)營(yíng)的效率、準(zhǔn)確性和自動(dòng)化水平。未來(lái)，隨著大模型等AI技術(shù)的持續(xù)進(jìn)步、ISOC在各行業(yè)應(yīng)用效果的逐步顯現(xiàn)，以及應(yīng)用場(chǎng)景的不斷精細(xì)化，其接受度和普及率將顯著提升，在國(guó)內(nèi)市場(chǎng)擁有了顛覆性的發(fā)展前景。

2.市場(chǎng)集中在關(guān)鍵行業(yè)領(lǐng)域，逐步向外滲透

根據(jù)安全牛2025年的調(diào)研數(shù)據(jù)，目前國(guó)內(nèi)部署智能化網(wǎng)絡(luò)安全運(yùn)營(yíng)的行業(yè)主要集中在金融行業(yè)（24%）、政府機(jī)構(gòu)（22%）、運(yùn)營(yíng)商行業(yè)（19%）、能源行業(yè)（13%）等關(guān)鍵領(lǐng)域。

國(guó)內(nèi)ISOC市場(chǎng)應(yīng)用現(xiàn)狀

國(guó)內(nèi)已部署組織的行業(yè)情況

安全牛分析

國(guó)內(nèi)安全運(yùn)營(yíng)的轉(zhuǎn)型升級(jí)浪潮主要由這些關(guān)鍵行業(yè)引領(lǐng)。這些行業(yè)的組織通常具備以下特點(diǎn)：IT基礎(chǔ)相對(duì)完善，積累了海量的安全數(shù)據(jù)；面臨復(fù)雜且高級(jí)的網(wǎng)絡(luò)安全威脅；接受嚴(yán)格的行業(yè)監(jiān)管和合規(guī)要求；擁有相對(duì)完善的安全體系和運(yùn)營(yíng)團(tuán)隊(duì)。但是，仍然普遍遇到傳統(tǒng)安全運(yùn)營(yíng)的困境：難以從海量數(shù)據(jù)中高效提取威脅情報(bào)、解決問(wèn)題的難度過(guò)大、安全事件響應(yīng)速度跟不上攻擊速度、以及對(duì)APT、0-day攻擊等高級(jí)威脅的檢測(cè)和理解能力不足。

正是由于這些嚴(yán)峻的挑戰(zhàn)和迫切的需求，促使這些組織積極擁抱 ISOC。他們希望利用人工智能、機(jī)器學(xué)習(xí)和自動(dòng)化技術(shù)來(lái)突破運(yùn)營(yíng)困境，并已成為 ISOC 平臺(tái)測(cè)試與部署的先行者，尤其是在那些安全要求極高、數(shù)據(jù)規(guī)模龐大且擁有專業(yè)運(yùn)營(yíng)團(tuán)隊(duì)的大型機(jī)構(gòu)中表現(xiàn)得極其突出。他們希望通過(guò)統(tǒng)一的 ISOC 平臺(tái)或部署 AI Agent（智能體）來(lái)整合分散的安全資源，實(shí)現(xiàn)集中管控和高效協(xié)同，提升安全運(yùn)營(yíng)的整體水平，并利用大模型等先進(jìn)技術(shù)解決實(shí)際業(yè)務(wù)問(wèn)題，提升網(wǎng)絡(luò)安全防護(hù)能力。

未來(lái)，隨著ISOC技術(shù)的持續(xù)成熟、典型案例的落地成功，云化/SaaS化等多元化部署模式帶來(lái)的應(yīng)用成本降低，智能化安全運(yùn)營(yíng)的需求必將逐步滲透到更廣泛的行業(yè)領(lǐng)域（如制造、醫(yī)療、教育等）和中小型企業(yè)群體，ISOC市場(chǎng)將迎來(lái)更加繁榮的發(fā)展空間。

3.廠商紛紛布局，市場(chǎng)競(jìng)爭(zhēng)激烈

當(dāng)前，智能化安全運(yùn)營(yíng)商（ISOC）已成為網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)，吸引了各大廠商積極布局，市場(chǎng)競(jìng)爭(zhēng)日趨激烈。傳統(tǒng)安全廠商、云服務(wù)廠商、運(yùn)營(yíng)商、創(chuàng)新公司等不同類型的參與者都基于自身優(yōu)勢(shì)，通過(guò)技術(shù)創(chuàng)新、產(chǎn)品迭代和服務(wù)升級(jí)，著力構(gòu)建差異化的競(jìng)爭(zhēng)優(yōu)勢(shì)，以期在增長(zhǎng)的ISOC市場(chǎng)中快速占據(jù)先機(jī)。

• 綜合安全廠商：例如奇安信、亞信安全、綠盟科技、安恒信息、觀安信息、新華三等，憑借其在網(wǎng)絡(luò)安全領(lǐng)域多年的技術(shù)積累、廣泛的產(chǎn)品線優(yōu)勢(shì)，積極探索AI技術(shù)與安全運(yùn)營(yíng)的深度融合，他們將AI能力注入現(xiàn)有的安全產(chǎn)品和服務(wù)（如SOC、SIEM、SOAR、EDR、威脅情報(bào)平臺(tái)等），提升其整體智能化水平，推出現(xiàn)代化的ISOC解決方案或平臺(tái)，為客戶提供更全面、更智能的安全運(yùn)營(yíng)服務(wù)。
• SOAR平臺(tái)廠商：例如碳澤信息、神州泰岳、眾智維等，專注于安全編排、自動(dòng)化與響應(yīng)領(lǐng)域。這些廠商通過(guò)將AI技術(shù)融入到SOAR平臺(tái)，提升其在日志分析、事件調(diào)查、響應(yīng)決策等方面的智能化水平，實(shí)現(xiàn)更智能、更高效的安全事件響應(yīng)。部分SOAR廠商還擴(kuò)展了產(chǎn)品線，提供包含SIEM或SOC的一體化解決方案。
• 運(yùn)營(yíng)商：以聯(lián)通數(shù)科為代表的運(yùn)營(yíng)商，憑借其在云網(wǎng)基礎(chǔ)設(shè)施、海量數(shù)據(jù)資源、廣泛客戶覆蓋等方面的獨(dú)特優(yōu)勢(shì)，積極布局ISOC市場(chǎng)：一方面利用自身資源構(gòu)建AI云原生的安全平臺(tái)，為云上客戶端提供安全運(yùn)營(yíng)服務(wù)；另一方面，積極與安全廠商、IT廠商建立廣泛的合作，構(gòu)建開放的安全生態(tài)系統(tǒng)，提供更智能的安全運(yùn)營(yíng)服務(wù)。
• 云廠商：例如浪潮云等云服務(wù)廠商，依托其強(qiáng)大的云計(jì)算基礎(chǔ)設(shè)施優(yōu)勢(shì)和廣泛的企業(yè)客戶基礎(chǔ)，強(qiáng)調(diào)構(gòu)建成熟、便捷、易用的云安全運(yùn)營(yíng)服務(wù)體系。與安全廠商合作，將安全能力與自身的云服務(wù)深度結(jié)合，提供面向多云、混合云環(huán)境的云安全運(yùn)營(yíng)服務(wù)。
• 創(chuàng)新型公司：如探真科技、睿安致遠(yuǎn)等創(chuàng)新型公司，重點(diǎn)關(guān)注AI安全技術(shù)的創(chuàng)新或特定場(chǎng)景的應(yīng)用，如威脅狩獵、欺騙防御、數(shù)據(jù)安全等，在產(chǎn)品的場(chǎng)景創(chuàng)新、高度兼容、易用性、靈活性和定制化服務(wù)等方面尋求突破，滿足用戶個(gè)性化的安全運(yùn)營(yíng)需求。

目前，ISOC市場(chǎng)的競(jìng)爭(zhēng)焦點(diǎn)主要集中在AI技術(shù)與具體安全運(yùn)營(yíng)場(chǎng)景的融合、覆蓋范圍與落地能力、AI模型的準(zhǔn)確性/可解釋性/可靠性、響應(yīng)的自動(dòng)化與靈活性、安全大數(shù)據(jù)的處理能力等方面。

未來(lái)，隨著智能化安全運(yùn)營(yíng)逐漸成為主流，技術(shù)引領(lǐng)提升，應(yīng)用領(lǐng)域不斷擴(kuò)展，單一廠商將越來(lái)越難以提供覆蓋所有的完整解決方案。同時(shí)，人工智能模型的訓(xùn)練和優(yōu)化高度依賴于海量、高質(zhì)量的安全數(shù)據(jù)和威脅情報(bào)。安全牛預(yù)計(jì)，廠商之間的生態(tài)合作將成為未來(lái)發(fā)展的重要趨勢(shì)。技術(shù)合作、產(chǎn)品集成、數(shù)據(jù)共享、威脅情報(bào)共享、聯(lián)合解決方案等模式將更加普遍。通過(guò)生態(tài)合作，廠商可以實(shí)現(xiàn)優(yōu)勢(shì)互補(bǔ)、資源共享、協(xié)同創(chuàng)新，共同推動(dòng)安全運(yùn)營(yíng)技術(shù)的發(fā)展和應(yīng)用，為客戶提供更強(qiáng)大的安全保障。

國(guó)內(nèi)ISOC技術(shù)應(yīng)用十大特征

國(guó)內(nèi)智能化安全運(yùn)營(yíng)領(lǐng)域呈現(xiàn)出強(qiáng)勁的增長(zhǎng)，安全廠商和部分大型企業(yè)積極探索和應(yīng)用人工智能技術(shù)，推動(dòng)安全運(yùn)營(yíng)從傳統(tǒng)模式向自動(dòng)化轉(zhuǎn)型，主要特征包括安全運(yùn)營(yíng)平臺(tái)向統(tǒng)一集成、數(shù)智驅(qū)動(dòng)進(jìn)行轉(zhuǎn)型升級(jí)、技術(shù)與應(yīng)用創(chuàng)新百花齊放、智能化應(yīng)用效果初顯成效，以及AI 智能體被視為未來(lái)安全運(yùn)營(yíng)的關(guān)鍵推動(dòng)力等。

圖片

國(guó)內(nèi)ISOC技術(shù)應(yīng)用現(xiàn)狀

1.SOC正趨向數(shù)智一體化轉(zhuǎn)型升級(jí)

日益復(fù)雜的網(wǎng)絡(luò)威脅和不斷提升的安全運(yùn)營(yíng)面對(duì)需求，傳統(tǒng)的SOC/態(tài)勢(shì)感知等正經(jīng)歷深度的數(shù)智化轉(zhuǎn)型，他們普遍面臨數(shù)據(jù)孤島、分析效率低下、響應(yīng)速度慢、自動(dòng)化程度不足等挑戰(zhàn)。為了應(yīng)對(duì)這些挑戰(zhàn)，安全運(yùn)營(yíng)平臺(tái)的發(fā)展趨勢(shì)是構(gòu)建統(tǒng)一集成的數(shù)智化平臺(tái)，平臺(tái)以安全大數(shù)據(jù)為基礎(chǔ)，以AI技術(shù)為核心驅(qū)動(dòng)力，深度集成SOAR等多個(gè)安全能力，旨在實(shí)現(xiàn)數(shù)據(jù)驅(qū)動(dòng)的威脅檢測(cè)、定制的事件分析與研判、自動(dòng)化的響應(yīng)消除以及人機(jī)協(xié)同的運(yùn)營(yíng)模式，最終構(gòu)建起覆蓋“事前預(yù)防、事中檢測(cè)與響應(yīng)、事后總結(jié)與改進(jìn)”全生命周期的閉環(huán)安全運(yùn)營(yíng)體系。

SOC向數(shù)智一體化升級(jí)

安全各廠商都在積極致力于探索這個(gè)方向。例如亞信安全打造“一個(gè)平臺(tái)，全網(wǎng)管理”的運(yùn)營(yíng)管理理念，構(gòu)建支撐安全事件全自動(dòng)化響應(yīng)的安全運(yùn)營(yíng)平臺(tái)。奇安信通過(guò)AI與現(xiàn)有安全體系深度融合，將NGSOC與QAX-GPT深度融合，實(shí)現(xiàn)從威脅檢測(cè)到響應(yīng)處置的全流程一體化安全防護(hù)。碳澤通過(guò)響應(yīng)流程劇本化滿足智能處置各類安全事件的需求，并通過(guò)集成了AI驅(qū)動(dòng)的異常檢測(cè)模型實(shí)現(xiàn)全鏈路威脅檢測(cè)。神州泰岳構(gòu)建全面的安全數(shù)據(jù)中心，并利用安全編排與自動(dòng)化響應(yīng)平臺(tái)(Ultra-SOAR)整合各種元素，實(shí)現(xiàn)海量安全數(shù)據(jù)的智能分析和安全運(yùn)營(yíng)工作的閉環(huán)管理。

2.ISOC的智能化應(yīng)用創(chuàng)新呈現(xiàn)百花齊放的態(tài)勢(shì)

國(guó)內(nèi)安全廠商積極擁抱AI技術(shù)，將其與安全運(yùn)營(yíng)的各個(gè)環(huán)節(jié)深度融合，推動(dòng)安全運(yùn)營(yíng)向自動(dòng)化、智能化方向發(fā)展。各廠商基于自身的技術(shù)積累、產(chǎn)品優(yōu)勢(shì)和針對(duì)客戶需求的理解，紛紛推出各具特色的AI創(chuàng)新應(yīng)用，呈現(xiàn)出百花齊放的態(tài)勢(shì)。

AI應(yīng)用的廣泛度和成熟度

在威脅檢測(cè)方面，AI技術(shù)的應(yīng)用已相對(duì)成熟，廠商普遍將機(jī)器學(xué)習(xí)、深度學(xué)習(xí)等技術(shù)引入EDR、NDR/NTA、UEBA等產(chǎn)品，有效提升對(duì)未知威脅、高級(jí)威脅和異常行為的檢測(cè)能力。例如，亞信安全在其新一代XDR平臺(tái)中利用AI技術(shù)覆蓋了12大類安全領(lǐng)域的100多個(gè)高級(jí)威脅檢測(cè)場(chǎng)景。神州泰岳利用神經(jīng)網(wǎng)絡(luò)進(jìn)行釣魚檢測(cè)和挖礦檢測(cè)。碳澤利用AI驅(qū)動(dòng)的異常檢測(cè)模型進(jìn)行全序列威脅檢測(cè)。

在安全事件分析與調(diào)查方面，AI技術(shù)正結(jié)合快速發(fā)展，NLP、知識(shí)圖譜、機(jī)器學(xué)習(xí)等被用于自動(dòng)化信息收集、關(guān)聯(lián)分析、攻擊路徑還原、根本原因分析等。例如，奇安信的QAX-GPT的智能調(diào)查功能可通過(guò)智能化和自動(dòng)化的調(diào)查流程，快速定位安全事件的根源；碳澤利用AI驅(qū)動(dòng)的異常檢測(cè)模型進(jìn)行全序列威脅檢測(cè)和事件調(diào)查。

自動(dòng)化響應(yīng)是AI應(yīng)用的另一大熱點(diǎn)，SOAR平臺(tái)與AI技術(shù)的緊密結(jié)合，并且AI智能體開始在自動(dòng)化響應(yīng)中重要扮演角色。例如，碳澤聚焦于通過(guò)AI驅(qū)動(dòng)的異常檢測(cè)模型和場(chǎng)景自動(dòng)化，實(shí)現(xiàn)全流程威脅檢測(cè)和智能執(zhí)行，其自動(dòng)化場(chǎng)景已覆蓋智能電網(wǎng)安全運(yùn)營(yíng)、自動(dòng)化模擬攻擊、自動(dòng)化郵件安全等100多個(gè)場(chǎng)景。亞信安全的新一代XDR平臺(tái)支持一鍵封禁、隔離主機(jī)等自動(dòng)化響應(yīng)操作。奇安信的QAX-GPT可以根據(jù)事件和嚴(yán)重程度，自動(dòng)生成并執(zhí)行最佳的響應(yīng)策略。各廠商還結(jié)合自身優(yōu)勢(shì)，在數(shù)據(jù)安全、代碼安全、DevSecOps、業(yè)務(wù)安全等細(xì)分領(lǐng)域進(jìn)行AI應(yīng)用創(chuàng)新。

3.智能化應(yīng)用效果已經(jīng)初見成效

國(guó)內(nèi)ISOC的建設(shè)和應(yīng)用已取得初步成效，在多個(gè)方面展現(xiàn)出顯著優(yōu)勢(shì)，特別是在告警降噪、安全事件分析、自動(dòng)化響應(yīng)、數(shù)據(jù)安全和運(yùn)營(yíng)管理等方面帶來(lái)了一定的應(yīng)用效果。

ISOC應(yīng)用實(shí)施效果

根據(jù)安全牛2025年對(duì)廠商資料分析，ISOC在部分案例中取得了較好的效果：告警降噪能力大幅提升（如亞信安全XDR平臺(tái)智能過(guò)濾98%無(wú)效告警，奇安信AISOC提高告警準(zhǔn)確率80%）、安全事件分析效率顯著提高（如碳澤千乘平臺(tái)實(shí)時(shí)推演攻擊鏈，亞信安全XDR平臺(tái)溯源效率提升80%）、事件響應(yīng)實(shí)效大幅加強(qiáng)（如亞信安全XDR平臺(tái)人工調(diào)查時(shí)間減少93%，碳澤千乘平臺(tái)攻擊響應(yīng)時(shí)效提升97%）、數(shù)據(jù)安全能力顯著提升（如碳澤千乘平臺(tái)實(shí)現(xiàn)交易數(shù)據(jù)自動(dòng)標(biāo)注，數(shù)據(jù)拓?fù)湫侍嵘?0倍）、安全事件處理效率大幅提高（如奇安信AISOC單個(gè)事件響應(yīng)效率提升約80%，神州泰岳Ultra-SOMC效率提升96%）、安全運(yùn)營(yíng)管理效果顯著提升（如奇安信AISOC單日工作成果提升數(shù)倍，碳澤千乘平臺(tái)合規(guī)覆蓋度大幅增加）。 

請(qǐng)注意：該效果數(shù)據(jù)來(lái)源于部分案例或特定場(chǎng)景，實(shí)際效果受到多種因素的影響，數(shù)據(jù)僅供參考，并不代表所有企業(yè)都能取得類似的效果。

4.大模型與小模型協(xié)同并進(jìn)，共筑安全運(yùn)營(yíng)智能化基石

國(guó)內(nèi)安全廠商正積極探索AI大模型與小模型在安全運(yùn)營(yíng)中的協(xié)同應(yīng)用，構(gòu)建“大模型+小模型”的混合架構(gòu)模式，以充分發(fā)揮各自優(yōu)勢(shì)，實(shí)現(xiàn)更高效、更智能的安全運(yùn)營(yíng)。

大模型與小模型混合架構(gòu)

大語(yǔ)言模型（LLM）憑借其強(qiáng)大的自然語(yǔ)言處理、知識(shí)整合、邏輯推理和內(nèi)容生成能力，在威脅情報(bào)分析、事件安全理解與調(diào)查、安全策略生成與優(yōu)化建議、智能安全問(wèn)答系統(tǒng)、自動(dòng)化報(bào)告生成等方面應(yīng)用相對(duì)集中。然而，受限于安全領(lǐng)域的特殊性，通用大模型在安全專業(yè)知識(shí)、數(shù)據(jù)安全、可解釋性等方面仍存在不足。因此，將其與安全垂域大模型或針對(duì)特定任務(wù)的小模型相結(jié)合，正成為市場(chǎng)探索的主流模式。

機(jī)器學(xué)習(xí)和深度學(xué)習(xí)的“小模型”在安全運(yùn)營(yíng)中的應(yīng)用已較為廣泛和成熟，通常針對(duì)特定任務(wù)進(jìn)行，具有資源消耗低、響應(yīng)速度快、可解釋性強(qiáng)、數(shù)據(jù)依賴性較低、部署靈活性等優(yōu)勢(shì)，主要應(yīng)用于威脅檢測(cè)、UEBA、數(shù)據(jù)處理與分析等場(chǎng)景。

“大模型+小模型”的混合架構(gòu)，可以實(shí)現(xiàn)優(yōu)勢(shì)互補(bǔ)：大模型負(fù)責(zé)全局分析、復(fù)雜推理、知識(shí)問(wèn)答、安全編排等，提供宏觀決策支持；小模型負(fù)責(zé)具體的威脅檢測(cè)、異常識(shí)別、風(fēng)險(xiǎn)評(píng)估等任務(wù)，提供快速、準(zhǔn)確的檢測(cè)結(jié)果。

例如，新華三、觀安信息、聯(lián)通數(shù)科、聚銘網(wǎng)絡(luò)、睿安致遠(yuǎn)等廠商都在采用或探索這種混合架構(gòu)模式。

5.AI智能體是安全運(yùn)營(yíng)的未來(lái)方向，當(dāng)前仍處于探索期

AI智能體作為能夠自主感知環(huán)境、進(jìn)行思考和推理、做出決策并采取行動(dòng)以實(shí)現(xiàn)特定目標(biāo)的智能應(yīng)用，代表了安全運(yùn)營(yíng)自動(dòng)化發(fā)展的未來(lái)重要方向。AI Agent具備自主性、反應(yīng)性、主動(dòng)性、學(xué)習(xí)能力和推理能力等關(guān)鍵特征，可以模擬人類安全專家的工作模式，在安全運(yùn)營(yíng)中發(fā)揮行為更主動(dòng)、更智能的作用。

AI智能體是未來(lái)的方向

目前，AI智能體的應(yīng)用主要集中在自動(dòng)化安全響應(yīng)、輔助安全調(diào)查和安全運(yùn)營(yíng)流程優(yōu)化等方面。例如，奇安信推出了告警關(guān)聯(lián)智能體、溯源調(diào)查智能體等，用于告警的關(guān)聯(lián)分析和事件的溯源調(diào)查；碳澤將AI智能體融入到工作流可視化編輯的步驟中，增強(qiáng)告警智能處理能力、優(yōu)化安全流程編排等。安恒信息針對(duì)主機(jī)類告警研發(fā)了豐富的研判智能體，包括數(shù)據(jù)安全類智能體。綠盟科技、探真科技、眾智維、聚銘網(wǎng)絡(luò)、掌數(shù)科技等廠商也在積極探索AI智能體的應(yīng)用。

 6.通用大模型（如DeepSeek）與安全垂域大模型結(jié)合的探索

通用大語(yǔ)言模型（以DeepSeek等開源模型為代表）擁有強(qiáng)大的自然語(yǔ)言理解和生成能力、廣泛的通用知識(shí)，以及零樣本/少樣本學(xué)習(xí)能力，可以有效賦能于安全問(wèn)答、報(bào)告生成、威脅情報(bào)分析等場(chǎng)景。然而，通用LLM在安全專業(yè)知識(shí)等方面存在不足。因此，國(guó)內(nèi)安全廠商積極探索將通用LLM與安全垂域大模型（經(jīng)過(guò)安全數(shù)據(jù)訓(xùn)練）或小模型結(jié)合的“雙模型”或多模型架構(gòu)，成為主流模式。這種模式下，通用LLM和安全垂域大模型可以協(xié)同工作，優(yōu)勢(shì)互補(bǔ)。

圖片

這種混合架構(gòu)潛力巨大，有望在未來(lái)推動(dòng)安全運(yùn)營(yíng)向更高層次發(fā)展。

國(guó)內(nèi)許多安全廠商已經(jīng)在混合AI架構(gòu)方面進(jìn)行了積極探索和實(shí)踐。例如，綠盟科技將DeepSeek做為基礎(chǔ)模型，與自研的風(fēng)云衛(wèi)安全垂域領(lǐng)域大模型結(jié)合，構(gòu)建雙模型驅(qū)動(dòng)的AI安全運(yùn)營(yíng)體系；亞信安全、浪潮云等其他各廠商也在積極研究DeepSeek等開源大模型，并將其與自身的大模型平臺(tái)相結(jié)合。

7.威脅情報(bào)應(yīng)用得到普及，AI賦能情報(bào)分析和生成

威脅情報(bào)已成為現(xiàn)代安全運(yùn)營(yíng)駕駛員的核心要素。廠商普遍認(rèn)識(shí)到其在主動(dòng)防御、威脅檢測(cè)、事件響應(yīng)、風(fēng)險(xiǎn)評(píng)估、安全決策等方面的關(guān)鍵價(jià)值，將其廣泛集成到各自的安全產(chǎn)品和解決方案中。人工智能技術(shù)，特別是自然語(yǔ)言處理（NLP）、機(jī)器學(xué)習(xí)和知識(shí)圖譜，正在改變威脅情報(bào)的生產(chǎn)、分析和應(yīng)用方式。尤其是AI Agent技術(shù)，可以自動(dòng)化地從多個(gè)來(lái)源收集、處理威脅情報(bào)，提取IOC、識(shí)別攻擊者TTP、評(píng)估情報(bào)可信度，并利用知識(shí)圖譜進(jìn)行關(guān)聯(lián)分析，構(gòu)建威脅情報(bào)知識(shí)圖譜。大模型則可以用于情報(bào)分析、摘要生成、智能問(wèn)答等。自動(dòng)化情報(bào)應(yīng)用（例如更新防火墻規(guī)則、觸發(fā) SOAR 劇本等）也日益普及。

圖片

例如聯(lián)通數(shù)科依托高質(zhì)量的威脅情報(bào)服務(wù)，為客戶提供精準(zhǔn)的安全決策支持。觀安信息利用大模型泛化能力構(gòu)建威脅情報(bào)智能體，實(shí)現(xiàn)對(duì)專業(yè)情報(bào)報(bào)告關(guān)鍵信息的提取，應(yīng)用于對(duì)新型威脅行為的精確檢測(cè)。除此之外，奇安信、安恒信息、綠盟科技、神州泰岳等廠商也都在其安全產(chǎn)品和解決方案中的各個(gè)環(huán)節(jié)中廣泛應(yīng)用威脅情報(bào)，并將其廣泛集成到各自的安全產(chǎn)品、平臺(tái)和解決方案中。

8.低代碼/零代碼編輯平臺(tái)加速ISOC智能化落地

為了降低AI在安全運(yùn)營(yíng)中應(yīng)用的技術(shù)門檻，提高效率和靈活性，并減少對(duì)專業(yè)AI人才的依賴，低代碼/零代碼AI平臺(tái)正成為ISOC建設(shè)的重要趨勢(shì)。低代碼/零代碼AI編輯平臺(tái)提供可視化、拖拽式、配置化的界面，使安全分析師等非AI專家能夠構(gòu)建、定制和部署AI驅(qū)動(dòng)的安全運(yùn)營(yíng)應(yīng)用，例如可視化編排AI模型、安全運(yùn)營(yíng)流程和SOAR自動(dòng)化腳本，利用預(yù)置的AI模型和組件，簡(jiǎn)化AI模型訓(xùn)練和調(diào)優(yōu)等。

圖片

國(guó)內(nèi)多家廠商均已經(jīng)進(jìn)行這方面的實(shí)踐，如碳澤的千乘平臺(tái)提供了低代碼的AI+SOAR編輯平臺(tái)，允許用戶通過(guò)可視化界面編排多智能體系統(tǒng)應(yīng)用；安恒信息的智能體編輯平臺(tái)支持零代碼和低代碼開發(fā)智能體，推動(dòng)了安全運(yùn)營(yíng)的定制化和智能化；眾智維致力于將人工流程轉(zhuǎn)變?yōu)樽詣?dòng)化流程，并將自動(dòng)化流程分解為劇本類的產(chǎn)品，實(shí)現(xiàn)開箱即用。除此之外，掌數(shù)科技、睿安致遠(yuǎn)浪潮云和觀安信息也分別提供了低代碼AI智能體開發(fā)平臺(tái)，并推出了一系列相關(guān)產(chǎn)品和解決方案。

9.安全運(yùn)營(yíng)邁向量化管理，構(gòu)建可度量的安全

安全運(yùn)營(yíng)的量化管理已成為智能化安全運(yùn)營(yíng)中心（ISOC）建設(shè)的重要趨勢(shì)和核心特征。通過(guò)建立一套科學(xué)、全面、可落地的安全運(yùn)營(yíng)指標(biāo)體系，ISOC能夠?qū)Π踩\(yùn)營(yíng)的各個(gè)環(huán)節(jié)進(jìn)行量化評(píng)估、持續(xù)監(jiān)控和數(shù)據(jù)驅(qū)動(dòng)的優(yōu)化，實(shí)現(xiàn)安全運(yùn)營(yíng)效果的可簡(jiǎn)化、可評(píng)估、可改進(jìn)、可展示，并為安全決策、資源分配和投資規(guī)劃提供監(jiān)測(cè)、準(zhǔn)確的數(shù)據(jù)支撐。這些指標(biāo)涵蓋風(fēng)險(xiǎn)、檢測(cè)、分析、運(yùn)營(yíng)、管理、業(yè)務(wù)等多個(gè)環(huán)節(jié)。技術(shù)在指標(biāo)的自動(dòng)化采集、分析標(biāo)準(zhǔn)化、可視化呈現(xiàn)和決策支持方面發(fā)揮著關(guān)鍵作用。

國(guó)內(nèi)安全廠商正在積極探索安全運(yùn)營(yíng)的量化管理，并將其融入到ISOC解決方案中。例如，奇安信AISOC在某案例中定制了24個(gè)安全運(yùn)營(yíng)指標(biāo)，涵蓋效率提升、團(tuán)隊(duì)投入和成果等多個(gè)維度；新華三提出了“健康度”和“成熟度”雙指標(biāo)體系，量化評(píng)估安全運(yùn)營(yíng)工作的開展情況和安全運(yùn)營(yíng)效果；聯(lián)通數(shù)科則構(gòu)建了實(shí)戰(zhàn)化安全運(yùn)營(yíng)量化指標(biāo)體系，更貼近實(shí)戰(zhàn)攻防場(chǎng)景等。 

10.云地協(xié)同：智能化安全運(yùn)營(yíng)平臺(tái)的新常態(tài)

隨著云計(jì)算的普及和企業(yè)數(shù)字化轉(zhuǎn)型的深入，ISOC正朝著云地協(xié)同的管理模式發(fā)展。

云地協(xié)同模式將云端的安全能力（如AI分析、威脅情報(bào)、安全專家、彈性力算等）與本地的安全設(shè)備和系統(tǒng)進(jìn)行深度集成（例如防火墻、IDS/IPS、EDR、NDR、SIEM等），實(shí)現(xiàn)優(yōu)勢(shì)互補(bǔ)、協(xié)同聯(lián)動(dòng)，構(gòu)建更全面、更智能、更高效、增加彈性的安全運(yùn)營(yíng)體系。云地協(xié)同主要有云端分析+本地響應(yīng)、云端情報(bào)+本地檢測(cè)、云端管理+本地執(zhí)行等模式。

國(guó)內(nèi)各大安全廠商都在積極布局云地協(xié)同的安全運(yùn)營(yíng)平臺(tái)。例如，亞信安全的新一代XDR平臺(tái)提供云網(wǎng)端融合分析能力，實(shí)現(xiàn)了云端分析和本地響應(yīng)的協(xié)同；綠盟科技提供云端監(jiān)控防護(hù)能力，并將行業(yè)云定位為未來(lái)重點(diǎn)發(fā)展方向；新華三與運(yùn)營(yíng)商共同推出的“安全大腦”則發(fā)揮了云端運(yùn)維的便捷性和易用性。聯(lián)通數(shù)科、浪潮云、探真科技、聚銘網(wǎng)絡(luò)等也都采用云地協(xié)同模式，例如本地負(fù)責(zé)實(shí)時(shí)檢測(cè)，告警事件上報(bào)云端，云端專家進(jìn)行精準(zhǔn)研判，并下發(fā)研判規(guī)則至本地。

圖片