光大证券在网络安全检测中采用的安全检测大模型方案，重点解决了传统安全设备难以应对的高级持续性威胁（APT）、0/1DAY漏洞利用及其绕过技术等难题。大模型应用主要由数据采集端和安全大模型平台端两个核心部分组成。

数据采集端负责采集现有安全设备（如态势感知平台、防火墙、终端安全软件等）生成的安全数据。采集的数据包括HTTP流量、日志、代码等原始数据，这些数据将作为模型训练和分析的基础。通过统一的采集标准，将来自多个安全设备的数据汇聚至大模型平台进一步处理和分析。

安全大模型平台端作为安全检测大模型技术应用的核心部分，依托专用显卡服务器和已完成训练的安全检测大模型，进行安全数据的深度分析与检测。安全检测大模型具备对网络流量、攻击代码、攻击手法等方面的深刻理解，能够识别并分析各种复杂攻击，包括弱特征攻击、0/1DAY漏洞利用、高对抗攻击等。此外，平台的研判结果不仅能补充现有检测系统的不足，还能进一步提升告警处理效率。

通过这种“1+N”模式的应用，大模型（“1”）与现有检测系统（“N”）协同工作，极大增强了光大证券的网络安全防护智能化能力。

光大证券在应用安全检测大模型后，取得了显著的成果，尤其在对高对抗性攻击和复杂攻击场景的检测方面，成效尤为突出。

在一场为期一个多月的高强度对抗演练中，成功捕获了10起0/1DAY漏洞攻击，识别了23个高价值安全事件（包括11起高对抗事件、10起弱特征事件和2起违规攻击事件）。事件检测和处理效率相比传统的规则库检测方法有了明显提高。

传统的安全设备每日会生成大量的告警信息，其中许多告警存在误报和冗余。通过安全检测大模型，成功提升了安全运营人员的告警研判效率。网络安全人员能够更高效地处理告警，将真正需要关注的事件从海量告警中筛选出来，并迅速采取响应措施。人员每天处理告警的能力大幅提高，在有限的人力下，提高了整体安全响应速度。

在安全检测大模型的加持下，光大证券的网络安全体系在自动化研判和响应方面也取得了显著成效。能够在第一时间内识别潜在威胁，生成详细的事件研判报告，包括攻击的性质、攻击载荷、攻击手段等信息。此外，安全检测大模型还可根据事件的性质提供处置建议，辅助进一步调优态势感知平台的自动化处置场景能力。

光大证券在证券行业率先将生成式大模型技术成功引入网络安全检测体系，率先实现了安全大模型技术从理论探索到实践落地。该体系成功捕获多起高价值的0/1DAY漏洞攻击案例，显著提升了对复杂网络威胁的检测能力。通过实践不仅验证了安全大模型的技术可行性，也为其他证券机构的网络安全升级提供了可借鉴的示范经验，为证券行业构建下一代安全防护体系奠定了坚实基础。

光大证券的安全大模型在攻防实战演练中展现了超越人力的高效性与精准性，告警精准率达98%以上。与传统的人工安全值守相比，大幅提升了告警研判效率。这种效率和效果上的突破，为大模型技术路线赋能证券行业网络安全体系提供了有力证明。

光大证券安全大模型的落地改变了传统网络安全体系“战时高防护、平时低强度”的局限性，提升平战一体的防护水平。通过大模型对现有体系的赋能，能够在常态化运行中保持对高级威胁的高精度检测，对海量告警进行智能解读；实现了从“被动响应”到“主动防御”的安全运营模式转变，为证券行业的常态化安全防护提供了创新的解决思路。

上海交通大学网络安全技术研究院院长  李建华 专家点评

随着网络安全形势日益严峻、网络攻防对抗的持续升级，网络攻击呈现出高隐蔽、智能化、利用组合式攻击工具等新特点，具有弱关联、持续性、针对性强等特征的高级威胁成为主要攻击形式。同时，0day漏洞的迭代利用速度加快，以及攻击者频繁使用绕过技术和流量层对抗手段的威胁与日俱增。当前，证券公司已经建立了相对完备的纵深主动防御体系，涵盖了防火墙、入侵检测、态势感知等多层安全措施，但在面对高对抗性攻击、特别是0/1DAY漏洞攻击时，传统的安全检测效果和响应效率依然存在一定的不足。

为有效应对这些挑战，通过引入生成式人工智能大模型技术，利用其在泛化检测能力上的优势，提升安全防护效能。大模型技术的应用为现有的基于规则的攻击检测手段提供了有力补充，使得攻击检测的能力得到了显著增强。

光大证券在证券行业率先实现安全大模型的成功实践，不仅突破了传统网络安全体系的技术瓶颈，还为行业提供了具有借鉴参考价值的实践路径。在理论到实践、人力到智力、战时到平时的全面创新中，光大证券的实践探索展现了大模型技术在网络安全领域的广阔应用前景，为证券行业的数字化转型与网络空间安全保驾护航。

（此文刊发于《金融电子化》2025年2月上半月刊）