基于RAG提升大模型安全运营效率实践  

导读： 该文档围绕安全日志分析展开，对比了传统方法与新技术，探讨大模型在其中的应用与局限，核心聚焦于提升安全运营效率。

1. 安全日志分析难题：以监控“whoami”命令执行为例，分析安全日志面临诸多挑战。传统的黑白名单方案存在局限性，如父进程被攻击、新增业务、日志量庞大、出现新域名时难以应对，且无法覆盖所有攻击方式。机器学习方法虽有进步，但向量化过程中，像TF - IDF/Word2Vec存在相同词在不同上下文无法区分、不能捕获上下文信息的问题，不同场景通用性差，训练成本高且需定期重训，对未出现样本表现不佳。

2. RAG技术的优势：RAG（检索增强生成）原理是用户提出问题，通过嵌入模型对知识文本进行数据预处理和向量化，存储于向量数据库，检索结果辅助LLM生成回答。其适合分析安全日志，理想的特征编码采用动态向量模型，相比传统方法，向量具有动态性（一词多码）、语义丰富度高（深层语义表征）、领域迁移能力强（微调适配）的特点，虽然计算资源需求较高，但更能适应复杂的安全日志分析场景。

3. 大模型的应用与局限：大模型在安全日志分析中存在问题，任务越多幻觉越严重，部分场景语料不足、特定任务表现差，信息不足时难以给出准确结果。提升大模型准确性需遵循“少做事、扬长处、给信息”原则。在安全运营中，结合告警日志，通过选择合适工作流，利用自有资产库、威胁情报库等进行信息丰富化，借助提示词让LLM分析。对于未知类型日志，人工与LLM协作标记类型、设置预案；已知类型则执行预案，以此在安全运营中合理应用大模型技术，提升整体效率 。