在数字化转型的纵深推进中，网络安全告警数据的处理已成为企业安全运营的核心挑战。日均百万级的告警洪流、居高不下的误报率以及复杂多变的攻击手段都让安全运营团队疲于应对，亟需技术革新以提升运营效能。在此背景下，迪普科技网络安全智能运营平台依托大语言模型（LLM）技术，深度融合专家经验，构建了“智能研判-动态优化-全景洞察”于一体的智能研判体系，打造出具备持续进化能力的安全运营智能体。该平台现已全面适配DeepSeek-R1系列模型，借助其强劲的深度思考和推理能力，实现了告警研判准确率的再度提升，推动安全运营战斗力持续升级。

图片

图片

误报是网络安全告警处理中长期存在的痛点。传统安全系统多依赖规则或签名进行检测，虽能识别部分威胁，但易产生大量误报，此类误报不仅消耗安全团队的时间与精力，还可能掩盖真实威胁。

迪普科技利用自身积累的大量历史告警报文与专家标注数据对DeepSeek-R1系列模型进行微调训练，使其可精准解析告警上下文中的攻击意图、行为模式及上下文关联，并在此基础上创建安全运营智能体，实现全天候不间断的告警研判，大幅提升告警研判的效率和准确率。机器研判日均可达万条，相比单日人工仅能研判几百条，整体效率提升十倍以上。

图片

图片

单纯依赖静态模型的告警研判易受信息噪声、数据稀疏性及攻击手段快速迭代的影响。为此，迪普科技在安全运营智能体中创新性地引入“Expert-in-the-Loop”人机协同机制，将安全专家的实战经验融入大语言模型，构建“经验沉淀-智能推理-持续优化”的知识闭环。

经验沉淀

通过解析专家对典型攻击载荷的研判逻辑（如SQL注入、横向渗透等），构建覆盖攻击特征、处置策略的智能告警研判知识库，为模型告警研判提供高质量的数据支撑。

智能推理

面对新告警时，通过语义搜索与动态重排序算法等从告警研判知识库提取相关专家研判经验，并注入模型以实现精准分析。

持续优化

安全专家可通过交互式研判机制，针对研判输出补充关键线索（如攻击链推测、调整威胁等级），引导模型进行深度分析，然后将交互结果分类验证后整合至知识库，驱动智能体持续迭代优化，实现“越用越智能”的良性循环。

图片

网络安全事件具有强关联性，单一告警需结合资产、漏洞、其他设备日志等多维度数据方能还原攻击全貌。迪普科技安全运营智能体可以自动提取告警核心要素，并联动资产管理、漏洞管理和日志管理等系统，实现多维度信息综合研判，进一步提升告警研判的准确率和全面性。

同时，安全运营智能体还可以基于研判过程生成研判报告，清晰呈现攻击链、受影响资产清单等，以及基于ATT&CK框架的战术映射，助力安全团队实现快速响应与溯源。

在某客户实践中，安全运营智能体基于多维数据关联分析，对聚合后的攻击告警进行全生命周期研判，精准还原从SQL注入、Webshell植入到数据窃取的APT攻击链路，同步输出包含ATT&CK战术映射、受影响资产拓扑及威胁IoC的安全态势报告，最终通过闭环响应机制自动化生成处置建议并触发精准响应动作。

图片

随着技术的不断发展，迪普科技网络安全智能运营平台将持续进化，构建基于威胁情报图谱和用户行为分析的攻击预测系统，实现从“事后追溯”到“事前布防”的范式转变，开发可视化决策溯源系统，展示AI研判逻辑与证据链，降低模型“黑箱”风险，增强安全团队对AI决策的信任度。

在数字化安全的新纪元，迪普科技将以大语言模型为引擎，助力千行百业打造“智能研判、精准防御、自适应进化”的新一代安全运营体系，为数字经济构筑稳固防线。