本文版权为《邮电设计技术》所有,如需转载请联系《邮电设计技术》编辑部
摘 要:在5G/云网融合背景下,通信运营商面临异构日志治理难、告警处置低效、AI攻击防御滞后三重挑战。提出基于人工智能的新型安全运营体系,该体系通过XDR架构与图神经网络(GNN)实现核心网、基站、终端日志的跨设备智能聚合;结合强化学习构建“AI初筛—专家精判”分级机制;沉淀SOAR自动化处置剧本。实测结果表明,AI模型将原始告警日均处理量从11041条压降至18条,安全事件调查耗时从12h压缩至15min,运营效率提升48倍。
关键词:网络安全;大模型;智能聚合;强化学习;自动化处置
doi:10.12045/j.issn.1007-3043.2025.11.009
概述
随着5G/云网融合的加速推进,运营商网络呈现全域连接、服务泛在化的特征。网络安全对运营商提出了三大挑战:一是数据治理困境,异构设备日均产生TB级日志,跨系统关联分析缺失导致有效威胁识别率难以保障;二是响应效率瓶颈,人工处置速度(200条/h)与攻防时效要求(分钟级响应)存在量级差距;三是新型威胁防御滞后,AI驱动的自适应攻击(如APT攻击、高级混淆攻击)使传统规则库漏报率持续提升。
在此背景下,国家出台相关法律法规对网络安全体系做出要求,其中《网络安全法》第三十一条、《数据安全法》第二十七条明确要求建立“主动防御、智能协同”的安全体系,因此运营商行业面临着合规压力,技术升级的需求迫切。为满足上述需求,行业内通过生成式人工智能的三大核心技术路径重构安全运营范式,为网络安全领域升级迭代提供了新路径。
多维数据融合技术:基于Transformer架构的日志解析模型,可自动识别多种异构日志格式,通过注意力机制构建跨设备事件关联图谱,将威胁检出准确率从传统规则引擎的68%提升至92%。
动态风险评估体系:利用强化学习算法实时分析攻击链上下文,自动生成风险等级评分,并通过可解释性AI技术输出攻击意图分析报告,使安全人员决策效率提升80%。
自动化响应闭环:结合自动化编排响应(SOAR)平台,生成式AI可根据预设剧本自动执行阻断攻击IP、隔离感染终端、触发漏洞修复工单等操作,将平均响应时间(MTTR)从人工处理的720min压缩至15min以内,实现从“被动处置”到“主动免疫”的能力跃迁。
本研究立足运营商行业网络安全场景,致力于解决异构系统日志关联分析低效、安全运营人力成本高、新型攻击防御乏力3个方面的核心痛点。通过多源数据智能聚合的XDR技术架构实现告警聚合降噪,沉淀SOAR自动化处置剧本以压降安全防护应急响应时间,使用强化学习构建未知威胁检测能力。研究成果不仅为运营商行业构建主动防御体系提供技术路径,也通过探索专属告警调优,实现了安全运营效率提升。
