360 安全大模型以 360 首创的COE 大模型架构，打造了集合“攻击检测大模型、运营处置大模型、安全知识大模型、内容安全大模型”等安全垂类大模型的大模型矩阵，以帮助政企单位应对各类大模型应用场景。同时，360 安全大模型通过重新定义知识获取、安全研判和安全处置流程，实现了“看见+ 处置”安全体系的智能化升级，为数字安全带来了革命性的创新。
360安全大模型核心技术架构:
360基于独有的类脑分区协同（CoE）安全大模型，在突破基于海量安全大数据的自主安全大模型训练技术、基于类脑分区协同的安全智能体构建技术、全场景细粒度网络安全工具增强生成技术等关键技术的基础上，设计安全大模型平台整体架构。
1. 类脑分区协同，重塑安全架构
基于自主研制的大模型底座，针对日志数据、告警数据等海量安全数据特点，通过重构模型结构、调整模型推理程序，实现面向安全数据的专项预训练，设计形成具有类脑分区协同（CoE）结构的安全大模型。该模型由语言中枢、规划中枢、判别中枢、记忆中枢和道德中枢组成，可面向专项安全数据，实现一体化训练和推理，模型参数分区调整。
2. 智能任务调度，优化运营流程
本模型研制自主安全任务调度智能体框架，通过设计安全智能整体架构，设计任务生成引擎、任务编排引擎、指令调度引擎、监督评测引擎、记忆存储、执行反馈等部分，实现安全任务目标理解、逻辑推理、效果评估和知识记忆等能力。支持连接、配置、驱动、协同各类安全工具产品，显著提升单个产品和系统整体的能力，并使运营效率最大化。
3. 构建专用知识，强化安全防御
面向安全业务中通用知识查询、专用知识问答、文档生成辅助等业务应用场景，重点针对现有大语言模型存在安全专有领域知识无法理解、数据过期、生成式幻觉、常识偏差等问题，以安全大模型为底座，研制专用向量化安全知识库，基于纠错反馈机制对安全领域知识进行检索增强，构建安全领域安全业务智能助手，对接安全领域业务应用，实现安全专用知识问答、安全文档智能化生成，全面提升安全知识管理的智能化转型。
4. 自动识别威胁，精准溯源打击
基于安全大模型平台，通过对接终端行为日志，将自动进行终端威胁狩猎任务意图识别、任务规划，对于终端日志数据进行深度研判分析，并根据研判结果进行自主的溯源规划，形成溯源任务编排方案，结合攻击技战法知识，自动给出攻击检测判定、绘制攻击路径，并归因到相关攻击组织，最终形成攻击者画像以及相应的终端威胁狩猎分析报告，为安全专家提供深度研判的基础支撑。

360安全大模型系统在安全防护领域其展现出多项显著优势：
1. 底层创新驱动，深度融合场景
与当前很多厂家采用开源大模型挂接专用知识库的方式不同，360以自研大模型为基础，在模型结构、推理程序等模型底层进行创新，独创“类脑分区协同（CoE）”安全大模型结构，真正做到掌握模型核心机理，模型可以“打的开，调的了，训的起来”，只有这样才能将“大模型+安全”的道路走深走远。
2. 全链路猎杀，精准捕捉威胁
以360 EB级高质量安全数据为基础，360安全大模型系统通过海量终端数据、网络流量、日志数据的预训练，学习各种攻击的特征，进而能够准确识别潜在威胁和攻击行为，对日志、告警进行深度研判，并结合专用猎杀工具，实现自动化的溯源分析、正向推理、证据链关联等，分析出完整攻击链路，发现真实攻击意图并给出处置建议。
3. 邮件深度检测，全面阻断钓鱼
大模型通过分析邮件安全网关上报的邮件内容，补充检测传统专家规则遗漏的高隐蔽性恶意邮件。360安全大模型从自然语言语义、不合理习惯等方面深入理解邮件内容的上下文，分析邮件中的意图，比如是否试图诱导用户执行某些动作，如打开附件或访问链接等。同时大模型具备跨语言的检测能力，对非中文的钓鱼邮件同样能够通过语义理解进行识别。
4. 分析恶意流量，实时发现异常
安全大模型通过对恶意流量的语料训练，摆脱传统基于静态规则的检测方式，不再依赖外网环境和定期的规则更新，以智能化的推理研判能力，帮助企业发现异常流量和潜在的网络入侵。例如，SQL注入攻击、权限绕过、口令爆破、命令注入类研判等。同时使用自然语言，对判定的依据进行说明，降低对运营人员专业能力要求，加速应急响应处置决策。
5. 自动化运营，提升防御效率
360安全大模型系统优化了安全运营工作全流程，提供自然对话方式，降低技术门槛，自动化完成日常琐碎工作，协助运营人员更快、更准确地做出决策，提升工作效率。具备辅助告警解读、高危事件自动筛选、日志解析规则推荐、处置预案推荐、安全事件统计、安全报告撰写等能力。

银行、保险、证券等金融机构80%以上的业务在IT信息化系统上开展，网络攻击者和金融犯罪分子也随之发展出越来越复杂的攻击和犯罪手段，试图窃取数据、实施金融诈骗、洗钱或破坏关键系统。
1. 金融领域面临的主要安全风险分析
（1）海量告警噪声与安全事件筛选难题
银行系统的数字化转型使得网络安全监控系统每天生成大量的安全告警，但其中大多数告警属于误报或无关的低优先级事件。面对这些海量的告警，安全运营团队很难迅速筛选出真正的威胁事件，导致一些重要的安全风险被淹没在噪声中。缺乏有效的告警降噪和优先级划分手段，使得运营团队的工作负担加重，难以及时应对实际的攻击威胁。
（2）复杂网络攻击与溯源困难
现代网络攻击往往是由多个步骤、多阶段的攻击链组成，攻击者通过长期潜伏、逐步渗透金融系统，从不同角度发起攻击。入侵者通常利用银行系统的漏洞或员工操作失误，结合恶意软件、SQL注入、钓鱼邮件等手段，实施针对性的攻击。由于攻击链条长、数据繁杂，金融机构在还原攻击路径及进行威胁溯源时面临极大的技术挑战。
（3）金融诈骗威胁与网络钓鱼攻击
金融诈骗是另一大威胁，包括网络诈骗、假冒银行员工实施诈骗等方式。攻击者通过伪造银行网站、冒充客服人员、发送虚假信息，诱使用户泄露账户信息或进行非法转账。这些攻击手段不仅针对银行系统，还会直接侵害银行客户的利益，导致客户信任度下降，并给银行带来声誉风险。钓鱼邮件在金融行业中较为常见，攻击者通常通过伪装成可信来源的邮件，诱使银行员工点击恶意链接或下载附件。这类攻击不仅会导致数据泄露，还可能打开恶意软件的入口，进一步渗透银行系统。此外，跨语言的钓鱼邮件也使得传统的安全检测手段难以覆盖所有的威胁场景。
（4）异常流量与未检测的网络攻击
网络流量异常是金融系统安全风险的另一大来源。攻击者常通过异常流量、权限绕过等手段，绕过传统安全防御，悄然入侵系统内部。由于这些流量攻击隐蔽性高、变化快，传统基于静态规则检测手段的滞后性往往难以有效识别。这使得银行系统在面对新型、变异的攻击手段时防御能力不足，面临极大的潜在风险。
2. 360安全大模型的银行应用场景
（1） 银行高级威胁猎杀与网络行为深度分析
很多客户虽然已部署多种网络安全产品，但在当前国家网络攻防博弈的大背景下，伴随攻击工具攻击手法的不断升级，仍无法确保网络资产固若金汤。360安全大模型针对安全产品产生的告警进行威胁猎杀。模仿安全专家的操作步骤从告警的信息中抽丝剥茧，收集证据、证据串联、还原等动作，拿到有说服力的强证据从而判定攻击更真实的情况。利用专项训练的安全大模型对系统关键节点的网络流量数据做自动化的分析，从而识别异常或可疑的网络流量（包括不寻常的端口使用、不寻常的协议使用甚至来自可疑IP地址的流量），借此自动化的识别出系统网络内可能存在的网络攻击行为和异常通信行为。
（2）银行系统安全自动化运营
利用专项训练的安全大模型，对系统内海量的安全日志数据进行实时分析，一方面利用安全大模型检测出可能存在漏洞利用行为或攻击行为，并实现自动化的溯源和结果定性；另一方面利用安全大模型的自动化分析能力，降低安全运营人员的工作负担，从而使得他们可以将更多的时间和资源投入到更复杂的安全问题上。与此同时，还可利用安全大模型，引入360云端高位安全知识库并与系统内部知识相融合，形成系统自有安全知识库以拓宽系统内部运营人员能力半径。
（3）网络钓鱼深度检测
利用系统大量的邮件数据对安全大模型进行训练，确保其能够分析邮件的内容和结构，从而识别可能的网络钓鱼攻击。例如，如果用户点击了可疑的链接或在回应网络钓鱼邮件时输入了个人信息，基于安全大模型的解决方案可以标记该活动并警告安全运营人员。安全大模型能够通过对恶意流量告警、恶意邮件的安全语料的训练，实现智能化的判别恶意流量告警、钓鱼邮件，并提供判定的依据。
（4）银行安全知识咨询
在日常安全运维过程中，无论是日常告警研判、政策了解、威胁情报查询等均需要从外部咨询相关的安全知识。360将积累了近20年的攻防实战经验、知识，海量的情报数据融入360安全大模型。安全运营人员可随时通过360安全大模型获取安全漏洞知识库、恶意样本知识库、威胁情报库、攻防对抗知识库、APT攻防对抗图谱等360特色的安全知识。同时还能获取如安全常见场景解决方案、安全运营知识、HW&重保经验、应急处置预案等安全行业经验的积累。360安全大模型除了基于外部的知识外，还可以融合金融客户私有的知识，使得安全运营人员能够得到只属于本企业的个性化建议和结论。