澜砥威胁检测垂直大模型基于大模型技术，融合生成式AI与传统安全技术，相比传统分类模型，具备更强的理解能力和分析能力，能有效提升对新型未知威胁的检测效率，同时降低误报率。该模型适配多种安全场景，包括端点防护、流量分析、威胁分析和态势感知等，可显著提升产品的检测和知识输出能力。
澜砥垂直大模型属于生成式模型，不受传统分类模型的分类数量限制，具备更强的理解能力和分析能力。在2024 年人工智能技术赋能网络安全应用测试中，安天将该模型部署在华为国产化昇腾硬件平台上，实现了与硬件厂商的适配协作，同时使用该模型的检测能力，实测提升了对于新型未知威胁的检测效率，降低了误报率。
澜砥垂直大模型基于安天赛博超脑20余年积累的海量样本特征工程数据训练而成，本次测试仅应用了其中千分之一的数据进行训练。训练数据包括文件识别信息、判定信息、属性信息、结构信息、行为信息、主机环境信息、数据信息等，支持对不同场景下向量特征进行威胁判定和输出详实的知识理解，形成应用不同需求和场景的多形态的检测方式，提升后台隐蔽威胁判定能力，进一步为安全运营赋能。
通过在安全产品中加装该模型，应用模型检测响应，可有效提升端点产品、流量产品、分析产品和态势感知等产品的场景化检测能力与知识输出能力，支撑对威胁的理解和响应处置。
为了更好地处理二进制数据和执行体分析的特殊需求，安天设计并实施了特定的模型架构。通过调整和优化模型的内部结构，提高了模型对二进制文件的理解能力。通过引入能够更有效处理二进制数据的编码机制，并调整模型的注意力机制，使其更聚焦关注二进制数据中的有效信息。
同时，安天对该模型进行特定领域的预训练和微调，使模型在处理任务时更加精准有效。通过使用与网络安全相关的大量数据集进行预训练，模型能够学习和理解与安全威胁相关的复杂模式和特征。此外，通过在特定的威胁检测任务上进行微调，模型的性能和准确性得到进一步提升。
除执行体样本对象外，澜砥垂直大模型还专门适配威胁对抗和安全运营场景，特别改善了对强时序数据对象（如日志、网络数据流）的检测能力。在不同算力环境、不同网络联通或隔离条件下，既能发挥传统反病毒引擎体系的高速、精准、可弹性定制剪裁的优势，也在威胁的检测识别能力方面具有良好的泛化效果和鲁棒性。
基于 “叠加创新”的设计理念，澜砥垂直大模型在赛博超脑侧与安天特征工程和知识工程融合，提升了特征工程和知识工程运行质量。在客户侧，通过生成式大模型技术，为威胁检测和分析产品提供更强的威胁鉴定能力和威胁知识输出能力。安天的端点产品、流量产品、分析产品和态势感知等产品可加装该模块，进一步解决人工智能在数字安全领域的应用需求，协助客户有效应对数字智能时代的安全挑战。
考虑到当前的新的算力危机背景下，绝大多数客户本身难以承载独立的GPU算力体系建设成本。安天针对澜砥垂直大模型，提供了接入赋能、低算力条件部署和独立算力建设三种方案。所需的算力显著低于常见开源模型，在能耗和使用成本方面具有明显优势。
澜砥垂直大模型是安天在AI驱动网络安全技术研发创新方面的重要突破，安天将持续深耕网络安全核心技术创新，为推动网络安全领域的智能化和自动化做出更大贡献。

澜砥垂直大模型能够解码和分析各种文件类型，包括PDF和PowerShell脚本，显示出对潜在威胁的高敏感性。早期尝试表明，生成式模型能够分析和识别威胁行为。但将生成式模型应用于网络安全领域时，业界遇到了多个挑战。如二进制理解能力减弱、上下文长度限制、信息丢失和编码问题、高成本等。
二进制理解能力减弱挑战方面，随着模型对自然语言处理能力的加强，对二进制文件的理解能力反而减弱，导致模型难以直接应用于执行体分析。
上下文长度限制方面，目前的模型对上下文长度有限制，而分析复杂的恶意软件通常需要更长的上下文，超出了现有模型的处理能力。
信息丢失和编码问题方面，由于UTF8编码和词表的限制，二进制分析中关键信息的丢失，以及不同编码方法（如UTF-8和BPE编码）带来的挑战，影响了检测的准确性和效率。
此外，尽管使用生成式模型在网络安全中有其潜在优势，但高昂的运行成本是一个重大挑战。因此，业界正努力通过优化模型结构和训练方法，以减少所需的计算资源和成本，同时保持或提高模型的检测性能。
为了解决上面的问题，安天在领域专用模型方面进行工作，开发专门针对网络安全领域的生成式模型，希望克服上下文长度限制，提高对二进制文件的理解和分析能力。
为了更好地处理二进制数据和执行体分析的特殊需求，开发团队设计和实施了特定的模型架构。这些架构通过调整和优化模型的内部结构，提高了模型对二进制文件的理解能力。通过引入能够更有效处理二进制数据的编码机制，和调整模型的注意力机制，使其能够更关注于二进制数据中的有效信息。
针对现有生成式模型上下文长度限制的问题，领域专用模型的开发包括了尝试提高模型能够处理的上下文长度。改进了模型的内存管理和信息处理能力，使模型能够在保持计算效率的同时，处理更长的数据序列。这对于分析复杂的恶意软件和执行体尤其重要，因为这些任务常常需要分析大量的代码和数据。
对模型进行特定领域的预训练和微调。通过使用网络安全相关的大量数据集进行预训练，模型能够学习和理解与安全威胁相关的复杂模式和特征。此外，通过在特定的威胁检测任务上进行微调，模型的性能和准确性得到了进一步的提升。这种预训练和微调的过程使得模型在处理网络安全任务时更加有效和准确。
为了克服信息丢失和编码问题，安天针对二进制数据开发了新的编码策略，以更有效地将二进制数据转换为模型能够处理的格式，同时减少信息丢失。利用深度学习技术直接从二进制数据中学习表示，从而避免了传统编码方法的限制。
模型结构和训练方法的优化方面，安天通过优化模型结构和训练方法，能够使用更少的参数达到与原有模型相似甚至更好的性能，从而显著降低成本。
安天还探索了多模态模型的可能性，这种模型可以同时处理自然语言、图像、音频等多种数据类型，增强模型的通用性和适应性。相关技术成果在该技术中得到了集中应用。

安天澜砥实验室开发的澜砥威胁检测垂直大模型是一项重要的技术突破，该模型将深度学习技术与传统的网络安全方法相结合。模型通过在海量的网络安全相关数据集上进行预训练，掌握了较为复杂的威胁模式和特征，同时可以通过针对性的微调，提升在特定安全任务上的表现。该模型应用于样本分析或动态数据流分析。
澜砥威胁检测垂直大模型在分析静态样本方面进行权威测试，获得业界领先水平。此外，该模型还优化了对动态数据流（日志和网络流量）的实时分析能力，以应对快速演变的威胁环境。
模型的设计理念体现了"叠加创新"的思想，通过与安天现有的特征工程和知识工程体系深度融合，实现了传统方法与新兴AI技术的优势互补。这种融合提高了威胁检测的准确性和效率，增强了模型在复杂、多变的网络环境中的适应性和鲁棒性。通过生成式AI技术，模型能够提供更为深入的威胁分析和知识输出，从而增强了安全分析师的决策支持能力。
在实际部署方面，安天充分考虑当前企业面临的算力资源限制，提供了灵活的部署方案，包括云端API接入、低算力本地部署以及高性能独立算力建设。多元化的部署策略意图在降低该模型采用门槛，同时为不同规模和需求的组织提供适配的解决方案。相比常见的开源模型，澜砥威胁检测垂直大模型在算力需求和能耗方面表现出显著优势，从而有益于企事业单位对于控制总体拥有成本（TCO）的需求。
澜砥威胁检测垂直大模型的发展提升了威胁检测和响应的自动化水平，为安全分析提供了新的视角和工具。随着模型的不断优化和迭代，安天认为，基于AI的安全解决方案将在未来的网络防御战略中扮演越来越核心的角色，推动整个行业向更智能、更主动的安全态势迈进。