全球权威咨询机构IDC发布了《中国安全运营智能体实测,2025》(Doc#CHC52346025,2025年11月)报告,报告针对国内20余家云厂商和安全厂商,从安全风险评估智能体、告警分诊智能体、事件调查与响应智能体、策略与规则管理智能体、威胁情报的收集与分析智能体、漏洞管理智能体、安全报告智能体、智能体管理等八大实测维度进行测评,整个测评流程依据IPDRR安全运营框架进行了严格测试。
此次测试是在2024年IDC《IDC安全大模型实测之安全运营》评测基础上的重要升级,体现出安全运营场景中的安全大模型应用技术,正在从GenAI技术初步运用演进到更加深入融合的安全运营产品服务能力中,提升用户对于安全事件的了解、判断、分析和响应效率,以“自主规划和行动”为目标,提供贯穿预防、检测、调查和响应的自动化安全风险和事件响应的能力。
在本次测试中,阿里云取得综合总分第一,最高分维度数量排名第一。
IDC报告评价,阿里云作为“国内首批将大模型深度应用于安全运营的产品之一,引领AI for Security和Security for AI趋势。从检测→分析→响应→溯源全链路自动化,显著提升安全自动化运营效率。”
阿里云认为,安全风险的快速发展尤其是攻击方积极采用AI技术,使得以“人的速度”来迭代安全产品已远远落后于“机器的速度”,安全运营需要更智能和自动化的体系来应对。阿里云通过构建多智能体(Multi-Agent)协同的安全运营架构,实现从风险感知、告警研判、分析溯源到处置执行与效果校验的闭环自动化,显著提升响应速度与防御精度,推动安全运营从“人防”向“智防”跃迁,以“机器的速度”对抗AI驱动的新型威胁。
伴随AI智能体技术的发展,阿里云云安全中心向Agentic SOC(Security Operations Center)快速演进。在2025年云栖大会期间,阿里云安全展示了涉及环境感知、告警研判、分析溯源、处置校验、处置执行、安全报告、文件检测等典型场景的多款安全智能体。通过多智能体能力协同,将AI融入到安全在事前、事中和事后的每一个阶段,有效提升了安全技术能力,提供给客户更智能、更高效的安全产品。
在构建Agentic SOC的过程中,以大模型驱动的日志数据处理能力为基础,构建了基于“Graph”技术的动态攻击面,实现对随时变化攻击的实时感知与威胁发现。引入通义千问安全大模型的高级AI推理机制提升对威胁的理解,持续学习和不断更新威胁知识库,保持了对新型威胁的高度敏感性和适应性。最后,基于自然语言的大模型智能体在阿里云Agentic SOC中扮演着至关重要的角色,通过智能体编排和执行,安全智能体能够有效地提升安全运营中心的自动化水平和应对威胁的速度。
发现威胁:大模型日志数据处理和“Graph”技术构建动态攻击面
阿里云云安全中心Agentic SOC的云威胁分析与响应(CTDR)流程始于多源数据的收集与集中处理,汇聚了来自Web应用防火墙、云防火墙、NDR(网络检测与响应)等多个云安全服务的日志数据,涵盖Azure、AWS、腾讯云、华为云等跨云平台威胁检测数据,以及来自Fortinet、微软、深信服、思科等第三方系统的丰富数据来源。海量数据通过“一键AI接入”汇聚至接入中心,进行全局数据关联融合。利用大语言模型对海量、多源、异构的日志进行语义理解、实体抽取与上下文关联,将原始日志转化为结构化的安全知识图谱节点与边。基于Graph技术深入分析多维安全要素之间的复杂关系,可动态绘制攻击者可能利用的路径和脆弱点。
理解威胁:引入通义千问高级推理机制提升对威胁的理解
阿里云云安全中心Agentic SOC智能分析与决策接入中心收集的数据经过初步处理后,引入安全大模型进行深度分析,集合了威胁情报、阿里云专家知识、ATT&CK检测规则等多种安全模型和专家模型。基于通义千问高级推理机制,能够更准确地评估告警的真实性和紧急程度,并通过对历史数据的学习和模式识别,预测某个特定行为是否属于恶意活动的一部分,并据此调整响应策略。分析溯源方面,大模型与专家模型协同,可进行更为复杂的因果关系推断,有助于更快地定位问题根源,以及自动化生成有针对性和有效的安全防护策略。
主动响应:基于自然语言的自动化安全智能体编排与执行
AI安全助手是Agentic SOC的调度大脑,基于先进的自然语言意图识别不同的智能体,自主作出决策并执行相应的防护措施,无需人工干预。通过多个智能体协同执行具体任务,覆盖告警研判、分析与溯源、智能编排进行自动化执行以及事件根因和攻击叙事总结等,迅速对新出现的威胁作出反应,例如隔离受影响系统、阻止恶意IP访问等措施,大大缩短了安全运营工作从检测到响应的时间窗口。
通过将Multi-Agent协同的安全运营架构与先进的通义千问安全大模型相结合,阿里云帮助用户显著提升了安全运营的智能化水平,使得安全防护不再局限于被动反应,而是具备了主动预测、快速响应及自适应调整的能力,应对日益复杂和快速变化的安全威胁环境。目前,阿里云云安全中心基于Multi-Agent协同的告警事件调查成功率达到74%,自动化处理覆盖率达70%。
客户案例
某大型制造企业借助CTDR实现APT攻击精准狩猎与主动防御。面对针对财务系统、供应链系统及源码仓库的高级持续性威胁,该企业传统安全体系长期无法识别长达7个月的潜伏攻击。部署阿里云CTDR后,安全运营效能显著跃升:
01 发现威胁:CTDR融合大模型日志理解与动态图谱技术,构建覆盖全栈资产的“动态攻击面”,将分散的日志转化为实体关系网络,精准捕捉低频异常行为。
02 理解威胁:引入通义千问高级推理机制,对攻击上下文进行语义级解析,自动关联跨系统、跨时段的微小线索,还原完整攻击链,显著提升对隐蔽APT活动的认知深度。
03 主动响应:基于自然语言驱动的安全AI智能体,可自动编排处置剧本,实现“检测-研判-阻断-加固”闭环,并通过模拟攻击者心智模型,动态推演潜在渗透路径,提前加固薄弱点。
关键指标全面提升:
- 平均威胁检测时间(MTTD)从14天缩短至2.3小时
- 平均分析研判时间(MTTA)从7个月压缩至18分
- 平均响应处置时间(MTTR)从37小时降至47分钟
最终,该客户成功识别并闭环防护一起潜伏7个月的APT攻击事件,推动安全运营从“被动响应”迈向“主动对抗”的Agentic SOC新范式。
