在数字化变革与攻防格局加速演进的时代,网络安全正站在十字路口。传统 SOC 模式(依赖规则、签名、本地人工分析)在面对海量告警、越来越复杂攻击手段(APT、零日、内外部协同攻击等)时愈显捉襟见肘。近期,The Hacker News 发布的研究指出:安全团队每天处理平均 960 条告警,且约 40% 的告警因资源限制被完全忽视,61% 被忽视的告警后来被证实为关键安全事件 。告警洪流与分析瓶颈已成为现代 SOC 的“承压墙”。
在这种背景下,AI(尤其是大模型)正被视为安全运营的关键转折点。从实验性质工具逐步演进为优先战略,AI 正在重塑威胁检测、告警处置、调查响应、资源分配、人员协作等多个维度的能力。以下,我们将从多个方面剖析 AI 在安全运营中的核心价值。
一、缓解告警洪流与警报疲劳
1. 告警海量、资源有限的痛点
研究指出,大型组织可能每天用 30 多种警报源产生 3000+ 条告警,普通组织也面临 900 余条/日的告警压力。人力分析师根本无力处理如此规模。
在这些告警中,很多是重复、低价值或者误报,如果由人工逐条过滤,不仅效率极低,还极易因疲劳漏掉真正关键的威胁。
2. AI 的告警优先级排序与智能聚合
AI 系统可以对告警进行自动分类、打标签、优先级排序、聚类与关联,将高危警报提前推送给分析师,低价值或重复警报自动屏蔽或延后。
据报道,已有 55% 的安全团队在生产环境中部署 AI 助手,作为警报分拣与初步分析工具使用。
二、提升调查效率与上下文深度
1. 历史数据与实时日志的跨域关联
传统分析师在调查时需跨系统、跨产品搜集日志、网络流量、身份认证、主机状态等信息,耗时极长。
AI 模型(包括大模型、图神经网络、行为分析模型等)能够自动整合多源信息,构建攻击路径、揭示侧面关联,并将关键信息摘要推送给分析师。
2. LLM 的“辅助认知”角色
最新研究表明,LLM 在 SOC 中更多被用于“帮助理解上下文、生成可读分析结论或草稿、技术翻译”等辅助任务,而非直接做高风险判断。
一项基于 45 名分析师、超过 3,000 条问答的长期观察显示:分析师用 LLM 来做低级电信号解读、命令含义解释、分析报告草稿润色等(占大部分使用案例),而关键决策依然由人类判断主导。93% 的查询符合主流网络安全能力框架(NICE)中的标准任务。(arXiv)
这种人机协作模式既能加速调查流程,也能保证人工主导判断的可控性。
三、加速响应、自动执行
自动化响应建议:在分析检测到威胁后,AI 能基于历史响应模式与行业最佳实践,向分析师推荐响应步骤(如封禁、隔离、取证等)。
半自动 / 全自动执行:对于可预定义、风险较低的流程(如隔离某一端口、阻断可疑连接、邮件附件隔离等),可由 AI 或 SOAR 平台自动执行,进一步提升响应速度与精确度。
自适应优化:AI 可根据组织历史反馈和响应效果,动态优化自己的建议和自动化策略,使响应越来越贴合组织实际。
四、优化资源分配与组织效能
1. 分层职责重塑
通过 AI 自动处理大部分重复任务,可以让一线分析师从“流水线处理者”转为“AI 操作者 + 初步判断者”,而高级分析师则专注于复杂溯源、模型优化、战术策略。
同时,SOC 管理者更多聚焦战略思维和跨部门协作,而不是日常告警指标监督。
2. 缓解分析师疲劳与降低流失率
告警疲劳是现代 SOC 分析师高流失率的重要原因。AI 帮助减轻重复性工作负荷,提高工作效率与满意度,从而有助于稳定团队。
The Hacker News 的调查指出,过载警报使团队被迫选择忽略部分告警,而这正是漏报形成的根源。
3. 覆盖率提升与安全盲区缩小
目前由于资源瓶颈,很多告警根本无人调查。研究表明,40% 的警报因资源限制被完全忽视。
在 AI 辅助下,范围更广、优先级更有结构的告警将被覆盖分析,从而减少被迫忽视的重要风险。
五、制约与挑战:应对风控与信任问题
虽然 AI 在安全运营上的价值巨大,但落地并非零阻力。以下是常见挑战与应对方向:
| 挑战 | 说明 | 应对思路 |
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
在学术界,也有针对这些挑战的研究。例如《A Unified Framework for Human-AI Collaboration in SOCs》提出了一种层级自治(autonomy tiering)机制,将 AI 有不同自治级别与人类协作机制相匹配,以适配不同任务的风险程度。
又如《Towards AI-Driven Human-Machine Co-Teaming for Adaptive and Agile SOCs》提出,让 LLM 型 AI 代理从人类分析师那“学 tacit knowledge”,形成协作队伍,提升整体效率。
结语
AI 在安全运营中的价值,不再是遥远的愿景,而是在“告警洪流”下缓解瓶颈、在“人为极限”中放大效率、在“复杂攻击”前提供协同判断。它不仅是对传统 SOC 的补足,更是一场以人为本的能力进化。未来的 SOC,是 AI 与人类智力协作的融合体:AI 处理繁复任务,人类主导判断与策略。
为了真正实现这场变革,组织必须在技术、流程、人才、治理与文化层面同步准备。唯有如此,才能在新一轮网络攻防博弈中立于不败之地。
《完》
注:
封面由sora生成,
本文由作者和AI共同完成。
参考文献:
The Hacker News. (2025, September). The State of AI in the SOC 2025 — Insights from Recent Study. Retrieved from https://thehackernews.com/2025/09/the-state-of-ai-in-soc-2025-insights.html
Omdia. (2025). Human-Centered AI: Redefining the Modern SOC. Omdia Research Report.
Software Analyst. (2025). Revolutionizing Security Operations: The Road to AI-Enhanced SOCs. Software Analyst Industry Insights.
IBM Security. (2024). Cost of a Data Breach Report 2024. IBM Corporation. Retrieved from https://www.ibm.com/security/data-breach
Google Cloud Security. (2025). The Future of AI-Driven Cyber Defense. Google Cloud Whitepaper. Retrieved from https://cloud.google.com/security
Wang, T., Chen, L., & Zhao, Y. (2025). A Unified Framework for Human-AI Collaboration in SOCs. arXiv preprint arXiv:2505.23397. Retrieved from https://arxiv.org/abs/2505.23397
Li, Z., Zhang, H., & Sun, X. (2025). Exploring the Role of LLMs in Security Operations Centers. arXiv preprint arXiv:2508.18947. Retrieved from https://arxiv.org/abs/2508.18947
Xu, M., & He, K. (2025). Towards AI-Driven Human-Machine Co-Teaming for Adaptive and Agile SOCs. arXiv preprint arXiv:2505.06394. Retrieved from https://arxiv.org/abs/2505.06394
Microsoft Security. (2025). AI-Powered Security Operations: From Detection to Response. Microsoft Whitepaper. Retrieved from https://www.microsoft.com/security
Palo Alto Networks. (2025). Cortex XSIAM: The Autonomous SOC. Palo Alto Networks Whitepaper. Retrieved from https://www.paloaltonetworks.com/cortex/xsiam
MITRE Engenuity. (2024). AI and Cyber Threat Intelligence: A Framework for Adaptive SOCs. MITRE Corporation. Retrieved from https://mitre-engenuity.org