智能平权下网络空间态势智能分析的新范式

智能平权下的网络空间态势

智能分析的新范式

截至 2025-12，全球开源大语言模型（≥10B）约 30-35个；其中中国占20个左右，且 70% 集中在 2024-05 之后发布，DeepSeek的开源引爆了以大语言模型开源为代表智能平权的浪潮，这使更多的公司能够以相对更低的成本实现智能在垂直行业的深度应用。

本文探讨人工智能技术在网络空间态势分析中的应用。

一、网络空间态势智能分析的需求

由于网络底层架构设计的影响，网络空间态势感知（CSA）长期面临“数据孤岛”与“响应滞后”的双重困境。主要有：

数据碎片化：数据分散于测绘、日志、流量、威胁情报等多源异构数据中，相互缺乏关联性分析；

语义理解局限：自然语言描述的非结构化数据在语义理解方面NLP等算法需人工大量标注数据和训练模型，模型结构需人工确认，效率低下；

分析需求的多变性：由于不同时间会有不同的数据分析需求，导致网络空间态势智能分析系统的输出具有多变性。

二、知识图谱和大语言模型相互增强原理

大语言模型增强知识图谱构建能力

KG通过将网络空间中的人、机、物、事件、漏洞、威胁等实体及其复杂关系进行结构化表示，构建了一个语义化的“网络地图”，使得机器能够理解和推理网络环境中的各种要素。而LLM则凭借其强大的自然语言处理、信息提取和生成能力，能够从海量的非结构化文本（如威胁情报报告、安全博客、漏洞公告等）中自动抽取知识，并用于构建和扩展KG。二者的结合，形成了一种“认知-决策”的协同增强模式。

知识图谱增强大语言模型专业性

KG为LLM提供了领域知识和上下文，使其能够生成更准确、更可靠的洞察；

而LLM则为KG的分析提供了更强大的自动化能力。这种协同作用，使得从“看见”到“看懂”的转变成为可能，为提升对APT等高级威胁的检测与溯源能力，以及增强对关键信息基础设施的风险评估与防护能力，奠定了坚实的技术基础。

三、关键技术突破

KG和LLM联合应用，在能力增强方面还需完成以下3个方面的技术突破：

（1）图算法与LLM融合：利用图算法结合LLM的上下文理解和推理能力，实现“结构+语义”双维度推理。

（2）持续学习框架：模型通过图谱反馈不断修正参数，形成“分析-验证-优化”闭环；

（3）可解释性增强：结合图谱的可视化特性，使模型的推理过程具备可追溯性，避免“黑盒决策”。

四、实践案例

赛博易安在持续对网络空间态势分析能力建设过程结合行业特点，搭建了一套产品体系，完成网络空间态势分析功能。其中易泰平台采取了KG和LLM相结合的技术方案，是网络空间态势数据分析的基础平台。

技术架构

易泰平台的技术架构体现了“AI+KG”的深度融合，其核心组件包括：

数据接入层：数据来源广泛，包括结构化、半结构化以及非结构化的多源异构数据 。

数据处理层：这是易泰核心组成之一。系统利用LLM对非结构化和半结构化数据进行信息抽取。与传统基于规则或深度学习的方法相比，LLM在实体识别和关系抽取任务上表现出更高的效率和准确性。

数据存储层：在这层易泰平台内置了一套适用于网络空间态势分析的本体设计，同时结合数据处理层的算子平台，可帮助用户快速开展一整套数据接入及存储。

公共组件及服务层：网络空间态势分析常用的基础功能在这里都可以进行选配，包括“一键搜”、“GIS分析”、数据服务、智能应用服务等功能。

应用价值

易泰平台的应用价值不仅在于可以快速完成网络空间各类数据的接入，更在可以快速定制数据分析处理过程，满足用户不断调整的业务需求。通过可视化的方法可完成本体构建、接入过程构建、处理过程构建和输出界面的快速搭建，支撑网络空间态势分析的各类业务场景实现。

五、联合应用的未来趋势

多模态融合：结合图像、视频等多源数据，扩展图谱维度。

联邦学习：在隐私保护下实现跨部门知识共享。

边缘智能：将联合模型部署至终端设备，提升实时响应能力。

六、结论

KG与LLM的联合应用，正推动网络态势分析从“被动响应”转向“主动认知”。这一技术范式不仅提升了安全防御的智能化水平，更重构了态势分析的模式与效率。未来，随着技术的持续迭代，其将在国家网络安全、企业防护体系等领域发挥核心作用。