深信服千里sangforDeepINsight深信服智安全SANG深信服千里sangforDeepINsight深信服智安全2024年網絡安全深度洞察及2025年趨勢研判DEEPINSIGHTINTOCYBERSECURITYIN2024ANDTRENDANALYSISIN2025千里目安全技術中心全球Windows系統崩潰，再到黎巴嫩突發尋本報告旨在深入分析當前網絡安全領域的關鍵趨勢，探討最新的攻擊手段和防御技術，并提供實用的策略和建議，幫助企業和組織更好地應對網絡安全挑戰。本報告根據國內外開源軟件漏洞發展現狀，分析當前開源軟件漏洞威脅態勢和治理成效；深入研究國內外勒索軟件攻擊發展趨勢與犯罪特點，給出勒索軟件治理的建議與策略；從實際攻防場景出發，深入剖業代表性數據，且均明確注明來源，其余數據來源于報告編寫團隊，目的僅為幫助讀者及時了解中國或其他地區網絡安全本報告中所含內容乃一般性信息，不應被視為任何意義上的決策意見或依據，任何編制單位的關聯機構、附屬機構并不因此構成提供任何專業建議或服務。在作出任何可能影響您的財務或業務的決策或采取任何相關行動前，或您對本報告內容2024年，人工智能大模型深度賦能網絡安全技術革新，在安全運營、威據分級分類場景的大模型正逐步應用，全網//o2024年典型攻防場景中，在橫向移動階段身份攻擊和免殺對抗是最主要的攻// 錄開源軟件漏洞態勢分析01開源軟件漏洞威脅態勢分析01開源軟件漏洞影響分析03.開源軟件漏洞治理與防御的策略與建議04勒索軟件攻擊發展趨勢分析05勒索軟件攻擊發展趨勢分析05勒索軟件網絡犯罪特點分析06勒索軟件治理與合作的策略與建議07攻防場景發展趨勢分析09攻防場景下初始訪問階段技戰法分析09攻防場景下橫向移動階段技戰法分析10攻防場景下安全防御能力建設的策略與建議11人工智能賦能網絡安全應用發展情況分析13網絡安全大模型基本概況13人工智能大模型賦能的網絡安全場景14安全運營15威脅檢測16釣魚郵件檢測17數據分級分類18威脅情報整合與分析192025年重點關注趨勢20參考鏈接22近年來，開源軟件漏洞數量整體呈增長趨勢，2024年統計供應鏈的重要組成部分，一旦爆發嚴重漏洞將對整個軟件供應鏈帶來極大安全風險。開源漏洞數據庫（OpenSource年高危及以上漏洞占比均超40%。漏洞數量逐年增長和高危以上漏洞占比居高，與近年來開源項目的增多和全球開源軟00101洞攻擊者可以獲取任意代碼執行權限，該類型的漏洞在瀏覽器和O?ce軟件中比較常見。已知被0uu0202 主要受以下因素影響：開源軟件通常依賴于社區的支持來發現和修復漏洞，社區的規模和活躍程度會影響漏洞修復0303●二是維護軟件物料清單（SBOM）和開源組件清單。使用自動化工具分析軟件物料清軟件組件、相關漏洞及其對軟件架構的影響。跟蹤項目中使用的所有開源組件對于有效管理和更新漏洞補丁至關三是持續地對項目進行監控并進行全面的安全評估和審查。使用安全工具持續監控生產中的應用程序，自動防止漏洞被利用。對開源工具進行全面的安全評估，確保所有組件定期更新和打補丁。實施嚴格的代碼審查，并使用0404 個重要原因，RaaS的興起極大地降低了勒索攻擊成本，而因勒索攻擊導致的停0505數據泄露，乃至詐騙等核心元素展開的勒索軟件攻擊黑色產業索在網絡犯罪中占有極大的比重。對美國司法部發布的勒索相關網絡犯罪信息進行分析后發現，勒索軟件網絡犯罪主要涉二是加密生態犯罪系統為勒索犯罪提供了非法洗錢服務，包括非法經營匯款業務及轉移和傳輸非法資金等服務。0606不同國家的全面贖金禁令效果各異。比如，澳大利亞最有可能通過全國禁令獲得成功，與美國相比，由于其勒索市場相對較小，即使犯罪分子放棄對澳大利亞的勒索攻擊，其網絡犯罪的目標市場也不會顯著萎縮。相比之下，美國是受勒索軟件攻擊最嚴重的國家，占全球勒索攻擊的50%，勒索犯罪分子并不會因為贖金禁令而放棄攻擊美國。如果我國希望將禁止支付贖金作為阻止資金流入犯罪分子的戰略的重要組成部分，那么一個必不可少的先決條件是國家在應對攻擊時采取更有效的干預措施。勒索軟件現象的核心是經濟和政策激勵機制的錯位。雖然各國政府都在努力加強網絡安全立法和監管，但勒索軟件的頻繁出現表明，現有的政策和激勵機制并未能有效阻止這一威脅的蔓延。資源分配不合理、政府與行業合當前，政策激勵機制面臨的主要障礙包括：一是合法私人利益與公共利益的不一致，當西方國家的私營考慮支付贖金對公共利益的影響并非他們考慮的范疇。二是目前沒有激勵措施促使犯罪分子克制行動，許多勒索犯罪分子并未受到懲罰。三是企業在軟件和硬件生產中缺乏商業激勵，無法在產品設計中充分考慮安全性，從而為勒索攻擊留下了隱患。如果不對激勵機制進行更廣泛的改革，僅僅剝奪受害者的支0707型勒索團伙的打擊，減少了全球范圍內產生巨大影響的勒索大事件。同時，加強對加密生態犯罪系統的是黑市買家和賣家的主要渠道，也是勒索軟件犯罪分子進行非法交易的避風港，對其瓦解和破壞無疑是對勒索軟件犯罪活動的沉重打擊。此外，針對暗網網絡犯罪市場的執法也不可忽視。BreachForums、合作伙伴共同應對勒索軟件威脅，已連續三年舉行國際勒索軟件倡議（CRI）峰會，已有50多個國家和地區參與其中。我國也一直致力于加強雙邊、多邊以及聯合國框架下的國際對話與合作，推動構建網絡空間命運共同體。在關鍵基礎設施保護方面的國際合作至關重要，也是“一帶一路”倡議的重點之一。面對當前勒索軟件攻擊態勢，建議進一步深化在關鍵基礎設施保護方面的國際合作。二是增強公共部門和私營部門的合作。當前，中小企業和其他非政府組織往往缺乏獨立抵御勒索軟件攻擊的能力，合法私人利益與公共利益的不一致導致私營部門未完全向有關部門報告勒索軟件攻擊事件。針對上述公私合作的問題，建議采取進一步措施，加強公共部門與私營部門的協同聯動。考慮組建促進政企網絡安全合作的專門機構，吸引重要網絡安全企業參與，并將信息共享升級為操作協同，通過進一步為中小企業和非政府組織提供實質性幫助，制定對受害者的相應鼓勵和補償機制，以有效改善私營部門報告勒索事件的情況，進而緩解缺乏勒索系統數據的問題。同時，通過加強信息傳播、宣傳和教育，提高公眾對政府機0808一是通過社工釣魚竊取憑證，隨著現在零信任和單點登錄的逐漸普及，可通惡意二維碼和鏈接的方式釣取重要人員憑證。獲取到憑證后可進一步收集企業敏感信息或通過內對內釣魚方式獲取重要人員終端權限。二是釣魚渠道呈現多樣化，包括發送釣魚郵件、直接撥打電話、添加目標人群微信發送釣魚文件、加入相關QQ群發送釣魚文件、偽裝招聘、應聘或通用社交軟件聊天發送釣魚文件、在公眾號中發送釣魚文件、向人工在線客服發送釣魚文件、偽裝相關業務合作發送釣魚文件等。三是釣魚目標更加精準化，不再進行大范圍釣魚，而是選擇特定目標進行精準釣魚。例如關鍵設備的管理員、關鍵系統的運中漏洞挖掘的主要方向。0day漏洞利用網突破使用的通用組件主要為統一身份認證組件和OA組件，由于這兩類組件在國內使用量較大，攻擊者但在攻堅內外網重要目標系統時，會挖掘新漏洞。現場進行黑盒和白盒漏洞挖掘難度較大但效果很好，可在短時間內快速挖掘出高可利用漏洞，從而能最直接獲取重要成果。邏輯漏洞是現場漏洞挖掘的主要方向，原因是邏輯漏洞流量特征弱，當前安全設備無法很好地檢測，邏輯漏洞利用相對隱蔽，不易被發現，使攻擊更0909應鏈攻擊手法進行突破。目前對供應鏈的攻擊手法已趨于成熟，其優勢是很難監控到供應鏈側的惡意流量和攻擊行為，使攻擊更具隱蔽性，并且供應鏈側內部安全建設較差，更易突破。面對無法直接突破的目標，或者希望擴大攻擊面影響范圍時，供應鏈攻擊是一個很好的選擇。在初始訪問階段通過供應鏈攻擊進行目標突破主要使用以下攻擊手法：一是通過攻擊供應商獲取重要系統源代碼并進行代碼審計，這種方式十分隱蔽。并且通過定向審計邏輯漏洞進行突破，邏輯漏洞特征很弱，當前安全設備無法很好檢測，可通過漏洞直接拿下目標。二是通過打下供應商獲取目標憑證，由于運維及技術支持需要，供應商內部會存儲大量甲方的系統和安全設備進行身份攻擊。一是針對常規集控的身份攻擊，內網最敏感且高價值的系統一般為：云管平臺、堡壘機、運維跳板機、運維機器、域控等常規集控。在成功獲取到此類系統權限后，可以在短時間內接觸到重要目標系統，被攻擊者往往沒有足夠時間來進行防御，所以在內網橫向中會優先考慮攻擊此類系統。二是針對知識密集型應用的身份攻擊，信息收集在內網橫向階段也是最常見的攻擊手法之一，因此內網中的知識對性打擊重要目標系統，由于該攻擊手法與正常使用業務方式差異不大，隱蔽性極強，降低被發現概率。三是針對安全設備的身份攻擊，在內網中企業為方便管理大量個人終端、服務器，通常會統一安裝終端集控會通過更新投毒直接控制大量的個人終端、服務器。此外，內網中防火墻設備通常位于不同網段之間的關鍵將在云上部署，隨著微服務和云化的逐漸流行，針對微服務和云化的攻擊呈現增長態勢。從去年開始攻防場景中針對微服務和云化的攻擊就已經有了一定熱度，攻擊者主要通過漏洞、弱口令、存儲憑證竊取等方式，1010目安全技術中心針對近幾年的典型攻防場景進行分析，發現攻擊者為保證后滲透階段各環節實施隱蔽和穩定，在拿到初始權限后，通常會通過一些高級逃逸技術和致盲終端安全軟件的方式進行免殺對抗。第一類方法是第二類方法是通過致盲終端安全軟件進行免殺對抗，利用有漏洞的簽名驅動程序，關閉終端安全軟件進程或者清除終端安全軟件監控功能利用的內核回調機制，或通過創建防火墻策略、WFP（WindowsFilterPlatform）過濾規則，來阻斷終端安全軟件進程與服務端的通信。當前攻擊者已經儲備了成熟穩定的逃逸和致盲終端安全軟件工具，可以對抗絕大部分常見國內外安全終端軟件，可使終端安全軟件暫時或永久失效。 攻防場景的分析，從防御角度深信服千里目安全技術中心給出以下策略與建議：一是需加強對憑證攻擊盡可能在身份認證階段就進行阻斷，不同業務使用不同密碼以防御口令噴灑攻擊。二是構建基于行為檢測技術檢測邏輯漏洞能力，但需要結合多種方法和策略。包括基于訪問圖基線的檢測、基于API模式特征的檢測、基于靜態分析和動態分析的混合方法，以及基于行為分析的檢測。三是需要加強對敏感信息泄露的檢測能力與數據防泄漏能力，通過實施文件傳輸通道管控技術來進行數據防泄漏安全管控，并結合審批、審計等技術產品和管理措施或結合文件加解密、終端磁盤加解密方式進行管控。四是加強對外1111典型攻防場景的分析，從防御角度深信服千里目安全技術中心給出以下策略與建議：一是重點關注防御逃逸手法檢測，需要結合多種方法和工具，包括監控網絡流量、識別異常行為、驗證數字證書等。通過使用自動化檢測工具如CDK和Check，可以提高檢測效率和準確性。在云原生環境中，特別需要關注加對白利用手法的檢測，如利用腳本解釋器加載木馬、利用正規遠控和終端管理軟件、利用系統程序加利用行為來綜合研判是否失陷。四是可增加蜜罐蜜網功能，如誘餌蜜罐，可誘導攻擊者進入蜜網，然后再自動進行隔離，不僅可以消耗攻擊者的精力和時間，也可以打斷攻擊者的進攻節奏，消磨攻擊者的進從防御角度來看，應加強對利用集權設備進行惡意利用、利用知識密集型應用進行信息收12122024年，生成式人工智能技術賦能網絡安全防御的應基于規則和統計算法的威脅檢測和日志分析，該階段中生成式人工智能實現網絡安全技術躍遷，從被動防御轉向主動防護，未來結合自適應優化（Agent在網絡安全大模型最佳實踐的應用模式上，呈現出從輔助運營到自主檢測預警再到自主決策與智能運營的在網絡安全大模型最佳實踐的應用模式上，呈現出從輔助運營到自主檢測預警再到自主決策與智能運營的一是對話與輔助運營。在生成式AI技術初期，大模絡安全需要大量數據分析和報告生成，這些功能被率先應用于網絡安全運營。二是自動檢測與威脅預警，隨著AI算法的進步，特別是深度學習技術的發展，結合網絡安全領域的大規模數據集，模型實現了異常行為檢測和威脅預警，替代了傳統基于規則的方法。1313大模型應用服務的成熟度評估，結合國內外技術成熟度評估標準和行業技術實踐，將網絡安全的大模型應用領域的成熟度L1:初始階段，該項技術的使用僅限于概念驗證和L2:可行階段，技術已具備基本功能，已開展可行的實踐案例，部分企業已L3:擴展階段，可滿足進一步的擴展功能，技術能夠處理更復雜的場景和更大規模的數據，應隨著人工智能技術的飛速發展，大模型在網絡安全領域的應用日益廣泛，特別是在安全運營、威脅檢測、釣魚郵件檢測、數據分級分類以及威脅情報整合與分析等關鍵場景提供了強有力的賦能。例如，在安全運營中，微軟推出的Security的運營效率。在威脅檢測領域，谷歌的BERT及其變體已被用于提升惡意代Proofpoint的大模型增強型釣魚郵件檢測，顯著提升了對高級威脅的識別能力CrowdStrike的釣魚郵件檢測平臺依托其云端威脅圖譜技術和大模型分析能力，實現了高效、精準的威脅攔截。這些網絡安全大模型的應用不僅推動了網絡安全技1414還原、分析解讀、威脅定性、響應處置等威脅運營工作中重復、繁瑣的事務性工作，并逐步構建安全運營自主閉環能力，大模型賦能安全運營實現告警和安全事件自動分析，極大地解決了在安全運營中的人以上的時間消耗。安全運營工作中每天產生上萬級告警，利用生成式人工智能大模型技術自動化、智能化的篩選和大模型通過對話式輔助運營模式，減少事件響應難度，自動生成精準的響應建議。大模型在安全運營中的最佳應用實踐是構建一個基于自然語言交互的智能安全運營專家，能夠從多個維度（如威脅分析、事件響應、漏洞管理等）自動生成精準的響應建議，大幅提升安全運營效率。通過自動化處理復的手動運營工作，使安全團隊能夠更專注于高價值的戰略任務，同時降低人為錯誤風險，全面提升安全運營的智能化水平。例如在安全事件溯源上，安全技術人員可以通過對話模式，詢問大模型快速了解的漏洞數量、漏洞類型和嚴重程度等，并關聯到業務的責任人。在安全事件研判中，通過按鍵觸發安全輔助，實現人員安全能力賦能，快速閉環運營工作。整體效果來看，該應用能力成熟度可達到L4水平，是目前主流的應用方式，可賦能初級安全工程大模型通過思維鏈自主進行資產梳理、加固預防、監測研判、調查處置、聯動處置、情報查詢及溯源總結等工作，威脅情報分析和基礎信息分析等維度輸出研判處置思考過程，針對人工決策告警支持自動給出具體處置建議，并對事件產出分析報告。通過自動化值守實現安全運營的“自動駕駛”，實現安全告警的自動響應閉環，顯著提升運營自動化+人工監督成為行業標桿實踐。目前，自1515在威脅檢測方面，生成式大模型帶來了顛覆性的突破，在基礎安全能力上極大提升了檢測效率以外，最核心的是帶來了未知威脅的檢測能力，打破了以往在高級對抗大模型賦能威脅檢測帶來了未知威脅檢測能力突破，特別是在0day漏洞檢測和高混淆攻擊檢測上表現出色。大模型賦能威脅檢測補齊了傳統檢測引擎的劣勢，在0day漏洞檢測、高混淆攻擊、未授權漏洞、APT攻擊等高級威脅檢測上帶來的全新的檢測方法，如在高混淆攻擊檢測上，能通過大模型對攻擊語言的理解實現不同語言、不同版本和復雜協議的混淆語法識別，提取出攻擊命令。在0day漏洞檢測方面，利用流量文本向量化技術，提取疑似0day漏洞攻擊向量，再使用向量相似度算法與歷史攻擊向量比對，篩除術中心實踐已通過大模型挖掘累計發現0day漏洞400+。目前，在大模型賦能未知威脅檢測的應用成熟度處于L2（可行階段）向脅檢測中，在識別異常行為模式、未知攻擊路徑及復雜威脅特征展的未知威脅檢測，仍需在算法優化、計算效率和實時適應性上進一步突破。在大模型賦能檢測精度提高方面已廣泛應用，可達到L4中心實踐，尤其是在處理高度復雜或混淆類的攻擊時，檢出率可達聯動響應。隨著AI技術在威脅檢測中的深度應用，大模型能夠實時分析網絡流量、用戶行為等多維數據，快速識別異常模式并動態調整防御策略。結合上下文感知分析，模型可預測攻擊的潛在目標與后續行為，如推斷橫向移動或數據竊取意圖，并提前生成阻斷建議。例如，在檢測到異常流量時，系統不僅能判定當前風險，還可自主決策目前還存在較多阻礙，例如跨平臺聯動、多源數據融合以1616網絡釣魚攻擊在實戰攻防場景中的攻擊比例逐步升高，近年來網絡釣魚攻擊成為主流的攻擊入口的統計顯示，網絡釣魚是最主要的攻擊入口，占比高達41.1%。隨著生成式大模型的應用，降低釣魚郵件制作成本，應用已經處于較為成熟的階段（L4已經具備較高的穩定性和可靠性，該項技術已廣泛被應用于企業郵件網關等安全防大模型通過意圖推理和對自然語言的理解，具備識別情緒誘導的釣魚攻擊的能力。大模型通過意圖推理和對自然語言的理解，具備識別情緒誘導的釣魚攻擊的能力。網絡郵是針對受害者的社會工程，通過各種手段進行情緒誘導，加上成熟的社會工程學手段，千變萬化使受害者防不勝防。例如通過制造恐懼和焦慮，使用“賬戶封禁”或“逾期失效”等急迫語氣驅或者使用“您的同事分享了一份重要文件，請查看。”話術，利用人類對未知事物的興趣，并觸發攻擊；再就是偽裝成權威機構或可信來源，通過偽造身份獲取受害者的信任。大模型能夠容中的語義和情感傾向，提取郵件中的情緒特征，例如語氣、用詞風格和情感強度，識別出潛在模式，如一封郵件使用了大量負面情緒詞匯、是否偏離日常的行為基線。相比傳統方法，大模型測已知的攻擊模式，還能通過在線學習不斷適應新型威脅。這種能力顯著提升了對復雜情緒誘導大模型通過多模態分析技術實現對各種高對抗性攻擊和繞過手段的檢測，特別是密碼混淆大模型通過多模態分析技術實現對各種高對抗性攻擊和繞過手段的檢測，特別是密碼混淆對于加密附件嵌套，大模型能夠多模態密碼推理理解郵件正文、音頻及視頻內容，提取出正通過分析壓縮包文件頭，識別嵌套結構，預測風險路徑，并生成決策樹調用沙箱環境獲取解跨資源隱寫注入以及鏈式惡意載荷觸發的精準檢測，突破傳統規則引擎在對抗AST混淆和上下文感知型逃逸攻擊時的技術瓶頸；對于二維碼切割，大模型通過圖像識別技術拼接碎片并解碼二維碼內本防御機制還原被切割、扭曲或噪聲污染的二維碼碎片，結合圖神經網絡重建二維碼拓撲結魚郵件檢測依賴規則引擎和白名單配置，因業務場景動態變化，易因“加白過粗”導致漏報或“加白過細”經深信服千里目安全技術中心實踐表明，基于100萬封正常郵件的訓練與推理優化，模型誤報率從傳統方1717生成式大模型在語言能力上展現出的能力優勢將極大賦能數據安全分級分類工作，精確識別和分類不同類型的數據。對大實現跨類型數據快速標準化分類。在實際業務環境中，數據不僅限于文本，還包括圖像、音頻、視頻等多模態數據。傳統方法通常需要針對不同模態的提取圖像中的文本后再進行分類，或者對音頻數據進行轉錄后分析。這種分模塊處理的方式不僅效率低下，還容易因標準割裂而導致信息丟失或分類不相比之下，大模型依托多模態融合技術（如自然語解析原始數據，無需復雜的預處理步驟。在多模態對齊層，大模型將文本、圖像、音頻、視頻等不同類型的數據映射到統一的語義空間中，從而實現跨模態的信息關聯與整合。例如，在處理一張包含敏感信息的圖片時，大模型不僅能識別圖片中的文字擎同步解析其中的敏感信息。大模型基于動態上下文感知架構與多模態在線學習系統，構建自適應分類體系，在動態數據分級分類領域實現技術突破。經深信服千里目安全技術中心實踐表明，依托機器學習和深度學習，尤其是自然語言處理（NLP大模型通過訓練海量數據，學習復雜特征和模式，自動識別并分類數據，效探針捕獲協議中的敏感字段，并結合上下文動態分析，精準識別數據模式與關聯。其次，大模型通過監督學習使用大量標注數據，掌握數據分類分級規則，同時借助無監督學習發現新類別和隱藏模式，實現動態分類分級。其遷移學習能力可將在一個領域的知識應用于其他領域，靈活應對數據類型和敏感性隨時間、環境的變化，確保分類結果的準確性自動生成符合行業屬性的分級清單，確保結果高效且合規，滿足行業需求。大模型通過自適應技術持續學習業務環境特征，智能化調整數據分級分類策1818威脅情報作為安全事件告警分析和威脅檢測持續賦能的關鍵。2024年谷歌發布最新威脅情報平臺，其利用生成式大模型以多個維度在大規模范圍上進行威脅情報的關聯分析。不僅對企業內部開展情報分析，還能從全球威脅情報平臺、網絡流量監控、社交媒體監控、暗網情報源等多個渠道獲取數據。匯集多方情報源利用大模型進行關聯分析，發現各個情報之間大模型多模態情報自動化提取整合，實現數據協同與實時威脅感知。利用生成式大模型信息檢索和語義搜索等技術自動檢索、提取和整合情報數據，包括全球威脅情報平臺、流量監控、社交媒體監控、暗網▲大模型通過情報關聯分析，能夠發現傳統威脅情報平臺難以識別的未知威脅活動，顯著提升威脅檢測的使用生成式大模型通過多數據源的深度融合和關聯分析，識別出潛在的攻擊模式并生成更加精準的威脅情報，并回溯歷史數據，發現長期潛伏的攻擊活動或已經發生但未被發現的威脅活動。具體技術實現上，文進行深度語義理解與關聯分析。這種技術不僅能夠整合結構化數據（如日志、事件記錄）和非結構化在此基礎上，大模型通過對歷史數據的回溯分析，識別潛在的攻擊模式，推演出完整的攻擊鏈，并生成▲大模型通過時間序列預測模型和因果推理算法結合多源情報分析，構建攻擊者行為模式圖譜，預測威脅活動趨勢。大模型基于全球威脅活動的實時監控和多數據源關聯分析，利用歷史攻擊數據預測新型攻擊及外部威脅活動的發展趨勢。基于時間序列預測模型和因果推理算法，構建攻擊者行為模式圖譜，包括解析歷史攻擊數據中隱藏的TTPs（戰術、技術與程序）演化規律，量化評估漏洞利用周期、惡意軟件變種迭代速率等關鍵指標，預測APT組織武器化漏洞的優與經濟、地緣政治事件的動態關聯模型。谷歌2024年推出191920