2024年醫院新興技術創新應用典型案例征集活動經行業專家背靠背盲審以及終審，共選出20篇典型案例，將陸續刊登出來，以饗讀者。

1 項目簡介

　　隨著信息技術的不斷進步和深入應用，網絡和計算設備的數量急劇增加，帶來了更為嚴峻和復雜的網絡安全挑戰。在全球范圍內，網絡安全事件的頻發已經引起了廣泛關注，促使國家顯著提高了對網絡安全問題的關注度。這種趨勢不僅要求關鍵基礎設施行業加強其安全防護機制，同時也給安全運營帶來了前所未有的壓力。在傳統的安全運營模式下，面臨著處理能力有限、響應時間較長等運營困境，亟須創新和改進以適應日益增長的安全需求。

　　瑞金醫院作為一家現代化的醫院，具備完善的計算機網絡，除了要滿足高效的內部自動化醫療需求以外，還同時連接著醫保局和衛生健康委等，訪問人員比較復雜。當前已經建設了邊界安全、流量安全、審計安全、終端安全等產品，并結合安全管理制度實現安全運營體系的初步落地，但在常態化的安全運營工作中，海量的安全告警和事件影響著安全運營工作的效率，增加安全運營壓力，導致威脅告警疲勞，大量的安全告警、安全事件不斷增加著日常的安全運營工作。

　　伴隨人工智能技術的加速演進，AI大模型已成為全球科技競爭的新高地、未來產業的新賽道、經濟發展的新引擎，發展潛力大、應用前景廣?；贏I技術發展，當下的安全運營模式正逐漸向自動化、智能化轉型，比如采用人工智能和機器學習技術來提高安全事件的檢測效率和準確性，以更好地適應當前的網絡安全挑戰。

2 關鍵技術和產品描述

　　AI智能安全運營平臺面向瑞金總院，采集全網安全要素，通過語義分析、機器學習和智能算法等技術手段，明顯降低安全告警數量，確保全網業務系統安全運營。

　　鑒于海量的威脅事件、復雜的攻擊類型，依靠傳統的單點靜態檢測與防護手段無法完全滿足安全分析和管理的要求。因此，需要一種能夠打破安全數據孤島的高效安全分析與管理手段，采用網絡安全智能分析平臺對海量元數據進行采集、存儲與關聯分析，整合現有安全能力，同時引入AI推理引擎對網絡安全告警進行智能分析和研判，從多個視角全面感知網絡安全風險和威脅，綜合分析網絡安全態勢，高效處置安全事件，形成集感知、分析、研判、處置于一體的綜合安全分析與管理解決方案，提升安全運維效率，協助用戶解決安全問題并實現安全管理閉環。

　　AI智能安全運營平臺采用平臺+探針的部署模式，通過運用規則模型、聚類統計、關聯分析、情報碰撞等技術，實現對網絡安全事件的發現和處置。在發現、分析環節利用AI技術的智能降噪引擎，實現人機互動，有效減少安全告警誤報率、提高安全告警的準確性。將安全運營工程師從繁瑣、重復和單調的告警研判任務中解脫出來，顯著提升安全團隊在處理告警方面的效率。

　　智能降噪引擎能夠通過語義分析、機器學習和智能算法等技術手段，提取告警數據中的復雜特征，并結合安全專家的經驗，辨別噪聲告警，以提高網絡安全威脅告警的準確性和可信度，使安全運營團隊能夠更好地識別和應對真正的安全威脅。通過數據接入、數據特征提取、模型訓練、告警預測、RHLF迭代優化，不斷優化安全告警降噪效果，優化告警準確度。

　　(1)數據接入

　　收集總院全流量數據、WAF的告警數據集(包含真實告警和噪聲告警的標簽、告警對應原始日志)，然后對這部分數據進行清洗和標準化。

　　● 清洗數據：去除數據集中冗余和錯亂信息。

　　● 標準化：使數據維度統一，便于AI模型處理。

　　(2)數據特征提取

　　將標準化后的告警數據進行樣本均衡、有效數據提取、構建詞集映射，然后輸入到語義模型中提取語義特征，以便用于模型訓練。

　　● 樣本均衡：均衡數據集中標簽比例，避免模型產生偏性。

　　● 語義特征：提取單詞或短語的語義信息。

圖1 攻擊熱力圖

　　(3)模型訓練

　　對于所提取的語義特征使用一組分類模型進行訓練和驗證，得到能區分真實告警和噪聲告警的降噪模型，用于告警的真實性預測。

　　● 對于一組分類模型中，會選取效果最好的模型作為預測模型，對于不同環境下性能可能有所不同，可根據實際情況選用性能較好的模型。

　　(4)告警預測

　　將降噪模型部署到現場，并單條或批量地輸入告警數據，模型會對接入的告警數據給出標簽結果，區分該條告警是真實告警還是噪聲告警。

　　● 經過一段時間的運營后，理論上降噪模型研判為噪聲的對應告警，是可以直接進行忽略處置的。

　　(5)迭代優化

　　對于降噪模型給出的標簽，安全分析人員認為不準確，手動修改標簽結果，這部分專家再修正的告警數據會在非高峰期定時或定閾值進行再訓練，使降噪模型迭代優化，更精準研判現場告警。

　　● RHLF：基于人類反饋(Human Feedback)對語言模型進行強化學習

　　同時基于大模型的自定義報告，帶來飛躍式的運營體驗，以打字聊天的方式發送指令，實現生成完整報告、生成各類圖表及相應的文字分析，并且可以切換圖表格式，如柱狀圖、折線圖、餅圖等;將生成的內容任意自動插入至報告的某個章節;解析各類資產的威脅分析情況等，以及訂閱生成日報、周報、月報，自動導出報告。

3 應用效果

　　利用AI技術輔助安全運營提效，智能降噪引擎在實際現場應用中，實現安全告警智能降噪、定級和建議，以高水平安全護航高質量發展。

　　(1)智能降噪：長短期記憶人工神經網絡(LSTM)、多層感知器(MLP)對海量告警進行分析，在保證漏報率低的前提下，提高告警準確度。

　　(2)智能定級：應用遞歸神經網絡(RNN)、BERT等模型，對告警的風險級別進行智能判定、調整，提高告警定級準確率。

　　(3)智能建議：應用自然語言處理(NLP)、卷積神經網絡(CNN)智能生成告警的處置建議，提高告警。

　　在海量安全日志、安全告警的運營場景下，提供效果顯著的降噪效果，減少27%的安全告警數據量，幫助安全運營人員過濾了大量噪音事件的干擾，提升運維管理效率;采用RHLF機制不斷迭代優化，使模型更加適配真實場景，不斷提高降噪比例;并且針對長周期的誤報或攻擊，有效提升關注重點，避免長期誤報的運營工作消耗，也能使長期真實攻擊的風險，更加準確地暴露在運營人員的視野下。以7*24小時的全天候自動持續運營，顯著提升運營人員的工作效率。

　　以最新告警數據為例，4月一周的安全日志數量有6635064條，告警數量有21099條，每個月產生近10萬條安全告警。在實際降噪場景中，訓練完成的AI模型面對逐步增長的告警量級，所學習到的特征也越來越豐富，能過濾的噪聲比例也逐步增長，更便于提升人效。

圖2 AI輔助降噪

4 總結

　　在網絡環境復雜，網絡流量較大的場景下，AI技術的應用，效果能夠更加顯著和快速地體現價值。同時大流量環境場景下，對于流量的全面采集和分析，對性能設計和網絡部署也提出了挑戰。

　　AI智能安全運營平臺采用平臺+探針的架構，探針對于大流量的采集，一方面需要對于流量中的重復數據進行去重，從源頭減少資源消耗，同時保障大流量的數據采集和解析。

　　AI智能安全運營平臺采用大數據技術和微服務架構，能夠滿足大流量場景下，將數據標準化、特征提取、模型訓練等步驟拆分有序運行的同時，也需要龐大的運算資源支撐。平臺使用多臺物力資源分布式計算模式，確保AI智能的運行效率。

5 下一步發展規劃

　　目前AI智能安全運營平臺已經接入流量數據、WAF日志，并呈現顯著效果，后續需要從縱向橫向兩個維度推廣AI技術使用。在縱向上，不斷優化智能分析模型，提升降噪比例，提升告警準確度;在橫向上，提升采集分析的覆蓋范圍，將防火墻、終端安全、主機安全等全維度安全要素接入AI智能安全運營平臺，提升全維度安全要素的準確度。醫院通過兩個維度不斷深入，提升安全運營效率。

　　申報單位：

　　上海交通大學醫學院附屬瑞金醫院

　　聯合申報單位：

　　亞信科技(成都)有限公司

　　案例賽道：

　　網絡安全創新

　　案例業務領域：

　　醫療信息安全