终端是网络攻击链条的重要落点,既承载数据与业务运行的“最后一公里”,也是高级威胁潜伏、横向移动和长期驻留的主要空间;随着办公上云、应用场景碎片化以及远程协作常态化,终端侧日志、告警与行为事件快速增长,安全运营面临“数据看得见、关联看不清”的挑战:一方面,事件量大且噪声多,人工研判成本高;另一方面,高级威胁常跨进程、跨时间、跨主机形成复杂链路,传统基于规则或单点特征的检测容易出现语义割裂、关联不足,误报与漏报并存。 造成该现象,既有攻击技术演进的外部因素,也有分析方法自身的局限。外部来看,攻击者更倾向采用“低频、慢速、分散”的战术,将恶意行为拆分为多次看似正常的操作,降低单条日志的异常显著性;内部来看,终端检测与响应系统(EDR)事件异构性强、结构复杂、时间跨度大,仅依赖统计特征或固定模板难以完整表达行为含义与上下文关系。近年来,大语言模型语义理解与推理上能力突出,但安全场景仍受输入长度限制、结构化关联表达不足等影响。如何将“语义理解”与“关系结构”更有效结合,成为提升终端威胁检测质量与效率的重要方向。 据介绍,入选AAAI-26的论文提出“HyperGLLM”框架,尝试以超图建模增强终端行为的关联表达,并结合大语言模型的语义能力,提高对复杂攻击链的识别水平。其核心做法是以更适配复杂关系的方式组织分散事件与属性:先构建细粒度属性关联,减少冗余信息并保留关键线索;再通过差分超图等机制刻画跨事件、跨时间尺度的依赖关系,更贴近真实攻击过程地还原“多对多”的行为联系,从而补齐“长时序、强关联”威胁识别的短板。面向安全实战,这类方法的价值在于将原本需要人工串联的线索进行结构化聚合,使研判从“逐条对照”转向“链路识别”。 从影响看,该研究至少带来三点启示。其一,安全运营正从“告警驱动”走向“狩猎驱动”,模型能否在低误报前提下给出可解释的关联线索,直接关系处置效率与资源投入;其二,终端威胁检测需要兼顾准确率与吞吐效率,尤其在超长日志处理上,若能用结构化关系对信息进行压缩与聚合,将有助于提升自动化分析能力;其三,更完善的数据与评测体系有助于形成可复现的对比验证。论文团队基于360积累的终端安全数据构建并开源基准数据集EDR3.6B-63F,覆盖63类行为家族、36亿条事件,为对应的研究提供更贴近真实场景的评测基础。论文披露的实验结果显示,该框架在误报率、整体准确率及处理效率上有所提升,反映了前沿方法与工程实践结合的探索方向。 面向对策层面,业界普遍认为终端安全能力升级需要“模型能力、数据治理、工程体系、运营闭环”联合推进。一是以高质量数据集与统一标注规范提升训练与评测可靠性,避免“在小数据上表现好、在实战中失真”;二是推动模型与安全知识体系融合,形成可追溯的证据链与可操作的处置建议,减少“黑箱式告警”;三是将模型能力融入终端侧与云侧协同架构,在隐私合规与性能约束下实现分层推理与快速响应;四是强化红蓝对抗与持续评估机制,让模型在真实对抗压力下迭代,提升对新型战术与变种行为的适应性。 从前景看,国际学术界与产业界对安全问题的关注持续升温,人工智能与数字安全的融合将继续提速。未来终端威胁检测可能呈现三类趋势:一是从“检测单点异常”转向“识别攻击意图与行为链路”,更强调多源信息融合与跨时空关联;二是从“事后处置”迈向“事中阻断与事前预测”,推动自动化响应与风险预判能力建设;三是从“单一模型能力”走向“系统级安全智能”,通过数据、模型、策略与运营联动提升整体韧性。在这一过程中,如何在提升自动化水平的同时确保安全可控、降低误用风险并完善合规治理,将成为技术落地的重要边界条件。
在数字化时代,网络安全与人工智能的融合已成为重要趋势。360集团此次在AAAI国际顶会的成果,反映了中国企业在前沿技术研发上的投入与能力,也为网络安全防御提供了新的思路与工具。随着HyperGLLM等技术逐步落地,终端威胁检测的自动化与智能化水平有望深入提升,助力构建更稳固的数字安全防线。这也表明,只有让学术研究与实战需求相互牵引,技术创新才能更快转化为可用的安全能力。