中國AI安全市場：復合增速23.4%，未來5年的剛性需求

核心觀點：

• AI安全威脅并非逐年新增單一類型，而是早期技術持續迭代、新型攻擊不斷涌現、多類型攻擊融合疊加的動態過程，整體呈現持續復雜化趨勢。

• 2024年中國網絡安全IT總支出規模為112億美元，其中AI安全相關支出約為18億美元，占中國網絡安全總支出的16%，滲透率高于全球平均水平（13%）。

• 中國AI安全投入呈現明顯的行業集中特征，金融、制造業、服務業成為三大核心投入領域，分別占比29%、22%、19%。

• 應用落地層面，AI安全已深度融入網絡運營與網絡危險檢測兩大核心領域。在網絡運營中，通過告警降噪、攻擊研判、自動響應與處置、報告自動生成等應用，大幅提升安全運營的自動化與智能化水平，解決傳統安全運營誤報率高、效率低下等問題；在網絡危險檢測中，AI防火墻、惡意代碼檢測、攻擊流量檢測、用戶和實體行為分析（UEBA）等應用，從多維度提升威脅檢測的效率與準確性，構建起更全面的網絡安全防護體系。

近年來，生成式AI快速發展，逐步與傳統行業深度融合，成為了推動新質生產力高質量發展的重要引擎，但不可忽視的是AI的安全風險逐步呈現。AI安全威脅并非逐年新增單一類型，而是早期技術持續迭代、新型攻擊不斷涌現、多類型攻擊融合疊加的動態過程，整體呈現持續復雜化趨勢。

（1）定義及發展歷程

AI安全風險主要是基礎設施、數據、模型及應用系統（軟件）的安全風險，即內生安全風險；以及在落地應用過程中的安全風險，即衍生安全風險。從廣義上，它還包括由政策法規、經濟形勢、文化理念等變化，對基礎設施、技術發展、產業應用等造成的影響。

圖表1 技術視角下的AI安全風險概述

信息來源：中國信息通信研究院

AI安全行業的發展整體可分為四個階段：

第一階段：2010年前。AI技術處于初級階段，以傳統機器學習、淺層神經網絡為主，應用場景有限（主要集中在實驗室、簡單數據處理），AI自身安全風險未凸顯，行業未形成明確的AI安全概念，防護工作多融入傳統網絡安全，無專門的AI安全技術、產品和企業，相關研究以學術探索為主，未形成規模化產業形態。

第二階段：2010-2018年。深度學習技術崛起，AI技術逐步應用于互聯網、金融等領域，AI安全風險初步顯現（主要是數據泄露、簡單模型攻擊），部分科技企業開始關注AI安全問題，開展針對性技術研發，行業逐步形成初步的技術框架，但產品形態單一（以數據脫敏、簡單模型檢測為主），專門性AI安全監管政策處于空白階段，行業集中度極低，以中小企業和學術機構探索為主。

第三階段：2019-2023年。生成式AI技術快速迭代，AI應用場景全面滲透，AI安全風險集中爆發（模型投毒、深度造假、數據泄露、AI輔助攻擊等），各國密集出臺AI安全相關政策，明確監管要求，谷歌、微軟、OpenAI等企業加大研發投入，推出多元化AI安全產品，行業形成明確的產業鏈分工，中小企業快速崛起，市場規模持續攀升，AI安全從“被動應對”轉向“主動防護”，合規成為行業發展的核心導向。

第四階段：2024年至今。AI安全政策逐步落地實施，行業標準逐步完善，AI安全與各行業場景深度融合，細分場景安全需求凸顯（政務AI安全、金融AI安全等），技術研發向“智能化、一體化、全生命周期全鏈路防護”升級，產業鏈上下游協同加強，頭部企業憑借技術、資金優勢占據主導地位，行業集中度逐步提升，同時智能對抗攻擊、組合式復雜攻擊等新型威脅出現，推動行業持續迭代升級，全球AI治理持續深化合作，形成“政策監管、技術防護、產業協同”的多元發展格局。

圖表2 AI安全發展歷程

信息來源：融中研究

（3）行業現狀分析

1）政策環境

我國高度重視AI安全和AI濫用情況，為促進AI產業良性發展，有關部門針對利用AI算法從事傳播違法和不良信息、侵害用戶權益、操縱社會輿論等問題，推出一些政策法規進行引導。通過加強安全管理，推進算法推薦技術和深度合成技術依法合理有效利用，以此來保障AI產業相關技術產品的良性創新和有序發展。

圖表3 AI安全政策情況

信息來源：融中研究

2）AI風險類型

AI安全風險真實的存在于現今各種AI應用中。例如攻擊者通過修改惡意文件繞開惡意文件檢測或惡意流量檢測等基于AI的檢測工具；加入簡單的噪音，致使家中的語音控制系統成功調用惡意應用；刻意修改終端回傳的數據或刻意與聊天機器人進行某些惡意對話，導致后端AI系統預測錯誤；在交通指示牌或其他車輛上貼上或涂上一些小標記，致使自動駕駛車輛的判斷錯誤。

風險存在的根本原因是AI算法設計之初普遍未考慮相關的安全威脅，使得AI算法的判斷結果容易被惡意攻擊者影響，導致AI系統判斷失準。如果AI系統被惡意攻擊，輕則造成財產損失，重則威脅人身安全。

綜合來看，AI系統在設計上面臨五大安全挑戰：

軟硬件的安全：在軟件及硬件層面，包括應用、模型、平臺和芯片，編碼都可能存在漏洞或后門；攻擊者能夠利用這些漏洞或后門實施高級攻擊。在AI模型層面上，攻擊者同樣可能在模型中植入后門并實施高級攻擊；由于AI模型的不可解釋性，在模型中植入的惡意后門難以被檢測。

數據完整性：在數據層面，攻擊者能夠在訓練階段摻入惡意數據，影響AI模型推理能力；攻擊者同樣可以在判斷階段對要判斷的樣本加入少量噪音，刻意改變判斷結果。

模型保密性：在模型參數層面，服務提供者往往只希望提供模型查詢服務，而不希望曝露自己訓練的模型；但通過多次查詢，攻擊者能夠構建出一個相似的模型，進而獲得模型的相關信息。

模型魯棒性：訓練模型時的樣本往往覆蓋性不足，使得模型魯棒性不強；模型面對惡意樣本時，無法給出正確的判斷結果。

數據隱私：在用戶提供訓練數據的場景下，攻擊者能夠通過反復查詢訓練好的模型獲得用戶的隱私信息。

圖表4 魯棒性精確分析方法路徑

信息來源：計算機學報、融中研究

3）典型攻擊方式

一是閃避攻擊。

閃避攻擊是指通過修改輸入，讓AI模型無法對其正確識別。閃避攻擊是學術界研究最多的一類攻擊，下面是學術界提出的最具代表性的三種閃避攻擊：

對抗樣本的提出：研究表明深度學習系統容易受到精心設計的輸入樣本的影響。這些輸入樣本就是學術界定義的對抗樣例或樣本，即Adversarial Examples。它們通常是在正常樣本上加入人眼難以察覺的微小擾動，可以很容易地愚弄正常的深度學習模型。微小擾動是對抗樣本的基本前提，在原始樣本處加入人類不易察覺的微小擾動會導致深度學習模型的性能下降。Szegedy等人在2013年最早提出了對抗樣本的概念。在其之后，學者相繼提出了其他產生對抗樣本的方法，其中Carlini等人提出的CW攻擊可以在擾動很小的條件下達到100%的攻擊成功率，并且能成功繞過大部分對抗樣本的防御機制。

物理世界的攻擊：除了對數字的圖片文件加擾，Eykholt等人對路標實體做涂改，使AI路標識別算法將“禁止通行”的路標識別成為“限速45”。它與數字世界對抗樣本的區別是，物理世界的擾動需要抵抗縮放，裁剪，旋轉，噪點等圖像變換。

傳遞性與黑盒攻擊：生成對抗樣本需要知道AI模型參數，但是在某些場景下攻擊者無法得到模型參數。Papernot等人發現對一個模型生成的對抗樣本也能欺騙另一個模型，只要兩個模型的訓練數據是一樣的。這種傳遞性（Transferability）可以用來發起黑盒攻擊，即攻擊者不知道AI模型參數。其攻擊方法是，攻擊者先對要攻擊的模型進行多次查詢，然后用查詢結果來訓練一個“替代模型”，最后攻擊者用替代模型來產生對抗樣本。產生出來的對抗樣本可以成功欺騙原模型。

圖表5 對抗攻擊框架

信息來源：CSDN、融中咨詢

二是藥餌攻擊。

AI系統通常用運行期間收集的新數據進行重訓練，以適應數據分布的變化。 例如，入侵檢測系統（IDS）持續在網絡上收集樣本，并重新訓練來檢測新的攻擊。在這種情況下，攻擊者可能通過注入精心設計的樣本，即藥餌，來使訓練數據中毒（被污染），最終危及整個AI系統的正常功能，例如逃逸AI的安全分類等。深度學習的特點是需要大量訓練樣本，所以樣本質量很難完全保證。

Jagielski等人發現，可以在訓練樣本中摻雜少量的惡意樣本，就能很大程度干擾AI模型準確率。他們提出最優坡度攻擊、全局最優攻擊、統計優化攻擊三種藥餌攻擊。并展示了這些藥餌攻擊對于健康數據庫，借貸數據庫跟房價數據庫的攻擊，影響這些AI模型對新樣本的判斷。通過加入藥餌數據影響對用藥量的分析、對貸款量/利息的分析判斷、對房子售價的判斷。通過加入8%的惡意數據，攻擊者能夠使模型對超過50%的患者的用藥量建議時，出現超過75%的變化量。

圖表6 藥餌攻擊流程圖

信息來源：AI安全標準化白皮書、融中研究

三是后門攻擊。

與傳統程序相同，AI模型也可以被嵌入后門。只有制造后門的人知道如何觸發，其他人無法知道后門的存在，也無法觸發。與傳統程序不同的是，神經網絡模型僅由一組參數構成，沒有源代碼可以被人讀懂，所以后門的隱蔽性更高。攻擊者通過在神經網絡模型中植入特定的神經元生成帶有后門的模型，使得模型雖然對正常輸入與原模型判斷一致，但對特殊輸入的判斷會受攻擊者控制。如Gu等人提出一種在AI模型中嵌入后門的方法，只有輸入圖像中包含特定圖案才能觸發后門，而其他人很難通過分析模型知道這個圖案或這個后面的存在。此類攻擊多發生在模型的生成或傳輸過程。

圖表7 深度學習模型后門攻擊示意圖

信息來源：生成式大模型安全隱私白皮書、融中研究

四是模型竊取攻擊。

模型/訓練數據竊取攻擊是指攻擊者通過查詢，分析系統的輸入輸出和其他外部信息，推測系統模型的參數及訓練數據信息。與Software-as-a-Service類似，云服務商提出了AI-as-a-Service（AIaaS）的概念，即由AI服務提供商負責模型訓練和識別等服務。這些服務對外開放，用戶可以用其開放的接口進行圖像，語音識別等操作。Tramèr等學者提出一種攻擊，通過多次調用AIaaS的識別接口，從而把AI模型“竊取”出來。這會帶來兩個問題：一是知識產權的竊取。樣本收集和模型訓練需要耗費很大資源，訓練出來的模型是重要的知識產權。二是前文提到的黑盒閃避攻擊。攻擊者可以通過竊取的模型構造對抗樣本。

圖表8 模型竊取攻擊示意圖

信息來源：IEEE International Conference on Data Engineering、融中研究

4）防御措施

AI系統部署到業務場景中所需要三個層次的防御手段：攻防安全、模型安全和架構安全。

攻防安全：針對已知攻擊，設計有針對性的防御機制保護AI系統安全。目前主流的幾種攻擊方法包括閃避攻擊、藥餌攻擊、后門攻擊和模型/數據竊取攻擊。針對這些攻擊對應的防御技術包括對抗訓練、網絡蒸餾、對抗樣本檢測、DNN模型驗證、訓練數據過濾、集成分析、模型剪枝、隱私聚合教師模型等防御技術

模型安全：應增強AI模型本身的安全性，避免其它可能的攻擊方式造成的危害。關鍵技術包括模型可檢測性、模型可驗證性和模型可解釋性。

架構安全：在業務中使用AI模型，需要結合具體業務自身特點和架構，分析判斷AI模型使用風險，綜合利用隔離、檢測、熔斷和冗余等安全機制設計AI安全架構。

圖表9 AI安全防御架構

信息來源：華為AI安全、融中研究

5）防御技術

已知的攻擊方式，學術界已有許多對抗方法，對于可能遭受的攻擊能提供不同程度的緩解，AI系統在數據收集、模型訓練及模型使用階段的各種防御技術。

• 網絡蒸餾（Network Distillation）

網絡蒸餾技術的基本原理是在模型訓練階段，對多個DNN進行串聯，其中前一個DNN生成的分類結果被用于訓練后一個DNN。有學者[8]發現轉移知識可以一定程度上降低模型對微小擾動的敏感度，提高AI模型的魯棒性，于是提出將網絡蒸餾技術用于防御閃避攻擊，并在MNIST和CIFAR-10數據集上測試，發現該技術可將使特定攻擊（如JSMA）的成功率降低。

• 對抗訓練（Adversarial Training）

該技術的基本原理是在模型訓練階段，使用已知的各種攻擊方法生成對抗樣本，再將對抗樣本加入模型的訓練集中，對模型進行單次或多次重訓練，生成可以抵抗攻擊擾動的新模型。同時，由于綜合多個類型的對抗樣本使得訓練集數據的增多，該技術不但可以增強新生成模型的魯棒性，還可以增強模型的準確率和規范性。

• DNN模型驗證（DNN Verification）

類似軟件驗證分析技術，DNN模型驗證技術使用求解器（solver）來驗證DNN模型的各種屬性，如驗證在特定擾動范圍內沒有對抗樣本。但是通常驗證DNN模型是NP完全問題，求解器的效率較低。通過取舍和優化，如對模型節點驗證的優先度選擇、分享驗證信息、按區域驗證等，可以進一步提高 DNN模型驗證運行效率。

• 回歸分析（Regression Analysis）

該技術基于統計學方法，檢測數據集中的噪聲和異常值。具體方法包括對模型定義不同的損失函數（loss function）來檢查異常值，以及使用數據的分布特性來進行檢測。

• 模型剪枝（Model Pruning）

該技術原理為適當剪除原模型的神經元，在保證正常功能一致的情況下，減少后門神經元起作用的可能性。利用細粒度的剪枝方法[12]，可以去除組成后門的神經元，防御后門攻擊。

圖表10 AI安全防御技術

信息來源：華為AI安全、融中研究

（4）市場規模及競爭格局

1）行業市場規模

IDC報告顯示，2024年中國網絡安全IT總支出規模為112億美元，其中AI安全相關支出約為18億美元，占中國網絡安全總支出的16%，滲透率高于全球平均水平（13%），反映出中國市場對AI安全的重視程度較高。從增長預期來看，2024-2029年中國AI安全市場將保持與全球同步的高速增長節奏，預計2029年市場規模將達到52億美元，五年復合增長率（CAGR）達23.4%，遠超同期中國網絡安全整體市場9.7%的CAGR，增速優勢顯著，體現出中國AI安全市場的強勁增長動能。

圖表11 中國AI安全市場規模

信息來源：IDC、融中研究整理

從市場結構來看，中國AI安全支出的細分分布與全球略有差異，更側重合規驅動下的安全建設：生成式AI安全占比最高，達48%，高于全球平均水平，核心原因在于國內生成式AI應用普及速度快，且合規監管對內容安全、數據安全的要求嚴格；數據安全相關支出占比25%，緊密貼合《網絡安全法》《數據安全法》《個人信息保護法》等法律法規的合規要求；AI治理合規占比17%，主要投向AI應用合規評估、倫理審查等相關服務，其余支出分布在模型安全、智能威脅響應等領域。

從重點行業來看，據國內行業調研數據補充，中國AI安全投入呈現明顯的行業集中特征，金融、制造業、服務業成為三大核心投入領域：金融行業占比29%，作為信息密集型、強監管行業，金融機構在AI大模型落地過程中，對數據質量、合規安全的要求極高；此外，制造業占比22%，服務業占比19%。結合2024-2029年中國AI安全市場23.4%的CAGR，中國AI安全市場將持續高速增長，進一步印證中國AI安全市場的廣闊成長空間。

圖表12 行業分布

信息來源：Zscaler、融中研究

2）競爭格局

從競爭路徑來看，行業呈現“自研 + 生態合作”雙輪驅動的格局：

自研路線：啟明星辰發布“PanguBot(盤古小古)”安全智慧生命體，實現安全分析處置自動化；奇安信利用ChatGPT相關技術訓練安全模型，覆蓋產品開發、威脅檢測等場景；綠盟科技自主研發SecXOps安全智能分析平臺，提升安全分析的自動化與智能化水平。

生態合作：深信服成為百度文心一言首批生態合作伙伴，拓展AI應用場景；拓爾思與騰訊云簽署戰略合作，在云計算、大數據、Web3.0等領域構建產業生態。

從技術落地來看，廠商普遍將AI能力與核心安全業務深度融合：天融信將AI融入下一代防火墻，主動發現未知威脅；電科網安依托AI技術實現數據分級分類、敏感數據識別等產業化應用；美亞柏科聚焦公共安全大數據與電子取證，布局AIGC內容檢測、AI生成文本檢測等方向；太極股份則將自然語言處理、機器學習等技術應用于政務服務、應急管理等領域。

整體而言，行業競爭焦點已從傳統安全產品轉向AI賦能的安全能力，自動化運營、智能檢測、國產化適配、合規性成為核心競爭力。未來，隨著大模型技術的成熟與應用場景的拓展，具備技術自研+生態構建+場景落地綜合能力的廠商將在競爭中占據優勢，推動網絡安全行業向更高效、智能的方向升級。

圖表13 企業分析

信息來源：華創證券、融中研究

（5）產業鏈圖譜

圖表14 AI安全產業鏈圖譜

信息來源：云安全聯盟

AI安全針對生成式大模型提供訓練樣本、算法模型、運行環境安全評測，基于生成式大模型的‘深黑盒’技術特性，依托智能博弈對抗技術，通過多維度聯動體系生成對抗樣本，提供全方位的AIGC安全性、泛化性、魯棒性（穩健性）評測，涵蓋理論分析、開發測試、硬件優化、防御增強、性能驗證全鏈路，可服務于教育、能源、電力、金融等領域的大規模復雜業務場景。

圖表15 AI安全平臺

信息來源：賽寧AI、融中研究整理

（1）AI安全在網絡運營中的應用

在AI出現之前，傳統的網絡安全主要依賴于基于簽名的檢測系統。這些系統通過將傳入的流量與已知威脅或惡意代碼簽名的數據庫進行比較來工作。當找到匹配項時，系統會觸發警報并采取行動來阻止或隔離威脅。雖然這種方法對已知威脅有效，但對新的和未知的威脅則不足夠。

AI大模型在網絡安全運營中的產業實踐，尤其是在告警降噪、攻擊研判、自動響應與處置方面，展現出了顯著的優勢和潛力。安全運營是安全行業最需要 AI深度改造的環節，傳統安全設備是第三方的，多且雜，數據混亂，導致誤報率高，變成了真實風險看不到，出現威脅防不了；安全運營工作壓力較大，且絕大多數非真實威脅，效率低下。

圖表16 AI 提升安全運營的自動化程度

信息來源：東北證券、融中研究

1）告警降噪

智能告警過濾與分類：傳統的安全運營中心常常面臨大量告警信息，其中許多是誤報或低優先級事件。AI大模型通過學習歷史數據，能有效識別并過濾掉這些無關緊要的告警，僅將真正需要關注的高風險事件呈現給安全分析師，極大地減少了噪音，提高了響應的針對性。

上下文關聯分析：大模型能夠分析告警之間的關聯性，結合時間序列、用戶行為、網絡流量等多種因素，為告警提供更豐富的上下文信息，有助于快速判斷告警的真實性和嚴重程度。

圖表17 告警降噪示意圖

信息來源：阿里云、融中研究

2）攻擊研判

復雜攻擊模式識別：借助深度學習算法，AI大模型能夠從海量數據中挖掘出隱藏的復雜攻擊模式，尤其針對零日攻擊、高級持續性威脅（APT）等傳統規則引擎難以捕捉的隱蔽威脅，顯著提升了攻擊研判的精準度與深度。

自動化威脅狩獵：在大模型的驅動下，威脅狩獵能力實現了向自動化的躍升：其無需依賴預設規則，而是通過智能模式識別在大規模數據中自主搜尋潛在惡意活動的蛛絲馬跡，從而大幅縮短威脅發現周期，為主動防御爭取了關鍵時間窗口。

圖表18 攻擊研判的6個步驟

信息來源：青藤云安全、融中研究

3）自動響應與處置

自動化劇本執行：依托 AI 智能決策，大模型能夠自動觸發預設的安全響應劇本，快速執行一系列標準化操作，如隔離受感染設備、關閉高危端口、發送告警郵件等，以最短時間阻斷安全事件的擴散路徑，將潛在損失降至最低。

自適應安全策略調整：基于實時威脅分析結果，大模型具備動態優化安全控制策略的能力。面對不同風險態勢，它可靈活調整防護方案，如強化特定區域的監測密度，或臨時限制高風險服務訪問權限，構建起動態、自適應的防御體系。

交互式輔助決策：在復雜安全事件處置過程中，大模型能夠為安全團隊提供智能決策支持。通過深度分析生成可視化事件報告，并基于歷史案例與實時數據，輸出針對性的處置建議，幫助安全分析師快速定位問題根源，制定更精準的應對策略。

AI 大模型已深度融入網絡安全運營核心環節。憑借高效的告警處理能力、精準的攻擊識別技術與自動化響應機制，顯著提升了企業網絡安全防御的智能化水平。

圖表19 網絡檢測與響應

信息來源：中睿天下、融中研究

4）報告的自動生成

在安全運營工作中需要生成各種各樣的安全報告，是較為繁重的工作量，AI大模型的文本生成能力在報告的書寫方面可以提供大力的幫助，可以高效、優質地生成網絡安全需要的各種報告

（2）AI安全在網絡危險檢測中的應用

AI在網絡安全威脅檢測產品的應用從多個維度提升了檢測的效率和準確性，具體到惡意文件檢測、攻擊流量檢測、用戶和實體行為分析(UEBA)、以及加密流量分析這幾方面。

1）AI防火墻

AI防火墻引領邊界防護進入一體化智能時代。新華三集團發布的《AI防火墻技術白皮書》指出，作為結合AI的新一代防火墻，AI防火墻可以實現本地與云端結合，提供一體化的智能網絡空間安全邊界防護，將會是下一代防火墻(NGFW)的演進方向。AI防火墻是基于AI硬件加速檢測分析引擎的新一代防火墻，即具有AI芯片，可通過本地及云端大數據進行訓練及建模，為未知威脅、未知用戶行為及未知應用行為提供安全策略推薦，本地可對用戶、應用及威脅進行檢測與分析，具有全面高級威脅檢測分析能力，能夠應對各類復雜高效的高級網絡攻擊威脅。

基于AI的防火墻技術的核心是機器學習和深度學習。機器學習是利用算法在數據中尋找規律，并自動識別復雜的模式，從而使線性的防火墻更加智能化。而深度學習是機器學習的更高級形式，它是利用神經網絡訓練來識別異常流量，并實現實時監測和預測。

基于AI的防火墻技術相較于傳統的防火墻技術有著顯著的優勢。傳統的防火墻會制定基于規則的防御策略，并應用于數據包過濾。而基于AI的防火墻借助機器學習、深度學習等技術自主識別威脅，這些威脅來自多個層面，包括內部的威脅、外部的威脅和惡意攻擊行為，識別率比人工處理更高。

圖表20 AI防火墻

信息來源：東北證券、融中研究

2）惡意代碼檢測

在惡意代碼檢測領域，AI（尤其是深度學習與機器學習算法）正扮演著核心角色。這類技術通過解析文件的靜態特征（例如二進制代碼結構）與動態行為（如運行時操作序列），能夠從已知惡意軟件的歷史數據中學習其潛在模式，并以此為基礎精準識別新型、未知的惡意文件。

AI具備快速適配惡意軟件變種的能力，這使其在零日攻擊檢測中展現出顯著優勢。通過持續的模型訓練與迭代優化，系統對惡意文件的識別準確率得以不斷提升，同時有效降低了誤報與漏報的概率，為網絡安全防護提供了更可靠的技術支撐。隨著大模型的興起，業界也在嘗試采用大模型來進行惡意文件的檢測，比如華清未央公司所發明的MLM大模型（機器語言大模型），就可以用來進行惡意代碼的檢測。

圖表21 惡意軟件檢測流程

信息來源：中國科學院信息工程研究所、融中咨詢

3）攻擊流量檢測

在攻擊流量檢測場景中，AI與機器學習技術憑借對網絡流量的實時分析能力，能夠精準識別與網絡攻擊高度相關的異常數據包及通信模式。這類AI模型可高效處理海量數據流，通過學習正常網絡行為的復雜特征構建基線，進而敏銳捕捉偏離常態的流量形態——例如分布式拒絕服務（DDoS）攻擊、惡意端口掃描、數據泄露嘗試等典型威脅行為。借助實時分析與動態模式匹配機制，AI系統能夠即時觸發警報并聯動防御策略，形成從識別到響應的閉環防護，為網絡安全構筑起實時有效的屏障。

圖表22 DDoS攻擊本地防護實驗測試環境

信息來源：中國銀行信息科技運營中心、融中咨詢

4）用戶和實體行為分析(UEBA)

在用戶與實體行為分析（UEBA）領域，AI技術尤其是無監督學習算法通過解析用戶及系統實體的行為模式，實現對異常行為的精準識別。其核心邏輯在于：AI系統通過持續學習個體用戶的歷史活動特征（如登錄時段分布、訪問權限調用習慣、數據交互量等），為每個對象構建專屬的正常行為基線。一旦監測到偏離基線的行為（例如非授權權限濫用、異常時段登錄、批量數據導出等），系統會將其標記為潛在安全威脅，這對于發現內部惡意操作、賬號被盜用等隱蔽風險尤為有效。

這種基于行為基線的動態分析方法，能夠突破傳統規則防御的局限，在攻擊行為造成實質危害前發出預警，顯著提升網絡安全態勢的感知精度與響應時效。

圖表23 用戶和實體行為分析

信息來源：盛華安、融中咨詢

（3）企業

1）深信服

深信服科技股份有限公司成立于2000年，現已發展成為國內網絡安全領域具有一定核心競爭力和市場地位的領軍企業之一。目前公司員工規模超過8000名，在全球設有70余個分支機構，服務超過10萬家企業級用戶。

根據國際數據公司IDC研究報告，公司VPN產品自2008年至2024年，連續17年穩居國內虛擬專用網市場占有率第一。全網行為管理、VPN、下一代防火墻、廣域網優化、應用交付等5款網絡安全核心產品連續多年入圍Gartner國際魔力象限。

公司于國內率先推出深信服自研大模型—安全GPT。繼2023年公司發布自研安全大模型“安全GPT”之后，公司2024年相繼發布了安全GPT3.0釣魚攻擊檢測大模型以及4.0數據安全大模型兩個升級版本，有效提升用戶釣魚攻擊檢測能力及數據安全防護水平。安全GPT是公司利用多年安全領域AI研發積累的高質量數據、算力、人才優勢，基于多款開源基礎大模型訓練得到的垂直領域大模型。用戶利用自然語言與安全GPT進行交互，可快速進行安全態勢研判、攻擊分析溯源、影響面調查、漏洞分析管理等安全運營操作，并顯著提升高混淆攻擊的識別研判能力，提升安全運營效率，提升面對攻擊威脅的發現和響應速度，同時降低安全運營人員能力要求。公司計劃將安全GPT技術首先應用賦能于XDR平臺并逐步擴展到其他核心安全產品。

圖表24 安全GPT模型

信息來源：深信服、融中研究

2）啟明星辰

啟明星辰信息技術集團股份有限公司成立于1996年，先后完成對網御星云、合眾數據、書生電子、賽博興安進行了全資收購，是網絡安全產業中主力經典產業板塊的領軍企業、新興前沿產業板塊的引領企業以及可持續健康業務模式和健康產業生態的支柱企業。

在“AI+安全運營”方面，公司打造了“安星人工智能運營系統”。其全面提升數據分析、告警降噪、風險識別、事件響應等安全運營工作的智能化水平，已獲得信通院的安全大模型基礎網絡安全能力評估認證，并成功應用于政府、運營商、企業等行業場景中。在“AI+威脅檢測”方面，公司將安星智能體與XDR系統深度融合，通過智能調度各類檢測和分析工具集，自主生成檢測規則、專殺工具、欺騙誘捕等動態防御策略，大幅提高威脅檢測、威脅分析和威脅防御的效能。在“AI+威脅情報”方面，研發了“安星威脅情報智能體”，全生命周期賦能威脅情報的生產識別、分析判定、推理應用，大幅提高了數據處理的效率和準確性，增強了情報的可解釋性和操作性。此外，在AI+數據安全、AI+終端安全等方面，公司也正在積極推進安全大模型及安星智能體的應用研發工作，將帶來數據識別與分類分級、數據安全合規檢查及評估能力、主機風險智能感知與失陷主機自動分析溯源能力等方面的顯著提升。

圖表25 啟明星辰安星智能體

信息來源：啟明星辰、融中研究

3）奇安信

奇安信科技集團股份有限公司成立于2014年，專注于網絡空間安全市場，專業從事企業級網絡安全、云計算、物聯網、工業互聯網及信創安全相關產品與服務等。目前公司員工規模超過7000名，在全球設有60余個分支機構，覆蓋超98%政府部門、央企和大型銀行。

公司創新發布了安全大模型應用產品QAX-GPT安全機器人。其能夠協助真人安全專家為客戶提供7×24小時自動實時網絡威脅分析，對海量告警進行智能研判及溯源，幫助其快速甄選出需響應處置的有效告警，破局“告警疲勞”難題，顯著降低漏報和誤報概率，極大地提升安全運營效率，減少安全事件發生。同時還創新發布了AISOC智能安全運營機器人，以安全大模型和大數據關聯引擎為雙擎驅動，實現從AI化數據采集、到 AI智能研判、AI智能關聯、AI事件調查、AI智能處置、AI劇本編排、AI智能報告、AI內生情報、AI智能問答等應用創新，完成了安全運營全流程的AI賦能與重構。

圖表26 QAX-GPT終端安全平臺

信息來源：奇安信、融中研究

（1）行業趨勢

AI與千行百業的融合深度持續提升，尤其是生成式AI、AI智能體、多模態技術的規模化應用，推動AI安全從“附加防護”向“核心剛需”轉變。未來3-5年，AI安全行業將迎來場景擴容、技術革新與生態重構的關鍵周期，同時也將面臨攻防對抗升級、合規成本上升等多重挑戰。

一是應用場景將呈現“數量擴容、范圍延伸、場景深化”的核心趨勢，整體場景數量持續增多，傳統場景不斷細化，新興場景加速涌現。
AI安全賦能將成為場景擴容的核心亮點，主要集中在四大領域：高風險行業（教育、醫療、金融等），AI Agent，開源模型，具身智能。

二是行業發展將圍繞技術革新、產品升級、生態協同三大主線，技術層面從“軟件對齊”向“硬件+軟件融合防御”范式轉型，產品層面從“單一功能”向“全生命周期、一體化、定制化”升級，形成技術驅動產品、產品適配場景、生態賦能行業的發展格局。

（2）行業風險

在未來，AI安全將從單點防御向體系化防護發展，以應對技術應用演進帶來的各種新風險、新挑戰。從總體趨勢上看，AI安全技術將隨著風險的不斷發展，形成四個特性，分別為：層級穿透性，風險從基礎設施層、數據層和模型算法層滲透至應用層，安全技術需構建跨層級協同防御體系；動態對抗性，攻擊者利用AI自動化生成敏捷攻擊工具和策略，倒逼防御技術向自適應、自修復方向發展；生態依賴性，開源框架漏洞、供應鏈風險已經成為新的攻擊入口，安全防護需延伸至技術生態全鏈條；危害現實性，隨著AI技術與實際場景與產品的深度融合，原有的虛擬空間中的風險和危害將向物理空間延伸，造成實際的危害，安全防護需要快速應對這些實際風險。

圖表27 AI技術風險分類分級防控體系

信息來源：中國信息通信研究院、融中研究