摘要:智能化安全运营(ISOC)在国内正迎来高速发展,市场需求强劲、竞争激烈,ISOC市场正迎来令人振奋的发展前景。同时ISOC代表了安全运营的未来技术方向。ISOC将AI技术深度渗透到安全运营的威胁检测、事件分析、响应到风险管理、安全策略优化等各个环节,各厂商积极
智能化安全运营(ISOC)在国内正迎来高速发展,市场需求强劲、竞争激烈,ISOC市场正迎来令人振奋的发展前景。同时ISOC代表了安全运营的未来技术方向。ISOC将AI技术深度渗透到安全运营的威胁检测、事件分析、响应到风险管理、安全策略优化等各个环节,各厂商积极探索AI在不同场景的应用创新,以AI深度融合、混合模型及云地协同等为标志向标准化演进。
国内ISOC市场应用现状
国内ISOC市场需求强劲,应用场景不断拓展,AI技术在其中发挥着越来越重要的作用。ISOC已成为安全运营的发展趋势,为企业构建更主动、更智能、更有效的安全防御体系提供有力支撑。
国内ISOC市场应用现状
市场应用情况
01国内市场潜力巨大,用户期望高涨
ISOC市场正表现出广阔的发展前景和强劲的增长势头。根据安全牛2025年的用户调查数据,国内大多数组织(90%)对ISOC的未来发展持乐观态度,其中33%的组织表示非常乐观,认为前景广阔;57%的组织表示比较乐观,认为拥有显著的预期发展势头。这种积极的态度也体现在实际行动和规划中:目前已有10%的组织正在开展ISOC的实施 ,有 29% 的组织正处于测试运行阶段。值得关注的是,在尚未实施的组织中,49% 的组织计划在一年内进行相关采购。
安全牛分析
这种强劲的市场需求和乐观预期,源于国内组织在安全运营方面普遍面临的痛点。传统SOC模式下,海量报告数据带来的“告警疲劳”、安全分析能力不足导致的威胁漏报、人工处理造成事件响应效率低下等问题凸显。ISOC通过引入人工智能、大数据分析、自动化编排等先进技术,能够有效解决这些痛点,大幅提升安全运营的效率、准确性和自动化水平。未来,随着大模型等AI技术的持续进步、ISOC在各行业应用效果的逐步显现,以及应用场景的不断精细化,其接受度和普及率将显著提升,在国内市场拥有了颠覆性的发展前景。
02市场集中在关键行业领域,逐步向外渗透
根据安全牛2025年的调研数据,目前国内部署智能化网络安全运营的行业主要集中在金融行业(24%)、政府机构(22%)、运营商行业(19%)、能源行业(13%)等关键领域。
安全牛分析
国内安全运营的转型升级浪潮主要由这些关键行业引领。这些行业的组织通常具备以下特点:IT基础相对完善,积累了海量的安全数据;面临复杂且高级的网络安全威胁;接受严格的行业监管和合规要求;拥有相对完善的安全体系和运营团队。但是,仍然普遍遇到传统安全运营的困境:难以从海量数据中高效提取威胁情报、解决问题的难度过大、安全事件响应速度跟不上攻击速度、以及对APT、0-day攻击等高级威胁的检测和理解能力不足。
正是由于这些严峻的挑战和迫切的需求,促使这些组织积极拥抱 ISOC。他们希望利用人工智能、机器学习和自动化技术来突破运营困境,并已成为 ISOC 平台测试与部署的先行者,尤其是在那些安全要求极高、数据规模庞大且拥有专业运营团队的大型机构中表现得极其突出。他们希望通过统一的 ISOC 平台或部署 AI Agent(智能体)来整合分散的安全资源,实现集中管控和高效协同,提升安全运营的整体水平,并利用大模型等先进技术解决实际业务问题,提升网络安全防护能力。
未来,随着ISOC技术的持续成熟、典型案例的落地成功,云化/SaaS化等多元化部署模式带来的应用成本降低,智能化安全运营的需求必将逐步渗透到更广泛的行业领域(如制造、医疗、教育等)和中小型企业群体,ISOC市场将迎来更加繁荣的发展空间。
03厂商纷纷布局,市场竞争激烈
当前,智能化安全运营商(ISOC)已成为网络安全领域的热点,吸引了各大厂商积极布局,市场竞争日趋激烈。传统安全厂商、云服务厂商、运营商、创新公司等不同类型的参与者都基于自身优势,通过技术创新、产品迭代和服务升级,着力构建差异化的竞争优势,以期在增长的ISOC市场中快速占据先机。
目前,ISOC市场的竞争焦点主要集中在AI技术与具体安全运营场景的融合、覆盖范围与落地能力、AI模型的准确性/可解释性/可靠性、响应的自动化与灵活性、安全大数据的处理能力等方面。
未来,随着智能化安全运营逐渐成为主流,技术引领提升,应用领域不断扩展,单一厂商将越来越难以提供覆盖所有的完整解决方案。同时,人工智能模型的训练和优化高度依赖于海量、高质量的安全数据和威胁情报。安全牛预计,厂商之间的生态合作将成为未来发展的重要趋势。技术合作、产品集成、数据共享、威胁情报共享、联合解决方案等模式将更加普遍。通过生态合作,厂商可以实现优势互补、资源共享、协同创新,共同推动安全运营技术的发展和应用,为客户提供更强大的安全保障。
国内ISOC技术应用十大特征
国内智能化安全运营领域呈现出强劲的增长,安全厂商和部分大型企业积极探索和应用人工智能技术,推动安全运营从传统模式向自动化转型,主要特征包括安全运营平台向统一集成、数智驱动进行转型升级、技术与应用创新百花齐放、智能化应用效果初显成效,以及AI 智能体被视为未来安全运营的关键推动力等。
国内ISOC技术应用现状
01SOC正趋向数智一体化转型升级
日益复杂的网络威胁和不断提升的安全运营面对需求,传统的SOC/态势感知等正经历深度的数智化转型,他们普遍面临数据孤岛、分析效率低下、响应速度慢、自动化程度不足等挑战。为了应对这些挑战,安全运营平台的发展趋势是构建统一集成的数智化平台,平台以安全大数据为基础,以AI技术为核心驱动力,深度集成SOAR等多个安全能力,旨在实现数据驱动的威胁检测、定制的事件分析与研判、自动化的响应消除以及人机协同的运营模式,最终构建起覆盖“事前预防、事中检测与响应、事后总结与改进”全生命周期的闭环安全运营体系。
安全各厂商都在积极致力于探索这个方向。例如亚信安全打造“一个平台,全网管理”的运营管理理念,构建支撑安全事件全自动化响应的安全运营平台。奇安信通过AI与现有安全体系深度融合,将NGSOC与QAX-GPT深度融合,实现从威胁检测到响应处置的全流程一体化安全防护。碳泽通过响应流程剧本化满足智能处置各类安全事件的需求,并通过集成了AI驱动的异常检测模型实现全链路威胁检测。神州泰岳构建全面的安全数据中心,并利用安全编排与自动化响应平台(Ultra-SOAR)整合各种元素,实现海量安全数据的智能分析和安全运营工作的闭环管理。
02ISOC的智能化应用创新呈现百花齐放的态势
国内安全厂商积极拥抱AI技术,将其与安全运营的各个环节深度融合,推动安全运营向自动化、智能化方向发展。各厂商基于自身的技术积累、产品优势和针对客户需求的理解,纷纷推出各具特色的AI创新应用,呈现出百花齐放的态势。
AI应用的广泛度和成熟度
在威胁检测方面,AI技术的应用已相对成熟,厂商普遍将机器学习、深度学习等技术引入EDR、NDR/NTA、UEBA等产品,有效提升对未知威胁、高级威胁和异常行为的检测能力。例如,亚信安全在其新一代XDR平台中利用AI技术覆盖了12大类安全领域的100多个高级威胁检测场景。神州泰岳利用神经网络进行钓鱼检测和挖矿检测。碳泽利用AI驱动的异常检测模型进行全序列威胁检测。
在安全事件分析与调查方面,AI技术正结合快速发展,NLP、知识图谱、机器学习等被用于自动化信息收集、关联分析、攻击路径还原、根本原因分析等。例如,奇安信的QAX-GPT的智能调查功能可通过智能化和自动化的调查流程,快速定位安全事件的根源;碳泽利用AI驱动的异常检测模型进行全序列威胁检测和事件调查。
自动化响应是AI应用的另一大热点,SOAR平台与AI技术的紧密结合,并且AI智能体开始在自动化响应中重要扮演角色。例如,碳泽聚焦于通过AI驱动的异常检测模型和场景自动化,实现全流程威胁检测和智能执行,其自动化场景已覆盖智能电网安全运营、自动化模拟攻击、自动化邮件安全等100多个场景。亚信安全的新一代XDR平台支持一键封禁、隔离主机等自动化响应操作。奇安信的QAX-GPT可以根据事件和严重程度,自动生成并执行最佳的响应策略。各厂商还结合自身优势,在数据安全、代码安全、DevSecOps、业务安全等细分领域进行AI应用创新。
03智能化应用效果已经初见成效
国内ISOC的建设和应用已取得初步成效,在多个方面展现出显著优势,特别是在告警降噪、安全事件分析、自动化响应、数据安全和运营管理等方面带来了一定的应用效果。
ISOC应用实施效果
根据安全牛2025年对厂商资料分析,ISOC在部分案例中取得了较好的效果:告警降噪能力大幅提升(如亚信安全XDR平台智能过滤98%无效告警,奇安信AISOC提高告警准确率80%)、安全事件分析效率显著提高(如碳泽千乘平台实时推演攻击链,亚信安全XDR平台溯源效率提升80%)、事件响应实效大幅加强(如亚信安全XDR平台人工调查时间减少93%,碳泽千乘平台攻击响应时效提升97%)、数据安全能力显著提升(如碳泽千乘平台实现交易数据自动标注,数据拓扑效率提升40倍)、安全事件处理效率大幅提高(如奇安信AISOC单个事件响应效率提升约80%,神州泰岳Ultra-SOMC效率提升96%)、安全运营管理效果显著提升(如奇安信AISOC单日工作成果提升数倍,碳泽千乘平台合规覆盖度大幅增加)。
请注意:该效果数据来源于部分案例或特定场景,实际效果受到多种因素的影响,数据仅供参考,并不代表所有企业都能取得类似的效果。
04大模型与小模型协同并进,共筑安全运营智能化基石
国内安全厂商正积极探索AI大模型与小模型在安全运营中的协同应用,构建“大模型+小模型”的混合架构模式,以充分发挥各自优势,实现更高效、更智能的安全运营。
大模型与小模型混合架构
大语言模型(LLM)凭借其强大的自然语言处理、知识整合、逻辑推理和内容生成能力,在威胁情报分析、事件安全理解与调查、安全策略生成与优化建议、智能安全问答系统、自动化报告生成等方面应用相对集中。然而,受限于安全领域的特殊性,通用大模型在安全专业知识、数据安全、可解释性等方面仍存在不足。因此,将其与安全垂域大模型或针对特定任务的小模型相结合,正成为市场探索的主流模式。
机器学习和深度学习的“小模型”在安全运营中的应用已较为广泛和成熟,通常针对特定任务进行,具有资源消耗低、响应速度快、可解释性强、数据依赖性较低、部署灵活性等优势,主要应用于威胁检测、UEBA、数据处理与分析等场景。
“大模型+小模型”的混合架构,可以实现优势互补:大模型负责全局分析、复杂推理、知识问答、安全编排等,提供宏观决策支持;小模型负责具体的威胁检测、异常识别、风险评估等任务,提供快速、准确的检测结果。
例如,新华三、观安信息、联通数科、聚铭网络、睿安致远等厂商都在采用或探索这种混合架构模式。
05AI智能体是安全运营的未来方向,当前仍处于探索期
AI智能体作为能够自主感知环境、进行思考和推理、做出决策并采取行动以实现特定目标的智能应用,代表了安全运营自动化发展的未来重要方向。AI Agent具备自主性、反应性、主动性、学习能力和推理能力等关键特征,可以模拟人类安全专家的工作模式,在安全运营中发挥行为更主动、更智能的作用。
AI智能体是未来的方向
目前,AI智能体的应用主要集中在自动化安全响应、辅助安全调查和安全运营流程优化等方面。例如,奇安信推出了告警关联智能体、溯源调查智能体等,用于告警的关联分析和事件的溯源调查;碳泽将AI智能体融入到工作流可视化编辑的步骤中,增强告警智能处理能力、优化安全流程编排等。安恒信息针对主机类告警研发了丰富的研判智能体,包括数据安全类智能体。绿盟科技、探真科技、众智维、聚铭网络、掌数科技等厂商也在积极探索AI智能体的应用。
06通用大模型(如DeepSeek)与安全垂域大模型结合的探索
通用大语言模型(以DeepSeek等开源模型为代表)拥有强大的自然语言理解和生成能力、广泛的通用知识,以及零样本/少样本学习能力,可以有效赋能于安全问答、报告生成、威胁情报分析等场景。然而,通用LLM在安全专业知识等方面存在不足。因此,国内安全厂商积极探索将通用LLM与安全垂域大模型(经过安全数据训练)或小模型结合的“双模型”或多模型架构,成为主流模式。这种模式下,通用LLM和安全垂域大模型可以协同工作,优势互补。
这种混合架构潜力巨大,有望在未来推动安全运营向更高层次发展。
国内许多安全厂商已经在混合AI架构方面进行了积极探索和实践。例如,绿盟科技将DeepSeek做为基础模型,与自研的风云卫安全垂域领域大模型结合,构建双模型驱动的AI安全运营体系;亚信安全、浪潮云等其他各厂商也在积极研究DeepSeek等开源大模型,并将其与自身的大模型平台相结合。
07威胁情报应用得到普及,AI赋能情报分析和生成
威胁情报已成为现代安全运营驾驶员的核心要素。厂商普遍认识到其在主动防御、威胁检测、事件响应、风险评估、安全决策等方面的关键价值,将其广泛集成到各自的安全产品和解决方案中。人工智能技术,特别是自然语言处理(NLP)、机器学习和知识图谱,正在改变威胁情报的生产、分析和应用方式。尤其是AI Agent技术,可以自动化地从多个来源收集、处理威胁情报,提取IOC、识别攻击者TTP、评估情报可信度,并利用知识图谱进行关联分析,构建威胁情报知识图谱。大模型则可以用于情报分析、摘要生成、智能问答等。自动化情报应用(例如更新防火墙规则、触发 SOAR 剧本等)也日益普及。
例如联通数科依托高质量的威胁情报服务,为客户提供精准的安全决策支持。观安信息利用大模型泛化能力构建威胁情报智能体,实现对专业情报报告关键信息的提取,应用于对新型威胁行为的精确检测。除此之外,奇安信、安恒信息、绿盟科技、神州泰岳等厂商也都在其安全产品和解决方案中的各个环节中广泛应用威胁情报,并将其广泛集成到各自的安全产品、平台和解决方案中。
08低代码/零代码编辑平台加速ISOC智能化落地
为了降低AI在安全运营中应用的技术门槛,提高效率和灵活性,并减少对专业AI人才的依赖,低代码/零代码AI平台正成为ISOC建设的重要趋势。低代码/零代码AI编辑平台提供可视化、拖拽式、配置化的界面,使安全分析师等非AI专家能够构建、定制和部署AI驱动的安全运营应用,例如可视化编排AI模型、安全运营流程和SOAR自动化脚本,利用预置的AI模型和组件,简化AI模型训练和调优等。
国内多家厂商均已经进行这方面的实践,如碳泽的千乘平台提供了低代码的AI+SOAR编辑平台,允许用户通过可视化界面编排多智能体系统应用;安恒信息的智能体编辑平台支持零代码和低代码开发智能体,推动了安全运营的定制化和智能化;众智维致力于将人工流程转变为自动化流程,并将自动化流程分解为剧本类的产品,实现开箱即用。除此之外,掌数科技、睿安致远浪潮云和观安信息也分别提供了低代码AI智能体开发平台,并推出了一系列相关产品和解决方案。
09安全运营迈向量化管理,构建可度量的安全
安全运营的量化管理已成为智能化安全运营中心(ISOC)建设的重要趋势和核心特征。通过建立一套科学、全面、可落地的安全运营指标体系,ISOC能够对安全运营的各个环节进行量化评估、持续监控和数据驱动的优化,实现安全运营效果的可简化、可评估、可改进、可展示,并为安全决策、资源分配和投资规划提供监测、准确的数据支撑。这些指标涵盖风险、检测、分析、运营、管理、业务等多个环节。技术在指标的自动化采集、分析标准化、可视化呈现和决策支持方面发挥着关键作用。
国内安全厂商正在积极探索安全运营的量化管理,并将其融入到ISOC解决方案中。例如,奇安信AISOC在某案例中定制了24个安全运营指标,涵盖效率提升、团队投入和成果等多个维度;新华三提出了“健康度”和“成熟度”双指标体系,量化评估安全运营工作的开展情况和安全运营效果;联通数科则构建了实战化安全运营量化指标体系,更贴近实战攻防场景等。
10云地协同:智能化安全运营平台的新常态
随着云计算的普及和企业数字化转型的深入,ISOC正朝着云地协同的管理模式发展。
云地协同模式将云端的安全能力(如AI分析、威胁情报、安全专家、弹性力算等)与本地的安全设备和系统进行深度集成(例如防火墙、IDS/IPS、EDR、NDR、SIEM等),实现优势互补、协同联动,构建更全面、更智能、更高效、增加弹性的安全运营体系。云地协同主要有云端分析+本地响应、云端情报+本地检测、云端管理+本地执行等模式。
国内各大安全厂商都在积极布局云地协同的安全运营平台。例如,亚信安全的新一代XDR平台提供云网端融合分析能力,实现了云端分析和本地响应的协同;绿盟科技提供云端监控防护能力,并将行业云定位为未来重点发展方向;新华三与运营商共同推出的“安全大脑”则发挥了云端运维的便捷性和易用性。联通数科、浪潮云、探真科技、聚铭网络等也都采用云地协同模式,例如本地负责实时检测,告警事件上报云端,云端专家进行精准研判,并下发研判规则至本地。
安全牛报告预告
安全牛《智能化安全运营中心应用指南(2025版)》将于近期正式发布。报告从甲方用户实际应用需求出发,内容包括智能化安全运营中心(ISOC)的概念,能力框架和关键技术、典型的智能化安全运营应用场景,以及国内外技术现状、企业的最佳实践指南,以及近年来成功落地的应用案例的评价和表现突出的ISOC推荐厂商。
来源:小贺论科技
