作者:中国工商银行软件开发中心广州开发三部

随着人工智能技术的飞速发展,其在金融领域的应用日益广泛。本文重点介绍中国工商银行利用DeepSeek大模型实施安全测试的实践过程,以期为金融业安全测试提供创新思路与方法。

一、背景

近年来,外部安全态势愈发严峻,中国工商银行对信息安全工作给予了高度重视。然而,银行系统在安全方面面临着诸多挑战,包括安全设计存在遗漏、安全测试能力有待提升、安全工具扫描准确率不够高等问题。为切实解决这些难题,从源头上筑牢生产安全防线,中国工商银行对基于DeepSeek如何做好安全测试开展了一些实践。该实践依托大模型的强大算力与智能算法,实现了对安全设计的智能化分析以及安全漏洞的高效精准过滤等核心功能,在实际应用中取得了显著成效,构建了智能化安全测试体系的新范式。

二、DeepSeek大模型赋能安全设计智能分析

系统安全设计的重要性及挑战

银行系统的安全设计是确保金融行业稳定运行和赢得用户信任的核心要素,一旦发生安全事件,极有可能造成极大的影响。然而,当前银行系统的安全设计主要依赖于设计人员的经验判断,由于个体对安全设计的理解存在差异,这往往会导致安全设计中出现疏漏。

基于Deepseek大模型的安全设计分析工具

为切实解决上述痛点,杜绝安全测试遗漏,确保系统安全稳固,中国工商银行充分运用DeepSeek大模型的强大能力,成功打造出安全设计分析与识别工具。该工具深度融合大模型与专家规则知识库,对系统进行全方位、精细化的分析,精准识别安全设计中的遗漏点,并提供切实可行的改进方案。

具体安全设计分析的流程如图1所示。

图1 系统安全设计智能分析设计流程

具体步骤详述如下。

步骤一:大模型知识库构建与管理。首先,收集系统相关的高质量安全设计规则,然后利用大模型的文本生成能力,扩展并生成满足需求的数据集。接着,根据预定义的数据清洗规则和要求,对数据集进行清洗处理。最后,结合人工复核和系统智能分析技术,对数据进行准确标注,从而建立起专家知识库,并对知识数据进行有效的资产化管理。

步骤二:大模型智能体应用。将系统设计文档或代码作为输入源,通过调用DeepSeek大模型,并融合专家知识库,对系统开展全面的安全设计扫描。此过程能够快速且准确地判断系统是否存在安全设计问题或遗漏。

步骤三:关键字辅助判断。预先制定了一套详尽的关键字列表,通过关键字与系统设计内容的精确匹配,为DeepSeek大模型提供更准确的辅助判断依据。这一机制有效弥补了大模型判断的局限性,提升了安全设计识别的准确性和全面性。

步骤四:确认非安全设计因素。工具配备了智能审核功能,对设计人员反馈的“不涉及安全设计原因”进行全面、细致地校验,确保所反馈的情况真实无误。

安全设计因DeepSeek大模型而强化

工商银行将DeepSeek大模型运用在安全设计领域,在以下几个方面取得较好的作用:

一是安全分析能力大幅提升。凭借DeepSeek大模型的强大推理能力和对上下文的理解,能够更精准地识别安全设计的关键要点。同时,结合安全规则知识库,可系统地提出更加详尽、准确的安全设计建议。

二是安全分析覆盖范围得到升级。借助DeepSeek大模型的强大分析能力,能够更全面地覆盖潜在的安全风险点,特别是一些人工容易遗漏的细节。对于复杂的系统设计,其分析效果更为明显,有力保障了安全设计的完整性。

三是安全设计效率得到提升。DeepSeek通过改进MoE(混合专家模型)架构,并融入独创的MLA机制(多头潜在注意力机制),其推理能力极为强大。依托该项能力,工具的安全设计要点识别效率得到提升,能够快捷地为设计师提供安全设计要点及详细的设计方案。

四是效益提升明显。DeepSeek凭借其低成本优势,展现了极高的性价比。在相同的资源投入下,实现了更高水平的产出,其成本效益比优势明显。

据实践数据统计,引入DeepSeek大模型进行安全设计要点识别,准确率可达到90%以上,同时大幅减少了人工识别成本,有效解决了设计人员对安全设计理解的个体差异问题,取得很好的效果。

三、DeepSeek大模型赋能安全漏洞智能分析

安全工具扫描准确率不高的现状

在系统开发过程中,除了安全设计遗漏这一难题,项目团队还面临着安全漏洞大量误报的困扰。由于各系统存在差异,通用的安全漏洞扫描工具往往难以准确识别漏洞,误报率居高不下,部分系统的误报率甚至高达90%以上。这一问题主要源于工具本身的局限性、扫描策略的不合理以及技术手段的不足。

基于DeepSeek大模型的安全漏洞智能分析实践

为解决以上问题,工商银行广泛收集并清洗了大量的安全漏洞数据,成功建立了一个安全漏洞识别的专家知识库。同时,结合DeepSeek大模型,对安全漏洞扫描工具的输出结果进行智能分析,有效剔除了无效的漏洞数据,显著降低了误报信息的数量。

具体安全漏洞智能分析的流程如图2所示:

图2 安全漏洞智能分析设计流程

具体步骤详述如下。

步骤一:构建安全漏洞知识库。广泛收集历年的安全漏洞扫描结果,通过筛选剔除重复、无效及冗余数据。随后,对漏洞信息进行细致分类与整理,依据漏洞类型(例如SQL注入、跨站脚本、缓冲区溢出等)、影响范围以及严重程度等多个维度进行准确标注和归类,搭建了一个大模型知识库。

步骤二:利用大模型智能分析安全漏洞。鉴于各种安全漏洞扫描工具输出的文档格式存在差异,首先设计出统一的文档格式,对每份扫描结果进行数据预处理,并将数据整合。接着,充分发挥DeepSeek大模型的上下文理解和推理能力,将报告中的安全漏洞描述与专家知识库中的规则进行比对验证,对每一个漏洞进行细致分析。此步骤能有效识别出大量误报的漏洞数据,并根据漏洞的严重程度、影响范围及修复难度,对真实(非误报)的漏洞进行准确分类和优先级排序,将漏洞划分为“高危”“中危”“低危”三个等级。

步骤三:编制漏洞分析文档。安全漏洞误报识别工具完成对安全漏洞报告的分析后,会生成一份详尽的漏洞分析文档。该文档涵盖了漏洞名称、详细描述、影响范围、触发条件、攻击路径等关键信息,内容条理清晰、表述简洁明了,确保开发人员能够迅速理解漏洞的本质及潜在风险。修复建议则基于专家知识库中的修复经验和最佳实践,同时结合DeepSeek大模型,生成漏洞对应的修复方案,为开发人员提供切实可行的指导。

步骤四:持续优化与反馈机制。专家知识库的规则将不断得到优化和完善,工具内嵌了知识库更新功能,通过定期收集最新的漏洞规则、修复建议等关键信息,自动对数据有效性进行智能分析,经过人工核验后及时导入专家知识库。同时,定期对知识库进行清理,剔除无效、过期的数据,确保知识库内容的时效性和准确性。此外,还将定期对大模型的处理效率和准确率进行评估,根据评估结果及时对工具进行迭代升级,以适应新的安全需求。

DeepSeek大模型带来的提升

通过集成DeepSeek大模型,对安全漏洞进行智能分析,安全漏洞的识别能力得到了显著提升,在准确率和效率上均取得了突破。这使得工具能够很好地应对繁琐的安全漏洞误报分析,减轻了分析人员的压力,为系统提供更加高效、智能的安全保障,其作用主要体现在以下几方面:

一是显著提高漏洞识别准确率。通过运用数据增强和数据蒸馏等技术,融入了更多高质量、多样化的漏洞样本以及真实场景案例作为训练数据,大幅提升了安全漏洞的识别精度,有效剔除误报的漏洞数据,确保扫描结果的准确性。

二是提供详尽的漏洞修复建议。DeepSeek大模型能够针对具体漏洞,给出详尽且针对性的修复指导。对于常见的安全测试漏洞,如HTTP X-XSS-Protection响应头漏洞,DeepSeek已能提供极为详细的修复步骤。同时,结合专家知识库中的修复经验和最佳实践,工具能够整合出极具参考价值的修复建议,为漏洞修复工作提供有力支持。

三是增强复杂场景的上下文理解能力。DeepSeek大模型凭借其卓越的上下文理解能力,在分析包含复杂描述的漏洞时,能够全面把握内容的上下文逻辑,有效避免因片面分析而导致的误报情况,提升漏洞识别的准确性和可靠性。

实践数据显示,通过DeepSeek大模型与高质量专家知识库的深度融合,可有效识别出80%以上的误报漏洞,不仅极大降低了人工检查的人力成本,还有效减少了分析人员因安全知识差异而带来的影响。

四、下一步展望

中国工商银行基于DeepSeek大模型在系统安全领域的应用实践,为银行系统的安全设计提供了新的参考范式,极大提升了安全设计与测试的效率。展望未来,随着人工智能技术的持续进步,其在金融领域的应用场景将不断丰富,中国工商银行将继续秉承“科技赋能金融”的核心理念,不断深化人工智能技术在金融领域的探索与实践,持续推动金融行业的数字化转型和创新发展的进程。

声明:本文来自BanTech智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。