打造自适应 AI 运维智慧体： 大语言模型在软件日志运维的实践 刘逸伦 华为 2012 实验室 本科毕业于南开大学 ，硕士毕业于美国佐治亚理工学院。研究方向包括 AI 智能运维 ，大模型质量评估以及大模型提示策略 ，在相关领域以第一作者、 通讯作者身份在 ICDE 、 ICSE 、 IWQoS 等顶级国际会议 / 期刊发表 10 余篇 论文。 刘逸伦 华为 2012 文本机器翻译实验室工程 演讲嘉 宾 1. 软件日志运维观点 2. 自适应智慧体在运维领域面临的 Gap 3. 大模型 Prompt 引擎助力自适应运维智慧 体 4. 大模型知识迁移打造运维专精模型 5. 未来畅想 目录 CONTENTS PART 01 软件日志运维观点： 智能运维演进趋势是从任务数据驱动到自适应运维智慧体 (1) 日志是机器语言：大规模网络、软件系统在运行过程中每天会产生 PB 级别的日志，这些日志是一些类自然语言的文本，实时描述了设备 的运行状态、异常情况。 (2) 传统网络运维是机器语言的人工翻译过程：为了维护网络的稳定，运维人员会持续监控设备的运行状态，希望准确、及时地检测异常和 突发事件。网络日志是设备运行维护最重要的数据源，运维人员通常会通过解读日志中的自然语言、语义信息来发现问题、分析根因。 (3) 自动日志分析是机器语言的自动翻译过程：

......4 1.2 查看服务器是否存在隐藏账号、克隆账号.................................................... 4 1.3 查看 window 日志，检查登入时间，是否存在暴力破解等行为.......................5 2、 检查异常端口、进程.......................................... ................................16 三、日志分析..........................................................................................................17 1、window 日志分析.................................... ................................. 17 1.1 安全日志分析 .............................................................................................17 2、Linux 日志分析 .........................................

统安 全管理平台、网络型流量控制产品、负载均衡产品、抗拒绝服务攻击产品、终端接入控制产品、 USB 移动存储介质管理系统、文件加密产品、数据泄露防护产品、安全配置检查产品、运维安 全管理产品、日志分析产品、身份鉴别产品、终端安全监测产品、电子文档安全管理产品等 19 类网络安全专用产品，其中每类产品均按企业名称首字母进行排序。 中国网络安全产业联盟 ..............................................................................................444 日志分析产品 北京安信天行科技有限公司................................................................................. 通过网络基于不同协议连接到服务器的专用存储设备。 17 公钥基础设施 支持公钥管理体制 , 提供鉴别、加密、完整性和不可否认服务的基础 设施。 18 网络安全态势感知产品 通过采集网络流量、资产信息、日志、漏洞信息、告警信息、威胁信息 等数据 , 分析和处理网络行为及用户行为等因素 , 掌握网络安全状态 , 预 测网络安全趋势 , 并进行展示和监测预警的产品。 19 信息系统安全管理平台 对信息系

分析计算 /… … 数 据库 防 护 安全 流 量探 针 FW/IPS/IDS 运维管理安全能力 通常会部署了防火墙、态势感知、安全漏洞扫描 / 基线核查、运 维堡垒机、日志审计管理、上网行为审计等安全能力 安全建设基础相对完备， 能力的聚合和运营将成为关键 AV/ EPP/EDR 上 网 行 为 审 计 安 全 流 量 探 针 FW/ IPS/ 全运营 基于溯源图的终端 行为分析 SecurityGPT 公开 发布 Dex abeam 异常日志识别和分析 AI 小模型 取得明显成 效 全面拥抱 大模型 QRadar Watson ，基 于 AI 的日志分析和处 置 建议 NoDR 云原生行为基 线生成和检测 SAVE 3.0 多内核 AI 文件检测引擎 基于机器学习的加 密流量检测 辅助驾驶 零信任平台 数据安全平台 检测类大模型 运营类大模型 其他类大模型 …… 检测大模型 模型 安全 GPT 检测大模型 数据 流量日志 代码 溯源报告 恶意样本 安全知识 情报 公开漏洞 IOA 日志 代码理解能力 <%@page import=” <%@page import=”java ... 安全常识理解能力 Shell 俗称壳（用来区别于核），

等级保护 2.0 拓扑图案例 整体技术体系架构 产品清单 下一代防火墙 数据库审计 负载均衡 感知平台 + （检测探针） 上网行为管理 SSL VPN 信服云眼 / 信服云盾 日志审计系统 漏洞扫描系统 主机杀毒 运维堡垒主机 云平台安全建设拓扑图 法院等级保护 高校等级保护 广播电视等级保护 监狱等级保护 医院等级保护解决方案 医院整体拓扑图 内网终端接入域 系统 手麻 检测 探针 负载 均衡 内网运维管理域 安全感知平台 运维堡垒主机 补丁分发系统 日志审计系统 防病毒服务器 漏洞扫描系统 内网前置 网闸 外网前置 机（下一代防火墙）机 业务内网 外网运维管理域 日志审计系统 运维堡垒主机 补丁分发系统 漏洞扫描系统 防病毒服务器 外网核心域 对外服务器域 下一代防火墙 出口网络 / 安全设备 于安全服务平台 核心交换 安全运营服务 安全运营服务 安全运营服务 下一代防火墙 上网行为管理 数据库审计 下一代防火墙 日志审计系统 杀毒软件 下一代防火墙 上网行为管理 广域网优化 负载均衡 日志审计系统 杀毒软件 数据库审计 负载均衡 堡垒机 SSL VPN 流量编排 等保二级 合规模板 出口边界 安全模板 等保三级 合规模板 杀软

........................................................................................25 4.3.2 日志审计................................................................................................. 在信息网用户汇聚节点旁路部署流量分析系统进行流量的实施监测和预警。流量分 析 系统采用先进的检测技术体系，基于状态的应用层协议分析技术，使系统能够准确快速地 检测各种攻击行为。 14 新一代信息网安全方案设计 流量分析日志可与信息网中的入侵检测、各类资产、威胁情报等联动，分析某一端 口 的访问频率、离散度， 建立流量对比基线、行为对比基线， 进而探测端口异常行为、发现 非 法远程访问及各类违规接入。还可用于解析常见的各类网络层协议， 提供最佳的检测。通过对恶意文件和隐蔽式攻击行为的检测和深入分析，在不断发 展的网络 环境中， 沙箱检测系统可为警务应用提供检测高未知威胁和针对性攻击所需的 可见性和情 报。 沙箱检测系统可与流量分析日志、威胁情报、入侵检测日志等进行联动，为信息网 提 供开放且可扩展的自定义动态沙盒分析，在第一时间保护 XX 网免于 APT 与针对性攻击 的 危害。 2.3.3.5 数据防泄漏 数据防泄露系统采用业界先

系统访问控制......................................................................................89 7.3 日志管理与审计..................................................................................91 7.4 安全漏洞防护 的多维度分析，包括趋势分析、对比分析、异常检测 等。 o 提供可视化功能，包括图表生成、仪表盘设计等，帮助 用户直观理解数据和结果。 7. 安全与权限控制 o 系统需具备完善的安全机制，包括数据加密、访问控 制、操作日志记录等，确保数据安全和用户隐私。 o 提供细粒度的权限管理功能，允许管理员根据不同用户 角色分配权限，确保系统使用的合规性和安全性。 通过以上功能模块的设计，系统能够全面覆盖人工智能数据训 现数据的访问控制、加密存储和传输等功能，确保数据的机密性和 完整性。针对不同用户角色，系统应设置细粒度的权限管理，限制 对敏感数据的访问和操作。 最后，系统应具备数据监控与日志管理功能，能够实时监控数 据的采集、存储和处理过程，并记录详细的操作日志。日志管理模 块应支持查询、导出和分析，便于系统管理员快速定位和解决问 题。 综上所述，数据管理需求涵盖了数据的采集、存储、预处理、 安全管理和监控等方面，是人工智能数据训练考评系统建设中的关

举例：产品框架最大的问题是产品框架 集 中 投 入 构 建 核 心 能 力 平 台 核 心 能 力 持续监测 态势感知 可视化 日志 攻击 资产 脆弱性 预警 威胁预警 脆弱性管理 风险评估 防御 防火墙 服务器加固 响应 工单系统 处置响应 日志检索 检测 威胁情报 关联分析 流量分析 IT 运 维 网管与 IT 运维管理 网络拓扑 设备监控 应用监控 工单 感知、定位安全运营管理、行业化定制 版本 2. 安全分析与管理（ SNI+SOAR ） • 简版，产品的服务编排与策略下发 • 定制，定制对接产品服务编排与策略 下发 3. 日志审计平台（ LAS ） • 集中审计、日志支持多，关联分析，可 以作为 NGSOC 的日志节点 4. 安全运营服务 ( 基于 NGSOC) • 本地运营：驻场工程师 + 项目经理 + 后台专家 • 远程运营：服务中心、城市 / 行业安 全运营中心 弱口令字 典配置 暴力破解规则配置 漏洞知识 库配置 设备配 置 设备监 控 日志配 置 报表报告 自 定 义 报 告 快 速 报 告 周 期 报 告 报 表 模 板 监测中心 监 测 工 作 台 仪 表 板 原始数据 消息中心 第三方日志 接入 设备日志 19 BG 即领域 基 础 设 施 安 全 层 IT 系统（办公网络） 环境 身份安全

安全审计 集中日志审计、上网 行 为 管 理 （ 三 级 增 加）、远程用户管理 （三级增加） 可信验证 可信计算（可） 安全计算环境 身份鉴别 包括操作系统安全加 固 、 数 据 库 安 全 加 固 、 中 间 件 安 全 加 固、网络设备安全配 置加固、应用安全、 数据安全 双因素、PIK/CA（三 级增加） 访问控制 堡垒机、服务器加固 安全审计 集中日志审计、运维 审计、数据库审计 可信验证 可信计算（可） 数据完整性 —— 数据备份恢复 备份恢复软件 剩余信息保护 —— 个人信息保护 —— 安全管理中心 系统管理 安全统一管控 堡垒机 审计管理 堡垒机、集中日志审 计 安全管理 堡垒机 集中管控 补 丁 管 理 （ 三 级 增 加）、漏洞管理（三 级增加）、资产管理 （三级增加）、网管 系统（三级增加）、 大数据安全分析（三 级增加）、态势感知 （三级增加） 划分统一的安全运维区， 将已建的网关、安管、运维堡垒机、综合日志审计等系统进行统一管理。 在等保建设的第二阶段，通过建立统一的大数据架构的安全管理中心，实现企 业级安全态势感知，新建并整合已有的安全能力，最终实现“建立统一的支撑平台” “进行集中的安全管理”要求和目标。 3.4.1.1 产品简介 3.4.1.1.1 综合日志审计平台 3.4.1.1.1.1 等保 2.0 控制项符合

化方面，系统将采用分布式计算架构与高效的缓存机制，确保在大 规模数据环境下的快速响应与高并发处理能力。安全保障方面，系 统将实现多层次的安全防护机制，包括数据加密、访问控制、身份 认证与审计日志等，确保数据的安全性与合规性。 最后，项目将制定详细的测试与部署计划，确保系统的稳定性 和可维护性。测试计划将包括单元测试、集成测试、性能测试与安 全测试等多个阶段，部署计划则将涵盖本地部署与云部署两种模 提供多种界面形式（如命令行、Web 界面、移动应用等），并支 持多语言和多平台兼容性。 为了确保功能的可扩展性和模块化，各个模块之间应采用松耦 合的设计，并通过标准化的接口进行通信。此外，系统应具备良好 的日志记录和监控机制，以便及时发现和处理异常情况。在性能方 面，智能体需要能够处理大规模数据，并在保证精度的情况下实现 高效的决策和执行。 在具体实施过程中，我们可以采用如下技术栈：  数据采集：使用 和渗透测试，及时发现并修复潜在的安全漏洞。例如，可以引入 OWASP Top 10 标准，确保系统能够抵御常见的网络攻击。 系统的可维护性和可监控性也至关重要。通过日志管理、性能 监控和报警机制，确保系统在运行过程中出现异常时能够及时发现 和处理。采用集中式日志管理工具（如 ELK Stack）和监控平台 （如 Prometheus 和 Grafana），能够实时监控系统的运行状态， 并通过预定义的报警规则，及时通知运维人员进行处理。此外，系