打造自适应 AI 运维智慧体： 大语言模型在软件日志运维的实践 刘逸伦 华为 2012 实验室 本科毕业于南开大学 ，硕士毕业于美国佐治亚理工学院。研究方向包括 AI 智能运维 ，大模型质量评估以及大模型提示策略 ，在相关领域以第一作者、 通讯作者身份在 ICDE 、 ICSE 、 IWQoS 等顶级国际会议 / 期刊发表 10 余篇 论文。 刘逸伦 华为 2012 文本机器翻译实验室工程 演讲嘉 宾 1. 软件日志运维观点 2. 自适应智慧体在运维领域面临的 Gap 3. 大模型 Prompt 引擎助力自适应运维智慧 体 4. 大模型知识迁移打造运维专精模型 5. 未来畅想 目录 CONTENTS PART 01 软件日志运维观点： 智能运维演进趋势是从任务数据驱动到自适应运维智慧体 (1) 日志是机器语言：大规模网络、软件系统在运行过程中每天会产生 PB 级别的日志，这些日志是一些类自然语言的文本，实时描述了设备 的运行状态、异常情况。 (2) 传统网络运维是机器语言的人工翻译过程：为了维护网络的稳定，运维人员会持续监控设备的运行状态，希望准确、及时地检测异常和 突发事件。网络日志是设备运行维护最重要的数据源，运维人员通常会通过解读日志中的自然语言、语义信息来发现问题、分析根因。 (3) 自动日志分析是机器语言的自动翻译过程：

......4 1.2 查看服务器是否存在隐藏账号、克隆账号.................................................... 4 1.3 查看 window 日志，检查登入时间，是否存在暴力破解等行为.......................5 2、 检查异常端口、进程.......................................... ................................16 三、日志分析..........................................................................................................17 1、window 日志分析.................................... ................................. 17 1.1 安全日志分析 .............................................................................................17 2、Linux 日志分析 .........................................

统安 全管理平台、网络型流量控制产品、负载均衡产品、抗拒绝服务攻击产品、终端接入控制产品、 USB 移动存储介质管理系统、文件加密产品、数据泄露防护产品、安全配置检查产品、运维安 全管理产品、日志分析产品、身份鉴别产品、终端安全监测产品、电子文档安全管理产品等 19 类网络安全专用产品，其中每类产品均按企业名称首字母进行排序。 中国网络安全产业联盟 ..............................................................................................444 日志分析产品 北京安信天行科技有限公司................................................................................. 通过网络基于不同协议连接到服务器的专用存储设备。 17 公钥基础设施 支持公钥管理体制 , 提供鉴别、加密、完整性和不可否认服务的基础 设施。 18 网络安全态势感知产品 通过采集网络流量、资产信息、日志、漏洞信息、告警信息、威胁信息 等数据 , 分析和处理网络行为及用户行为等因素 , 掌握网络安全状态 , 预 测网络安全趋势 , 并进行展示和监测预警的产品。 19 信息系统安全管理平台 对信息系

分析计算 /… … 数 据库 防 护 安全 流 量探 针 FW/IPS/IDS 运维管理安全能力 通常会部署了防火墙、态势感知、安全漏洞扫描 / 基线核查、运 维堡垒机、日志审计管理、上网行为审计等安全能力 安全建设基础相对完备， 能力的聚合和运营将成为关键 AV/ EPP/EDR 上 网 行 为 审 计 安 全 流 量 探 针 FW/ IPS/ 全运营 基于溯源图的终端 行为分析 SecurityGPT 公开 发布 Dex abeam 异常日志识别和分析 AI 小模型 取得明显成 效 全面拥抱 大模型 QRadar Watson ，基 于 AI 的日志分析和处 置 建议 NoDR 云原生行为基 线生成和检测 SAVE 3.0 多内核 AI 文件检测引擎 基于机器学习的加 密流量检测 辅助驾驶 零信任平台 数据安全平台 检测类大模型 运营类大模型 其他类大模型 …… 检测大模型 模型 安全 GPT 检测大模型 数据 流量日志 代码 溯源报告 恶意样本 安全知识 情报 公开漏洞 IOA 日志 代码理解能力 <%@page import=” <%@page import=”java ... 安全常识理解能力 Shell 俗称壳（用来区别于核），

S0850519100001 阎 石（公用事业联系人） 胡鸿程（公用事业联系人） 2024年7月10日 证券研究报告 （优于大市，维持） 下载日志已记录，仅供内部参考，股票报告网 本篇报告中，我们将着力回答以下几个问题 （1）从能源保供过渡到新型电力系统发展下的成本最优，140万亿的碳中和投资 怎么投 （2）现货市场为什么重要：电力 市场的三维展开：容量市场、辅助服务、碳市场 5. 电源价值的立体体现：各美其美，美美与共 目录 请务必阅读正文之后的信息披露和法律声明 2 下载日志已记录，仅供内部参考，股票报告网 请务必阅读正文之后的信息披露和法律声明 一、电力产业链全景图 3 下载日志已记录，仅供内部参考，股票报告网 请务必阅读正文之后的信息披露和法律声明 （准许收益） 1. 电力产业链及价格构成 4 上网电价 2024年3月两部制大工业1-10千伏电价为例，各省略有不同 资料来源：发改委，新能源定参公众号，中国政府网，海通证券研究所 下载日志已记录，仅供内部参考，股票报告网 请务必阅读正文之后的信息披露和法律声明 二、电改核心政策和当前使命 5 下载日志已记录，仅供内部参考，股票报告网 6 表：电力市场化改革重点政策整理 时间 相关机构 政策/报告内容 2021年7月

等级保护 2.0 拓扑图案例 整体技术体系架构 产品清单 下一代防火墙 数据库审计 负载均衡 感知平台 + （检测探针） 上网行为管理 SSL VPN 信服云眼 / 信服云盾 日志审计系统 漏洞扫描系统 主机杀毒 运维堡垒主机 云平台安全建设拓扑图 法院等级保护 高校等级保护 广播电视等级保护 监狱等级保护 医院等级保护解决方案 医院整体拓扑图 内网终端接入域 系统 手麻 检测 探针 负载 均衡 内网运维管理域 安全感知平台 运维堡垒主机 补丁分发系统 日志审计系统 防病毒服务器 漏洞扫描系统 内网前置 网闸 外网前置 机（下一代防火墙）机 业务内网 外网运维管理域 日志审计系统 运维堡垒主机 补丁分发系统 漏洞扫描系统 防病毒服务器 外网核心域 对外服务器域 下一代防火墙 出口网络 / 安全设备 于安全服务平台 核心交换 安全运营服务 安全运营服务 安全运营服务 下一代防火墙 上网行为管理 数据库审计 下一代防火墙 日志审计系统 杀毒软件 下一代防火墙 上网行为管理 广域网优化 负载均衡 日志审计系统 杀毒软件 数据库审计 负载均衡 堡垒机 SSL VPN 流量编排 等保二级 合规模板 出口边界 安全模板 等保三级 合规模板 杀软

电力供应 明御安 全网关 明御 DPI 明御 APT 邮件 安全 明御 NTA 明御 WAF 数据库 审计 日志 审计 EDR 数据库 防火墙 网络结 构优化 安全策 略调整 通信传 输加密 安全管理中心 堡垒机 日志审计 漏洞扫描 EDR 管控 等级保护三级典型拓扑 NGFW Internet 路由器 联网区 NGFW 研 发 区 WAF 核心交换机 核心交换区 DMZ 区 NGFW NGFW NGFW NGFW 物联网安全心 视频准入引擎 安防设施区 前端 IPC 物联网监测 运维审计 APT DPI 远程评估 日志审计 大数据 EDR 中心 运维管理区 抗 DDoS 负载均衡 上网行为管理 WAF VPN 分支外联 NGFW 路由器 安全通信网络 安全通信网络 安全通信网络 安 全 防病毒网关、垃圾邮件网关、邮件审计、下一代防火墙 安全审计 集中日志审计、上网行为管理 可信验证 可信计算机制 NGFW Internet 路由器 联网区 NGFW 研 发 区 WAF 数据库 防火墙 数 据 中 心 区 办 公 区 核心交换机 核心交换区 DMZ 区 NGFW NGFW NGFW 视频准入引擎 安防设施区 前端 IPC APT DPI 日志审计 运维管理区 抗 DDoS

新增要求 安全 管理 中心 系统管理 二级以上有要求 审计管理 二级以上有要求 安全管理 三四级要求 集中管控 三四级要求，相对等保 1.0 新增要求， 明确提出集中监控、管理、日志统一 分析等；日志 6 个月；防病毒和补 丁统一推送；各类网络安全事件进行 统一识别、报警和分析 等保 2.0 通用要求变化 第 20页 等保与分保的区别 适用对象 主管部门 标准体系 等级级别 定级依据 /UTM 、 IDS/IPS 、日志审计、网络审计、堡垒机、漏扫、 VPN 、终端安全管理、数据库审计、网络版杀毒软件、安全管理平台 选配推荐：抗 DDOS 、网闸、防毒墙、 WAF 、网络准入、 4A 账号管理、负载均衡、态势感知、终端数据防泄漏、负载均衡、 VSG 视频安全防护系统、网页防篡改 等保二级 必配推荐：防火墙 /UTM 、 IDS/IPS 、日志审计、堡垒机、网络版杀毒软件 选配推荐： 安全通信 第 46页 安全服务体系 安全服务体系 产品服 务内容 产品资源支撑 云安全服务 等保服务 安全运营 下一代防火墙 云主机安全 云堡垒机 漏洞扫描 数据库审计 日志审计 WEB 应用防火墙 网页防篡改 安全管理中心  SSL VPN  等保咨询  等保建设  等保整改  等保测评  安全咨询服务  持续威胁管理服务

访问质量检测，针对内网用户的 web 访问质量进行检测，对整 体网络提供清晰的整体网络质量评级；支持内置数据中心和独立数据 中心；支持对数据中心分权限查看，具有数据中心 key 功能；支持自 定义报表、查看历史报表、支持日志的导出、报表的定时发送到邮 箱；支持基于“流量”、“流速”、“时长”设置配额，当配额耗尽后，将用 户加入到指定的流控黑名单惩罚通道中；支持动态流量管理，在设置 流量策略后，能根据整体线路或者某流量通道内的空闲和繁忙情况， 数据安全交换 在系统安全、网络安全的基础上，实现内网和外网、内网和专网间的数据安全 8 交换。 （9） 系统操作日志 通过操作日志功能，定义和区分操作级别，根据操作级别进行记录，为日志分 析功能提供数据，发现并处理安全问题隐患，增强系统防护性能。 此外，系统还可以根据需要提供日志统计功能，对诸如访问量、并发访问数等 系统性能参数进行比对，以便系统管理员及时调整和优化系统性能。 （10）安全防护体系 ；每年至少进行一次 12 对办公计算机内部存储信息的清理工作，删除无用信息； 4）系统管理员及各技术服务合作单位应严格按照本文所列附件中的相关要求， 每天检查系统的运行状况并认真做好系统运行日志，定时做好各类维护记录，具体 包括：日维护记录、周维护记录、月维护记录。 5）当系统运行出现故障时，应及时向服务单位报修故障情况并协调技术合作 单位共同解决。排除故障的方式可分为三种类型：

标准 数据 质量 元 数据管理 数据 地图 数据 资产 数据安全 权限管 理 安全接 入 数据加 解密 数据分 级 日志 审计 统 认证 共享开放 服务 标准 数据 质量 元 数据管理 数据 地图 数据 资产 数据安全 权限管 理 安全接 入 数据加 解密 数据分 级 日志 审计 统 认证 共享开放 服务 理 作业发布 定时调度 作业调试 日志监控 参数测试 执行控制 作业关联 日志下载 文件目录管理 文件上传下载管理 文件增删改查管理 作业发布管理