洛阳理工学院：基于安全大模型的高校安全运营中心实践

来源：本站 作者：梁凯 王瑜 发表于：2025.12.31  395浏览

文/梁凯 洛阳理工学院 信息化技术中心副主任

王瑜 洛阳理工学院 信息化技术中心工程师

摘  要：在教育数字化转型加速发展背景下，高校面对着高级持续性威胁（APT）频发的严峻挑战，传统碎片化、被动式网络安全体系已难以为继。洛阳理工学院构建基于国产大模型与OpenXDR架构（Open Extended Detection and Response,开放扩展检测与响应）的AI安全运营中心，提出“云地协同、AI原生”的轻量化安全治理新思路。通过引入基于DeepSeek的“安全GPT”大模型，实现日均500万条日志的语义理解与智能研判，告警消减率达99.7%；依托XDR（Extended Detection and Response，扩展检测与响应）平台打通网络与终端数据孤岛，实现攻击故事线自动还原与秒级响应闭环；系统本地化部署保障数据不出校，同时通过安全通道持续获取云端威胁情报，构建具备“自学习、自进化”能力的校园网络安全免疫力体系。

关键词：人工智能；大模型；安全运营中心；OpenXDR；威胁研判；告警消减；高校网络安全；智能治理

 

一、项目背景

随着“人工智能+教育”战略深度推进，高校信息化基础设施持续扩容，智慧教学、科研大数据、统一身份认证等业务系统高度耦合，数据资产价值日益凸显。洛阳理工学院在 “十三五”“十四五”信息化建设基础上，积极落实《河南省“人工智能+教育”三年行动计划 (2025-2027年）》，但随着网络攻击手段日趋智能化、隐蔽化^[1,2]，传统依赖防火墙、WAF（Web Application Firewall，Web应用防火墙）等边界设备的静态防御模式已难以应对APT攻击、勒索软件横向渗透等复杂威胁。安全告警过载、响应滞后、溯源困难、人力缺口等问题严重制约了高校治理体系的现代化进程。

在此背景下，亟需构建一种以AI为核心驱动力，具备主动发现、智能研判与自动响应能力的新型安全运营体系。本文基于洛阳理工学院落地的AI安全运营中心实践案例，系统阐述其技术架构、创新机制与运行成效，旨在为高校乃至教育行业提供一套融合国产大模型、轻量化部署与闭环治理的智能化安全解决方案。

二、总体架构与技术路线

1.“云地协同、AI原生”的轻量化运营架构

图1 系统功能架构图

本项目摒弃传统“重设备、重堆叠”的安全建设思路，采用“本地化部署、云端赋能” 的分层级协同架构（图1），深度融合“运营引擎—智能引擎—保障服务—场景落地”的全链路逻辑。

（1）底层运营引擎：OpenXDR 全域联动中枢

OpenXDR（开放扩展检测与响应）运营引擎作为架构的“神经脉络”，承担多源数据汇聚、告警聚合、事件还原与开放联动的核心职能。一方面，通过“自有组件接入+第三方组件接入”的灵活适配机制，打破“数据孤岛”困境^[3]；另一方面，内置本地化威胁检测引擎，确保校园网端数据的实时采集、初步分析与敏感信息处理“不出校”。同时通过加密安全通道与云端AI模型库及百亿级威胁情报平台动态对接，实现本地检测能力的持续进化，为中层智能分析提供全链路数据支撑。这种模式既规避了纯本地方案情报滞后、模型僵化的问题，又避免了全云迁移带来的合规风险与运维复杂性，降低整体架构运维复杂度。

（2）中层智能引擎：安全GPT与DeepSeek的AI原生能力

基于国产DeepSeek大模型构建的安全GPT(Security-GPT)智能引擎是架构的“智慧大脑”。通过自然语言理解、海量日志语义分析实现智能响应决策^[4]。例如，通过自然语言处理技术对多源异构日志进行语义理解，自动过滤无效告警、精准锁定高危威胁；借助威胁检测引擎与AI模型的协同训练，实现对未知漏洞、新型攻击的识别。

（3）顶层保障服务：MDR云地协同的运营闭环

“保障服务MDR（Managed Detection and Response）”构建“持续监测—智能分析研判—辅助决策—主动响应—协同闭环”的全流程运营体系，是“云地协同”理念的直接落地。本地侧依托校内XDR（扩展检测与响应）引擎与AI平台，实现 7×24小时实时监测、自动化初判与分钟级响应；云端侧提供专家级威胁狩猎、跨区域情报共享、高级攻击溯源等赋能服务^[5]，形成“本地快处置、云端强赋能”的能力互补。

（4）场景化落地：AI运营场景的价值释放

基于上述架构，系统可高效支撑“安全通报、安全重保、攻防演练、云上云下一体化运营、多分支统一运营”等典型场景。例如，在安全重保期间，AI引擎可自动梳理全校资产暴露面，生成针对性加固策略；在多校区统一运营场景下，通过OpenXDR的开放联动能力，实现不同校区安全态势的集中可视化与协同响应。这种“架构为骨、场景为脉”的设计，让轻量化架构真正服务于高校安全运营的实战需求，实现技术架构与业务场景的深度耦合。

三、案例创新点与技术呈现

1.基于国产AI大模型的安全事件智能分析研判

“安全GPT”驱动告警精细化治理。面对海量告警噪声，项目引入基于国产DeepSeek大模型训练的“安全GPT”作为AI安全专家（图2、图3）。该模型具备自然语言理解、上下文关联推理与安全语义解析能力，可对多源异质进行深度语义融合与关联推理。

图2 洛阳理工学院本地化32B模型智能体开发工具Dify

图3 安全GPT大模型+DeepSeek模型融合——事件智能分析和解读

2.“网端联动”攻击全链路还原与自动化响应机制

（1）网端联动的攻击故事线自动还原

传统态势感知系统因网络侧与终端侧数据割裂，难以还原攻击全貌。项目中基于OpenXDR架构，实现网络流量、终端行为、身份日志的跨域智能关联（图4）。系统可自动构建从初始入侵（如弱口令登录）、横向移动（SMB协议利用，SMB即Server Message Block，服务器消息块）、到目标主机感染（勒索软件执行）的完整“攻击故事线”。

图4 攻击故事链全链路还原

（2）预案驱动的秒级自动化响应

基于XDR平台的统一编排能力，系统预设多类安全响应预案。一旦确认威胁，可自动联动防火墙封禁恶意IP、隔离受控主机、阻断高危协议，实现“检测—研判—响应—验证”全链路自动化。在病毒传播事件中，系统实现批量IP秒级封堵（图5），成功遏制内网扩散，避免重大业务中断。

图5 安全事件自动化响应流程

3．人机协同的安全研判新模式

构建7×24小时在线的AI安全专家（安全GPT助手），形成“AI初判—系统复核—人工攻坚”的三级研判机制。AI系统首先对告警进行初步筛选与分级，将病毒类等可自动化处置的事件交由SOAR（Security Orchestration, Automation and Response，安全编排、自动化与响应）平台闭环处理；对复杂高级威胁（如APT攻击）进行初步研判与信息聚合，生成详细分析报告（图6）；最后将需深度分析的事件推送人工，安全人员聚焦策略优化与风险预判。

图6 云地协同——事件常态化闭环机制

四、实践运行与成效分析

1.系统部署与运行情况

（1）部署架构

系统采用“本地化部署+云端赋能”模式，核心AI引擎、数据存储与分析平台部署于校内数据中心，通过加密通道与云端威胁情报库同步更新。目前已完成与主流设备的对接（图7），覆盖校园网办公区、数据中心、图书馆等关键区域。

图7 系统部署拓扑图

（2）运行稳定性

系统稳定运行逾半年，无重大故障发生。数据采集层实现364个数据资产、54个核心资产的全面覆盖，日志汇聚成功率达100%，AI分析引擎处理延迟低于500毫秒，满足校园安全实时监测需求。

2.核心成效量化分析

（1）告警治理效能

原始日志2.6亿余条在汇聚分析后，有效告警缩减至1万余条，噪声干扰减少99%以上；通过安全GPT筛选出31个高危事件，无效告警过滤率达99.7%，安全人员聚焦度显著提升。

（2）响应处置效率

高危安全事件响应时间从“小时级”缩短至“秒级”，病毒类事件自动化处置率达100%，22起常规威胁实现系统闭环处理，仅7起复杂事件需人工介入，运维效率提升90%。

（3）溯源与防护能力

攻击溯源时间平均缩短至5分钟内，恶意IP与病毒文件定位准确率达100%；通过常态化漏洞预警与弱口令检测，高危漏洞修补响应速度提升80%，校园网络安全态势显著改善。

（4）资源优化成效

运维复杂度降低70%，将有限安全人力从重复日志排查中解放，转向风险研判与策略优化，治理模式实现精细化升级。

五、结论与未来展望

洛阳理工学院基于国产AI大模型与OpenXDR引擎构建的安全运营中心，通过三大创新突破解决了高校网络安全的核心痛点。系统以“云地协同、人机协同、网端联动”为核心，实现了告警精细化、溯源自动化、治理智能化的目标，各项量化指标均达到预期效果。该实践验证了AI技术在高校安全治理中的可行性与有效性，构建了可复制、可推广的“人工智能+安全治理”范式，为高校数字化转型提供了坚实的智能安全底座，对推动教育行业安全治理现代化具有重要参考价值。

未来将进一步拓展应用场景，逐步覆盖校园舆情智能监测、统一身份认证与密码安全管理等领域，构建“多智能体协同”的全域安全治理体系。同时，推动师生参与AI安全模型训练，将课堂理论转化为实践能力，形成“AI +校园治理+实践教学”的标准化建设指南，为河南省教育数字化转型提供安全保障和有力支撑。

（本案例入选河南省教育厅首批“人工智能赋能教育高质量发展高效能治理”典型案例。）

参考文献：

[1]蓝颖.高校网络安全防范策略中的攻击模式分析与防范[J].数字技术与应用，2025，43（1）：67-69.

[2]周迪蔚.计算机通信网络中的安全威胁与防范策略研究[J].通信电源技术，2025，42（3）：222-224.

[3]郝臻飞,高阳.大数据背景下计算机网络安全风险与防范研究[J].计算机与网络，2025，51（1）：50-54.

[4]刘穗缘.AI大模型中的网络安全问题及解决方案[J].中国宽带，2025，21（6）：34-36.

[5]郑飞.大数据视域下的计算机网络安全建设及关键技术研究[J].中国管理信息化，2022，25（23）：156-158.