智能化安全運營（ISOC）在國內(nèi)正迎來高速發(fā)展，市場需求強勁、競爭激烈，ISOC市場正迎來令人振奮的發(fā)展前景。同時ISOC代表了安全運營的未來技術方向。ISOC將AI技術深度滲透到安全運營的威脅檢測、事件分析、響應到風險管理、安全策略優(yōu)化等各個環(huán)節(jié)，各廠商積極探索AI在不同場景的應用創(chuàng)新，以AI深度融合、混合模型及云地協(xié)同等為標志向標準化演進。

國內(nèi)ISOC市場應用現(xiàn)狀

國內(nèi)ISOC市場需求強勁，應用場景不斷拓展，AI技術在其中發(fā)揮著越來越重要的作用。ISOC已成為安全運營的發(fā)展趨勢，為企業(yè)構建更主動、更智能、更有效的安全防御體系提供有力支撐。

國內(nèi)ISOC市場應用現(xiàn)狀

市場應用情況

1.國內(nèi)市場潛力巨大，用戶期望高漲

ISOC市場正表現(xiàn)出廣闊的發(fā)展前景和強勁的增長勢頭。根據(jù)安全牛2025年的用戶調(diào)查數(shù)據(jù)，國內(nèi)大多數(shù)組織（90%）對ISOC的未來發(fā)展持樂觀態(tài)度，其中33%的組織表示非常樂觀，認為前景廣闊；57%的組織表示比較樂觀，認為擁有顯著的預期發(fā)展勢頭。這種積極的態(tài)度也體現(xiàn)在實際行動和規(guī)劃中：目前已有10%的組織正在開展ISOC的實施 ，有 29% 的組織正處于測試運行階段。值得關注的是，在尚未實施的組織中，49% 的組織計劃在一年內(nèi)進行相關采購。

安全牛分析

這種強勁的市場需求和樂觀預期，源于國內(nèi)組織在安全運營方面普遍面臨的痛點。傳統(tǒng)SOC模式下，海量報告數(shù)據(jù)帶來的“告警疲勞”、安全分析能力不足導致的威脅漏報、人工處理造成事件響應效率低下等問題凸顯。ISOC通過引入人工智能、大數(shù)據(jù)分析、自動化編排等先進技術，能夠有效解決這些痛點，大幅提升安全運營的效率、準確性和自動化水平。未來，隨著大模型等AI技術的持續(xù)進步、ISOC在各行業(yè)應用效果的逐步顯現(xiàn)，以及應用場景的不斷精細化，其接受度和普及率將顯著提升，在國內(nèi)市場擁有了顛覆性的發(fā)展前景。

2.市場集中在關鍵行業(yè)領域，逐步向外滲透

根據(jù)安全牛2025年的調(diào)研數(shù)據(jù)，目前國內(nèi)部署智能化網(wǎng)絡安全運營的行業(yè)主要集中在金融行業(yè)（24%）、政府機構（22%）、運營商行業(yè)（19%）、能源行業(yè)（13%）等關鍵領域。

國內(nèi)ISOC市場應用現(xiàn)狀

國內(nèi)已部署組織的行業(yè)情況

安全牛分析

國內(nèi)安全運營的轉(zhuǎn)型升級浪潮主要由這些關鍵行業(yè)引領。這些行業(yè)的組織通常具備以下特點：IT基礎相對完善，積累了海量的安全數(shù)據(jù)；面臨復雜且高級的網(wǎng)絡安全威脅；接受嚴格的行業(yè)監(jiān)管和合規(guī)要求；擁有相對完善的安全體系和運營團隊。但是，仍然普遍遇到傳統(tǒng)安全運營的困境：難以從海量數(shù)據(jù)中高效提取威脅情報、解決問題的難度過大、安全事件響應速度跟不上攻擊速度、以及對APT、0-day攻擊等高級威脅的檢測和理解能力不足。

正是由于這些嚴峻的挑戰(zhàn)和迫切的需求，促使這些組織積極擁抱 ISOC。他們希望利用人工智能、機器學習和自動化技術來突破運營困境，并已成為 ISOC 平臺測試與部署的先行者，尤其是在那些安全要求極高、數(shù)據(jù)規(guī)模龐大且擁有專業(yè)運營團隊的大型機構中表現(xiàn)得極其突出。他們希望通過統(tǒng)一的 ISOC 平臺或部署 AI Agent（智能體）來整合分散的安全資源，實現(xiàn)集中管控和高效協(xié)同，提升安全運營的整體水平，并利用大模型等先進技術解決實際業(yè)務問題，提升網(wǎng)絡安全防護能力。

未來，隨著ISOC技術的持續(xù)成熟、典型案例的落地成功，云化/SaaS化等多元化部署模式帶來的應用成本降低，智能化安全運營的需求必將逐步滲透到更廣泛的行業(yè)領域（如制造、醫(yī)療、教育等）和中小型企業(yè)群體，ISOC市場將迎來更加繁榮的發(fā)展空間。

3.廠商紛紛布局，市場競爭激烈

當前，智能化安全運營商（ISOC）已成為網(wǎng)絡安全領域的熱點，吸引了各大廠商積極布局，市場競爭日趨激烈。傳統(tǒng)安全廠商、云服務廠商、運營商、創(chuàng)新公司等不同類型的參與者都基于自身優(yōu)勢，通過技術創(chuàng)新、產(chǎn)品迭代和服務升級，著力構建差異化的競爭優(yōu)勢，以期在增長的ISOC市場中快速占據(jù)先機。

• 綜合安全廠商：例如奇安信、亞信安全、綠盟科技、安恒信息、觀安信息、新華三等，憑借其在網(wǎng)絡安全領域多年的技術積累、廣泛的產(chǎn)品線優(yōu)勢，積極探索AI技術與安全運營的深度融合，他們將AI能力注入現(xiàn)有的安全產(chǎn)品和服務（如SOC、SIEM、SOAR、EDR、威脅情報平臺等），提升其整體智能化水平，推出現(xiàn)代化的ISOC解決方案或平臺，為客戶提供更全面、更智能的安全運營服務。
• SOAR平臺廠商：例如碳澤信息、神州泰岳、眾智維等，專注于安全編排、自動化與響應領域。這些廠商通過將AI技術融入到SOAR平臺，提升其在日志分析、事件調(diào)查、響應決策等方面的智能化水平，實現(xiàn)更智能、更高效的安全事件響應。部分SOAR廠商還擴展了產(chǎn)品線，提供包含SIEM或SOC的一體化解決方案。
• 運營商：以聯(lián)通數(shù)科為代表的運營商，憑借其在云網(wǎng)基礎設施、海量數(shù)據(jù)資源、廣泛客戶覆蓋等方面的獨特優(yōu)勢，積極布局ISOC市場：一方面利用自身資源構建AI云原生的安全平臺，為云上客戶端提供安全運營服務；另一方面，積極與安全廠商、IT廠商建立廣泛的合作，構建開放的安全生態(tài)系統(tǒng)，提供更智能的安全運營服務。
• 云廠商：例如浪潮云等云服務廠商，依托其強大的云計算基礎設施優(yōu)勢和廣泛的企業(yè)客戶基礎，強調(diào)構建成熟、便捷、易用的云安全運營服務體系。與安全廠商合作，將安全能力與自身的云服務深度結(jié)合，提供面向多云、混合云環(huán)境的云安全運營服務。
• 創(chuàng)新型公司：如探真科技、睿安致遠等創(chuàng)新型公司，重點關注AI安全技術的創(chuàng)新或特定場景的應用，如威脅狩獵、欺騙防御、數(shù)據(jù)安全等，在產(chǎn)品的場景創(chuàng)新、高度兼容、易用性、靈活性和定制化服務等方面尋求突破，滿足用戶個性化的安全運營需求。

目前，ISOC市場的競爭焦點主要集中在AI技術與具體安全運營場景的融合、覆蓋范圍與落地能力、AI模型的準確性/可解釋性/可靠性、響應的自動化與靈活性、安全大數(shù)據(jù)的處理能力等方面。

未來，隨著智能化安全運營逐漸成為主流，技術引領提升，應用領域不斷擴展，單一廠商將越來越難以提供覆蓋所有的完整解決方案。同時，人工智能模型的訓練和優(yōu)化高度依賴于海量、高質(zhì)量的安全數(shù)據(jù)和威脅情報。安全牛預計，廠商之間的生態(tài)合作將成為未來發(fā)展的重要趨勢。技術合作、產(chǎn)品集成、數(shù)據(jù)共享、威脅情報共享、聯(lián)合解決方案等模式將更加普遍。通過生態(tài)合作，廠商可以實現(xiàn)優(yōu)勢互補、資源共享、協(xié)同創(chuàng)新，共同推動安全運營技術的發(fā)展和應用，為客戶提供更強大的安全保障。

國內(nèi)ISOC技術應用十大特征

國內(nèi)智能化安全運營領域呈現(xiàn)出強勁的增長，安全廠商和部分大型企業(yè)積極探索和應用人工智能技術，推動安全運營從傳統(tǒng)模式向自動化轉(zhuǎn)型，主要特征包括安全運營平臺向統(tǒng)一集成、數(shù)智驅(qū)動進行轉(zhuǎn)型升級、技術與應用創(chuàng)新百花齊放、智能化應用效果初顯成效，以及AI 智能體被視為未來安全運營的關鍵推動力等。

國內(nèi)ISOC技術應用現(xiàn)狀

1.SOC正趨向數(shù)智一體化轉(zhuǎn)型升級

日益復雜的網(wǎng)絡威脅和不斷提升的安全運營面對需求，傳統(tǒng)的SOC/態(tài)勢感知等正經(jīng)歷深度的數(shù)智化轉(zhuǎn)型，他們普遍面臨數(shù)據(jù)孤島、分析效率低下、響應速度慢、自動化程度不足等挑戰(zhàn)。為了應對這些挑戰(zhàn)，安全運營平臺的發(fā)展趨勢是構建統(tǒng)一集成的數(shù)智化平臺，平臺以安全大數(shù)據(jù)為基礎，以AI技術為核心驅(qū)動力，深度集成SOAR等多個安全能力，旨在實現(xiàn)數(shù)據(jù)驅(qū)動的威脅檢測、定制的事件分析與研判、自動化的響應消除以及人機協(xié)同的運營模式，最終構建起覆蓋“事前預防、事中檢測與響應、事后總結(jié)與改進”全生命周期的閉環(huán)安全運營體系。

SOC向數(shù)智一體化升級

安全各廠商都在積極致力于探索這個方向。例如亞信安全打造“一個平臺，全網(wǎng)管理”的運營管理理念，構建支撐安全事件全自動化響應的安全運營平臺。奇安信通過AI與現(xiàn)有安全體系深度融合，將NGSOC與QAX-GPT深度融合，實現(xiàn)從威脅檢測到響應處置的全流程一體化安全防護。碳澤通過響應流程劇本化滿足智能處置各類安全事件的需求，并通過集成了AI驅(qū)動的異常檢測模型實現(xiàn)全鏈路威脅檢測。神州泰岳構建全面的安全數(shù)據(jù)中心，并利用安全編排與自動化響應平臺(Ultra-SOAR)整合各種元素，實現(xiàn)海量安全數(shù)據(jù)的智能分析和安全運營工作的閉環(huán)管理。

2.ISOC的智能化應用創(chuàng)新呈現(xiàn)百花齊放的態(tài)勢

國內(nèi)安全廠商積極擁抱AI技術，將其與安全運營的各個環(huán)節(jié)深度融合，推動安全運營向自動化、智能化方向發(fā)展。各廠商基于自身的技術積累、產(chǎn)品優(yōu)勢和針對客戶需求的理解，紛紛推出各具特色的AI創(chuàng)新應用，呈現(xiàn)出百花齊放的態(tài)勢。

AI應用的廣泛度和成熟度

在威脅檢測方面，AI技術的應用已相對成熟，廠商普遍將機器學習、深度學習等技術引入EDR、NDR/NTA、UEBA等產(chǎn)品，有效提升對未知威脅、高級威脅和異常行為的檢測能力。例如，亞信安全在其新一代XDR平臺中利用AI技術覆蓋了12大類安全領域的100多個高級威脅檢測場景。神州泰岳利用神經(jīng)網(wǎng)絡進行釣魚檢測和挖礦檢測。碳澤利用AI驅(qū)動的異常檢測模型進行全序列威脅檢測。

在安全事件分析與調(diào)查方面，AI技術正結(jié)合快速發(fā)展，NLP、知識圖譜、機器學習等被用于自動化信息收集、關聯(lián)分析、攻擊路徑還原、根本原因分析等。例如，奇安信的QAX-GPT的智能調(diào)查功能可通過智能化和自動化的調(diào)查流程，快速定位安全事件的根源；碳澤利用AI驅(qū)動的異常檢測模型進行全序列威脅檢測和事件調(diào)查。

自動化響應是AI應用的另一大熱點，SOAR平臺與AI技術的緊密結(jié)合，并且AI智能體開始在自動化響應中重要扮演角色。例如，碳澤聚焦于通過AI驅(qū)動的異常檢測模型和場景自動化，實現(xiàn)全流程威脅檢測和智能執(zhí)行，其自動化場景已覆蓋智能電網(wǎng)安全運營、自動化模擬攻擊、自動化郵件安全等100多個場景。亞信安全的新一代XDR平臺支持一鍵封禁、隔離主機等自動化響應操作。奇安信的QAX-GPT可以根據(jù)事件和嚴重程度，自動生成并執(zhí)行最佳的響應策略。各廠商還結(jié)合自身優(yōu)勢，在數(shù)據(jù)安全、代碼安全、DevSecOps、業(yè)務安全等細分領域進行AI應用創(chuàng)新。

3.智能化應用效果已經(jīng)初見成效

國內(nèi)ISOC的建設和應用已取得初步成效，在多個方面展現(xiàn)出顯著優(yōu)勢，特別是在告警降噪、安全事件分析、自動化響應、數(shù)據(jù)安全和運營管理等方面帶來了一定的應用效果。

ISOC應用實施效果

根據(jù)安全牛2025年對廠商資料分析，ISOC在部分案例中取得了較好的效果：告警降噪能力大幅提升（如亞信安全XDR平臺智能過濾98%無效告警，奇安信AISOC提高告警準確率80%）、安全事件分析效率顯著提高（如碳澤千乘平臺實時推演攻擊鏈，亞信安全XDR平臺溯源效率提升80%）、事件響應實效大幅加強（如亞信安全XDR平臺人工調(diào)查時間減少93%，碳澤千乘平臺攻擊響應時效提升97%）、數(shù)據(jù)安全能力顯著提升（如碳澤千乘平臺實現(xiàn)交易數(shù)據(jù)自動標注，數(shù)據(jù)拓撲效率提升40倍）、安全事件處理效率大幅提高（如奇安信AISOC單個事件響應效率提升約80%，神州泰岳Ultra-SOMC效率提升96%）、安全運營管理效果顯著提升（如奇安信AISOC單日工作成果提升數(shù)倍，碳澤千乘平臺合規(guī)覆蓋度大幅增加）。 

請注意：該效果數(shù)據(jù)來源于部分案例或特定場景，實際效果受到多種因素的影響，數(shù)據(jù)僅供參考，并不代表所有企業(yè)都能取得類似的效果。

4.大模型與小模型協(xié)同并進，共筑安全運營智能化基石

國內(nèi)安全廠商正積極探索AI大模型與小模型在安全運營中的協(xié)同應用，構建“大模型+小模型”的混合架構模式，以充分發(fā)揮各自優(yōu)勢，實現(xiàn)更高效、更智能的安全運營。

大模型與小模型混合架構

大語言模型（LLM）憑借其強大的自然語言處理、知識整合、邏輯推理和內(nèi)容生成能力，在威脅情報分析、事件安全理解與調(diào)查、安全策略生成與優(yōu)化建議、智能安全問答系統(tǒng)、自動化報告生成等方面應用相對集中。然而，受限于安全領域的特殊性，通用大模型在安全專業(yè)知識、數(shù)據(jù)安全、可解釋性等方面仍存在不足。因此，將其與安全垂域大模型或針對特定任務的小模型相結(jié)合，正成為市場探索的主流模式。

機器學習和深度學習的“小模型”在安全運營中的應用已較為廣泛和成熟，通常針對特定任務進行，具有資源消耗低、響應速度快、可解釋性強、數(shù)據(jù)依賴性較低、部署靈活性等優(yōu)勢，主要應用于威脅檢測、UEBA、數(shù)據(jù)處理與分析等場景。

“大模型+小模型”的混合架構，可以實現(xiàn)優(yōu)勢互補：大模型負責全局分析、復雜推理、知識問答、安全編排等，提供宏觀決策支持；小模型負責具體的威脅檢測、異常識別、風險評估等任務，提供快速、準確的檢測結(jié)果。

例如，聚銘網(wǎng)絡、新華三、觀安信息、聯(lián)通數(shù)科、睿安致遠等廠商都在采用或探索這種混合架構模式。

5.AI智能體是安全運營的未來方向，當前仍處于探索期

AI智能體作為能夠自主感知環(huán)境、進行思考和推理、做出決策并采取行動以實現(xiàn)特定目標的智能應用，代表了安全運營自動化發(fā)展的未來重要方向。AI Agent具備自主性、反應性、主動性、學習能力和推理能力等關鍵特征，可以模擬人類安全專家的工作模式，在安全運營中發(fā)揮行為更主動、更智能的作用。

AI智能體是未來的方向

目前，AI智能體的應用主要集中在自動化安全響應、輔助安全調(diào)查和安全運營流程優(yōu)化等方面。例如，奇安信推出了告警關聯(lián)智能體、溯源調(diào)查智能體等，用于告警的關聯(lián)分析和事件的溯源調(diào)查；碳澤將AI智能體融入到工作流可視化編輯的步驟中，增強告警智能處理能力、優(yōu)化安全流程編排等。安恒信息針對主機類告警研發(fā)了豐富的研判智能體，包括數(shù)據(jù)安全類智能體。綠盟科技、探真科技、眾智維、聚銘網(wǎng)絡、掌數(shù)科技等廠商也在積極探索AI智能體的應用。

 6.通用大模型（如DeepSeek）與安全垂域大模型結(jié)合的探索

通用大語言模型（以DeepSeek等開源模型為代表）擁有強大的自然語言理解和生成能力、廣泛的通用知識，以及零樣本/少樣本學習能力，可以有效賦能于安全問答、報告生成、威脅情報分析等場景。然而，通用LLM在安全專業(yè)知識等方面存在不足。因此，國內(nèi)安全廠商積極探索將通用LLM與安全垂域大模型（經(jīng)過安全數(shù)據(jù)訓練）或小模型結(jié)合的“雙模型”或多模型架構，成為主流模式。這種模式下，通用LLM和安全垂域大模型可以協(xié)同工作，優(yōu)勢互補。

這種混合架構潛力巨大，有望在未來推動安全運營向更高層次發(fā)展。

國內(nèi)許多安全廠商已經(jīng)在混合AI架構方面進行了積極探索和實踐。

7.威脅情報應用得到普及，AI賦能情報分析和生成

威脅情報已成為現(xiàn)代安全運營駕駛員的核心要素。廠商普遍認識到其在主動防御、威脅檢測、事件響應、風險評估、安全決策等方面的關鍵價值，將其廣泛集成到各自的安全產(chǎn)品和解決方案中。人工智能技術，特別是自然語言處理（NLP）、機器學習和知識圖譜，正在改變威脅情報的生產(chǎn)、分析和應用方式。尤其是AI Agent技術，可以自動化地從多個來源收集、處理威脅情報，提取IOC、識別攻擊者TTP、評估情報可信度，并利用知識圖譜進行關聯(lián)分析，構建威脅情報知識圖譜。大模型則可以用于情報分析、摘要生成、智能問答等。自動化情報應用（例如更新防火墻規(guī)則、觸發(fā) SOAR 劇本等）也日益普及。

例如聯(lián)通數(shù)科依托高質(zhì)量的威脅情報服務，為客戶提供精準的安全決策支持。觀安信息利用大模型泛化能力構建威脅情報智能體，實現(xiàn)對專業(yè)情報報告關鍵信息的提取，應用于對新型威脅行為的精確檢測。除此之外，奇安信、安恒信息、綠盟科技、神州泰岳等廠商也都在其安全產(chǎn)品和解決方案中的各個環(huán)節(jié)中廣泛應用威脅情報，并將其廣泛集成到各自的安全產(chǎn)品、平臺和解決方案中。

8.低代碼/零代碼編輯平臺加速ISOC智能化落地

為了降低AI在安全運營中應用的技術門檻，提高效率和靈活性，并減少對專業(yè)AI人才的依賴，低代碼/零代碼AI平臺正成為ISOC建設的重要趨勢。低代碼/零代碼AI編輯平臺提供可視化、拖拽式、配置化的界面，使安全分析師等非AI專家能夠構建、定制和部署AI驅(qū)動的安全運營應用，例如可視化編排AI模型、安全運營流程和SOAR自動化腳本，利用預置的AI模型和組件，簡化AI模型訓練和調(diào)優(yōu)等。

國內(nèi)多家廠商均已經(jīng)進行這方面的實踐，如碳澤的千乘平臺提供了低代碼的AI+SOAR編輯平臺，允許用戶通過可視化界面編排多智能體系統(tǒng)應用；安恒信息的智能體編輯平臺支持零代碼和低代碼開發(fā)智能體，推動了安全運營的定制化和智能化；眾智維致力于將人工流程轉(zhuǎn)變?yōu)樽詣踊鞒?，并將自動化流程分解為劇本類的產(chǎn)品，實現(xiàn)開箱即用。除此之外，掌數(shù)科技、睿安致遠浪潮云和觀安信息也分別提供了低代碼AI智能體開發(fā)平臺，并推出了一系列相關產(chǎn)品和解決方案。

9.安全運營邁向量化管理，構建可度量的安全

安全運營的量化管理已成為智能化安全運營中心（ISOC）建設的重要趨勢和核心特征。通過建立一套科學、全面、可落地的安全運營指標體系，ISOC能夠?qū)Π踩\營的各個環(huán)節(jié)進行量化評估、持續(xù)監(jiān)控和數(shù)據(jù)驅(qū)動的優(yōu)化，實現(xiàn)安全運營效果的可簡化、可評估、可改進、可展示，并為安全決策、資源分配和投資規(guī)劃提供監(jiān)測、準確的數(shù)據(jù)支撐。這些指標涵蓋風險、檢測、分析、運營、管理、業(yè)務等多個環(huán)節(jié)。技術在指標的自動化采集、分析標準化、可視化呈現(xiàn)和決策支持方面發(fā)揮著關鍵作用。

國內(nèi)安全廠商正在積極探索安全運營的量化管理，并將其融入到ISOC解決方案中。例如，奇安信AISOC在某案例中定制了24個安全運營指標，涵蓋效率提升、團隊投入和成果等多個維度；新華三提出了“健康度”和“成熟度”雙指標體系，量化評估安全運營工作的開展情況和安全運營效果；聯(lián)通數(shù)科則構建了實戰(zhàn)化安全運營量化指標體系，更貼近實戰(zhàn)攻防場景等。 

10.云地協(xié)同：智能化安全運營平臺的新常態(tài)

隨著云計算的普及和企業(yè)數(shù)字化轉(zhuǎn)型的深入，ISOC正朝著云地協(xié)同的管理模式發(fā)展。

云地協(xié)同模式將云端的安全能力（如AI分析、威脅情報、安全專家、彈性力算等）與本地的安全設備和系統(tǒng)進行深度集成（例如防火墻、IDS/IPS、EDR、NDR、SIEM等），實現(xiàn)優(yōu)勢互補、協(xié)同聯(lián)動，構建更全面、更智能、更高效、增加彈性的安全運營體系。云地協(xié)同主要有云端分析+本地響應、云端情報+本地檢測、云端管理+本地執(zhí)行等模式。

國內(nèi)各大安全廠商都在積極布局云地協(xié)同的安全運營平臺。例如，亞信安全的新一代XDR平臺提供云網(wǎng)端融合分析能力，實現(xiàn)了云端分析和本地響應的協(xié)同；綠盟科技提供云端監(jiān)控防護能力，并將行業(yè)云定位為未來重點發(fā)展方向；新華三與運營商共同推出的“安全大腦”則發(fā)揮了云端運維的便捷性和易用性。聯(lián)通數(shù)科、浪潮云、探真科技、聚銘網(wǎng)絡等也都采用云地協(xié)同模式，例如本地負責實時檢測，告警事件上報云端，云端專家進行精準研判，并下發(fā)研判規(guī)則至本地。