智能化安全運營（ISOC）在國內正迎來高速發展，市場需求強勁、競爭激烈，ISOC市場正迎來令人振奮的發展前景。同時ISOC代表了安全運營的未來技術方向。ISOC將AI技術深度滲透到安全運營的威脅檢測、事件分析、響應到風險管理、安全策略優化等各個環節，各廠商積極探索AI在不同場景的應用創新，以AI深度融合、混合模型及云地協同等為標志向標準化演進。

國內ISOC市場應用現狀

國內ISOC市場需求強勁，應用場景不斷拓展，AI技術在其中發揮著越來越重要的作用。ISOC已成為安全運營的發展趨勢，為企業構建更主動、更智能、更有效的安全防御體系提供有力支撐。

國內ISOC市場應用現狀

市場應用情況

1.國內市場潛力巨大，用戶期望高漲

ISOC市場正表現出廣闊的發展前景和強勁的增長勢頭。根據安全牛2025年的用戶調查數據，國內大多數組織（90%）對ISOC的未來發展持樂觀態度，其中33%的組織表示非常樂觀，認為前景廣闊；57%的組織表示比較樂觀，認為擁有顯著的預期發展勢頭。這種積極的態度也體現在實際行動和規劃中：目前已有10%的組織正在開展ISOC的實施 ，有 29% 的組織正處于測試運行階段。值得關注的是，在尚未實施的組織中，49% 的組織計劃在一年內進行相關采購。

 

安全牛分析

這種強勁的市場需求和樂觀預期，源于國內組織在安全運營方面普遍面臨的痛點。傳統SOC模式下，海量報告數據帶來的“告警疲勞”、安全分析能力不足導致的威脅漏報、人工處理造成事件響應效率低下等問題凸顯。ISOC通過引入人工智能、大數據分析、自動化編排等先進技術，能夠有效解決這些痛點，大幅提升安全運營的效率、準確性和自動化水平。未來，隨著大模型等AI技術的持續進步、ISOC在各行業應用效果的逐步顯現，以及應用場景的不斷精細化，其接受度和普及率將顯著提升，在國內市場擁有了顛覆性的發展前景。

2.市場集中在關鍵行業領域，逐步向外滲透

根據安全牛2025年的調研數據，目前國內部署智能化網絡安全運營的行業主要集中在金融行業（24%）、政府機構（22%）、運營商行業（19%）、能源行業（13%）等關鍵領域。

國內
國內已部署組織的行業情況

 

安全牛分析

國內安全運營的轉型升級浪潮主要由這些關鍵行業引領。這些行業的組織通常具備以下特點：IT基礎相對完善，積累了海量的安全數據；面臨復雜且高級的網絡安全威脅；接受嚴格的行業監管和合規要求；擁有相對完善的安全體系和運營團隊。但是，仍然普遍遇到傳統安全運營的困境：難以從海量數據中高效提取威脅情報、解決問題的難度過大、安全事件響應速度跟不上攻擊速度、以及對APT、0-day攻擊等高級威脅的檢測和理解能力不足。

正是由于這些嚴峻的挑戰和迫切的需求，促使這些組織積極擁抱 ISOC。他們希望利用人工智能、機器學習和自動化技術來突破運營困境，并已成為 ISOC 平臺測試與部署的先行者，尤其是在那些安全要求極高、數據規模龐大且擁有專業運營團隊的大型機構中表現得極其突出。他們希望通過統一的 ISOC 平臺或部署 AI Agent（智能體）來整合分散的安全資源，實現集中管控和高效協同，提升安全運營的整體水平，并利用大模型等先進技術解決實際業務問題，提升網絡安全防護能力。

未來，隨著ISOC技術的持續成熟、典型案例的落地成功，云化/SaaS化等多元化部署模式帶來的應用成本降低，智能化安全運營的需求必將逐步滲透到更廣泛的行業領域（如制造、醫療、教育等）和中小型企業群體，ISOC市場將迎來更加繁榮的發展空間。

3.廠商紛紛布局，市場競爭激烈

當前，智能化安全運營商（ISOC）已成為網絡安全領域的熱點，吸引了各大廠商積極布局，市場競爭日趨激烈。傳統安全廠商、云服務廠商、運營商、創新公司等不同類型的參與者都基于自身優勢，通過技術創新、產品迭代和服務升級，著力構建差異化的競爭優勢，以期在增長的ISOC市場中快速占據先機。

• 綜合安全廠商：例如奇安信、亞信安全、綠盟科技、安恒信息、觀安信息、新華三等，憑借其在網絡安全領域多年的技術積累、廣泛的產品線優勢，積極探索AI技術與安全運營的深度融合，他們將AI能力注入現有的安全產品和服務（如SOC、SIEM、SOAR、EDR、威脅情報平臺等），提升其整體智能化水平，推出現代化的ISOC解決方案或平臺，為客戶提供更全面、更智能的安全運營服務。
• SOAR平臺廠商：例如碳澤信息、神州泰岳、眾智維等，專注于安全編排、自動化與響應領域。這些廠商通過將AI技術融入到SOAR平臺，提升其在日志分析、事件調查、響應決策等方面的智能化水平，實現更智能、更高效的安全事件響應。部分SOAR廠商還擴展了產品線，提供包含SIEM或SOC的一體化解決方案。
• 運營商：以聯通數科為代表的運營商，憑借其在云網基礎設施、海量數據資源、廣泛客戶覆蓋等方面的獨特優勢，積極布局ISOC市場：一方面利用自身資源構建AI云原生的安全平臺，為云上客戶端提供安全運營服務；另一方面，積極與安全廠商、IT廠商建立廣泛的合作，構建開放的安全生態系統，提供更智能的安全運營服務。
• 云廠商：例如浪潮云等云服務廠商，依托其強大的云計算基礎設施優勢和廣泛的企業客戶基礎，強調構建成熟、便捷、易用的云安全運營服務體系。與安全廠商合作，將安全能力與自身的云服務深度結合，提供面向多云、混合云環境的云安全運營服務。
• 創新型公司：如探真科技、睿安致遠等創新型公司，重點關注AI安全技術的創新或特定場景的應用，如威脅狩獵、欺騙防御、數據安全等，在產品的場景創新、高度兼容、易用性、靈活性和定制化服務等方面尋求突破，滿足用戶個性化的安全運營需求。

目前，ISOC市場的競爭焦點主要集中在AI技術與具體安全運營場景的融合、覆蓋范圍與落地能力、AI模型的準確性/可解釋性/可靠性、響應的自動化與靈活性、安全大數據的處理能力等方面。

未來，隨著智能化安全運營逐漸成為主流，技術引領提升，應用領域不斷擴展，單一廠商將越來越難以提供覆蓋所有的完整解決方案。同時，人工智能模型的訓練和優化高度依賴于海量、高質量的安全數據和威脅情報。安全牛預計，廠商之間的生態合作將成為未來發展的重要趨勢。技術合作、產品集成、數據共享、威脅情報共享、聯合解決方案等模式將更加普遍。通過生態合作，廠商可以實現優勢互補、資源共享、協同創新，共同推動安全運營技術的發展和應用，為客戶提供更強大的安全保障。

 

國內ISOC技術應用十大特征

國內智能化安全運營領域呈現出強勁的增長，安全廠商和部分大型企業積極探索和應用人工智能技術，推動安全運營從傳統模式向自動化轉型，主要特征包括安全運營平臺向統一集成、數智驅動進行轉型升級、技術與應用創新百花齊放、智能化應用效果初顯成效，以及AI 智能體被視為未來安全運營的關鍵推動力等。

國內ISOC技術應用現狀

 

1.SOC正趨向數智一體化轉型升級

日益復雜的網絡威脅和不斷提升的安全運營面對需求，傳統的SOC/態勢感知等正經歷深度的數智化轉型，他們普遍面臨數據孤島、分析效率低下、響應速度慢、自動化程度不足等挑戰。為了應對這些挑戰，安全運營平臺的發展趨勢是構建統一集成的數智化平臺，平臺以安全大數據為基礎，以AI技術為核心驅動力，深度集成SOAR等多個安全能力，旨在實現數據驅動的威脅檢測、定制的事件分析與研判、自動化的響應消除以及人機協同的運營模式，最終構建起覆蓋“事前預防、事中檢測與響應、事后總結與改進”全生命周期的閉環安全運營體系。

SOC向數智一體化升級

安全各廠商都在積極致力于探索這個方向。例如亞信安全打造“一個平臺，全網管理”的運營管理理念，構建支撐安全事件全自動化響應的安全運營平臺。奇安信通過AI與現有安全體系深度融合，將NGSOC與QAX-GPT深度融合，實現從威脅檢測到響應處置的全流程一體化安全防護。碳澤通過響應流程劇本化滿足智能處置各類安全事件的需求，并通過集成了AI驅動的異常檢測模型實現全鏈路威脅檢測。神州泰岳構建全面的安全數據中心，并利用安全編排與自動化響應平臺(Ultra-SOAR)整合各種元素，實現海量安全數據的智能分析和安全運營工作的閉環管理。

2.ISOC的智能化應用創新呈現百花齊放的態勢

國內安全廠商積極擁抱AI技術，將其與安全運營的各個環節深度融合，推動安全運營向自動化、智能化方向發展。各廠商基于自身的技術積累、產品優勢和針對客戶需求的理解，紛紛推出各具特色的AI創新應用，呈現出百花齊放的態勢。

AI應用的廣泛度和成熟度

在威脅檢測方面，AI技術的應用已相對成熟，廠商普遍將機器學習、深度學習等技術引入EDR、NDR/NTA、UEBA等產品，有效提升對未知威脅、高級威脅和異常行為的檢測能力。例如，亞信安全在其新一代XDR平臺中利用AI技術覆蓋了12大類安全領域的100多個高級威脅檢測場景。神州泰岳利用神經網絡進行釣魚檢測和挖礦檢測。碳澤利用AI驅動的異常檢測模型進行全序列威脅檢測。

在安全事件分析與調查方面，AI技術正結合快速發展，NLP、知識圖譜、機器學習等被用于自動化信息收集、關聯分析、攻擊路徑還原、根本原因分析等。例如，奇安信的QAX-GPT的智能調查功能可通過智能化和自動化的調查流程，快速定位安全事件的根源；碳澤利用AI驅動的異常檢測模型進行全序列威脅檢測和事件調查。

自動化響應是AI應用的另一大熱點，SOAR平臺與AI技術的緊密結合，并且AI智能體開始在自動化響應中重要扮演角色。例如，碳澤聚焦于通過AI驅動的異常檢測模型和場景自動化，實現全流程威脅檢測和智能執行，其自動化場景已覆蓋智能電網安全運營、自動化模擬攻擊、自動化郵件安全等100多個場景。亞信安全的新一代XDR平臺支持一鍵封禁、隔離主機等自動化響應操作。奇安信的QAX-GPT可以根據事件和嚴重程度，自動生成并執行最佳的響應策略。各廠商還結合自身優勢，在數據安全、代碼安全、DevSecOps、業務安全等細分領域進行AI應用創新。

3.智能化應用效果已經初見成效

國內ISOC的建設和應用已取得初步成效，在多個方面展現出顯著優勢，特別是在告警降噪、安全事件分析、自動化響應、數據安全和運營管理等方面帶來了一定的應用效果。

ISOC應用實施效果

根據安全牛2025年對廠商資料分析，ISOC在部分案例中取得了較好的效果：告警降噪能力大幅提升（如亞信安全XDR平臺智能過濾98%無效告警，奇安信AISOC提高告警準確率80%）、安全事件分析效率顯著提高（如碳澤千乘平臺實時推演攻擊鏈，亞信安全XDR平臺溯源效率提升80%）、事件響應實效大幅加強（如亞信安全XDR平臺人工調查時間減少93%，碳澤千乘平臺攻擊響應時效提升97%）、數據安全能力顯著提升（如碳澤千乘平臺實現交易數據自動標注，數據拓撲效率提升40倍）、安全事件處理效率大幅提高（如奇安信AISOC單個事件響應效率提升約80%，神州泰岳Ultra-SOMC效率提升96%）、安全運營管理效果顯著提升（如奇安信AISOC單日工作成果提升數倍，碳澤千乘平臺合規覆蓋度大幅增加）。 

ISOC應用效果

告警降噪（部分案例降噪率>80%)

告警準確率（部分案例提高>80%）

事件分析效率（部分場景提升>80%)

響應時效（部分案例縮短至分鐘級甚至秒級）

數據分類分級（部分案例識別準確率>90%)

運營管理成本（部分場景節約>50%)

 

請注意：該效果數據來源于部分案例或特定場景，實際效果受到多種因素的影響，數據僅供參考，并不代表所有企業都能取得類似的效果。

4.大模型與小模型協同并進，共筑安全運營智能化基石

國內安全廠商正積極探索AI大模型與小模型在安全運營中的協同應用，構建“大模型+小模型”的混合架構模式，以充分發揮各自優勢，實現更高效、更智能的安全運營。

大模型與小模型混合架構

大語言模型（LLM）憑借其強大的自然語言處理、知識整合、邏輯推理和內容生成能力，在威脅情報分析、事件安全理解與調查、安全策略生成與優化建議、智能安全問答系統、自動化報告生成等方面應用相對集中。然而，受限于安全領域的特殊性，通用大模型在安全專業知識、數據安全、可解釋性等方面仍存在不足。因此，將其與安全垂域大模型或針對特定任務的小模型相結合，正成為市場探索的主流模式。

 

廠商案例

綠盟科技利用風云衛大模型實現智能化預警、日志網絡攻擊分析等功能。

奇安信利用LLM大模型實現自然語言交互，提供智能化搜索、威脅推演、資產體檢和運營管理等功能。

神州泰岳利用安全大模型實現安全問答。

 

機器學習和深度學習的“小模型”在安全運營中的應用已較為廣泛和成熟，通常針對特定任務進行，具有資源消耗低、響應速度快、可解釋性強、數據依賴性較低、部署靈活性等優勢，主要應用于威脅檢測、UEBA、數據處理與分析等場景。

“大模型+小模型”的混合架構，可以實現優勢互補：大模型負責全局分析、復雜推理、知識問答、安全編排等，提供宏觀決策支持；小模型負責具體的威脅檢測、異常識別、風險評估等任務，提供快速、準確的檢測結果。

例如，新華三、觀安信息、聯通數科、聚銘網絡、睿安致遠等廠商都在采用或探索這種混合架構模式。

5.AI智能體是安全運營的未來方向，當前仍處于探索期

AI智能體作為能夠自主感知環境、進行思考和推理、做出決策并采取行動以實現特定目標的智能應用，代表了安全運營自動化發展的未來重要方向。AI Agent具備自主性、反應性、主動性、學習能力和推理能力等關鍵特征，可以模擬人類安全專家的工作模式，在安全運營中發揮行為更主動、更智能的作用。

AI智能體是未來的方向

目前，AI智能體的應用主要集中在自動化安全響應、輔助安全調查和安全運營流程優化等方面。例如，奇安信推出了告警關聯智能體、溯源調查智能體等，用于告警的關聯分析和事件的溯源調查；碳澤將AI智能體融入到工作流可視化編輯的步驟中，增強告警智能處理能力、優化安全流程編排等。安恒信息針對主機類告警研發了豐富的研判智能體，包括數據安全類智能體。綠盟科技、探真科技、眾智維、聚銘網絡、掌數科技等廠商也在積極探索AI智能體的應用。

 6.通用大模型（如DeepSeek）與安全垂域大模型結合的探索

通用大語言模型（以DeepSeek等開源模型為代表）擁有強大的自然語言理解和生成能力、廣泛的通用知識，以及零樣本/少樣本學習能力，可以有效賦能于安全問答、報告生成、威脅情報分析等場景。然而，通用LLM在安全專業知識等方面存在不足。因此，國內安全廠商積極探索將通用LLM與安全垂域大模型（經過安全數據訓練）或小模型結合的“雙模型”或多模型架構，成為主流模式。這種模式下，通用LLM和安全垂域大模型可以協同工作，優勢互補。

 

這種混合架構潛力巨大，有望在未來推動安全運營向更高層次發展。

 

DeepSeek	安全垂域大模型	“雙模型”或多模型架構
強大的自然語言理解和生成能力：可以用于安全知識問答、安全生成報告、威脅情報分析等。	廣泛的通用知識：可以提供更豐富的上下文信息，幫助理解安全事件。 零樣本/少樣本學習能力：可以通過少量樣本或樣本快速適應新的安全任務。    更強的安全專業知識：通過大量安全數據（例如安全報告、漏洞信息、威脅情報等）的訓練，更熟練地處理安全相關的任務。 更高的精度和可靠性：在安全領域上，經過改裝的安全垂域大模型通常比通用大模型具有更高的精度和可靠性。 更符合安全合規性要求：安全垂域大模型通常在企業內部部署，可以更好地保護數據安全和隱私。	通用大模型：負責處理自然語言交互、提供通用知識、生成報告等。 安全垂域大模型：負責進行威脅檢測、事件分析、風險評估、響應決策等。 協同的工作：通用大模型可以將安全分析師的自然語言查詢轉化為格式化查詢語句。安全垂域大模型根據查詢語句進行分析和推理，將結果返回給通用大模型，由通用大模型以自然語言的形式呈現給安全分析師。

 

國內許多安全廠商已經在混合AI架構方面進行了積極探索和實踐。例如，綠盟科技將DeepSeek做為基礎模型，與自研的風云衛安全垂域領域大模型結合，構建雙模型驅動的AI安全運營體系；亞信安全、浪潮云等其他各廠商也在積極研究DeepSeek等開源大模型，并將其與自身的大模型平臺相結合。

 

7.威脅情報應用得到普及，AI賦能情報分析和生成

威脅情報已成為現代安全運營駕駛員的核心要素。廠商普遍認識到其在主動防御、威脅檢測、事件響應、風險評估、安全決策等方面的關鍵價值，將其廣泛集成到各自的安全產品和解決方案中。人工智能技術，特別是自然語言處理（NLP）、機器學習和知識圖譜，正在改變威脅情報的生產、分析和應用方式。尤其是AI Agent技術，可以自動化地從多個來源收集、處理威脅情報，提取IOC、識別攻擊者TTP、評估情報可信度，并利用知識圖譜進行關聯分析，構建威脅情報知識圖譜。大模型則可以用于情報分析、摘要生成、智能問答等。自動化情報應用（例如更新防火墻規則、觸發 SOAR 劇本等）也日益普及。

 

例如聯通數科依托高質量的威脅情報服務，為客戶提供精準的安全決策支持。觀安信息利用大模型泛化能力構建威脅情報智能體，實現對專業情報報告關鍵信息的提取，應用于對新型威脅行為的精確檢測。除此之外，奇安信、安恒信息、綠盟科技、神州泰岳等廠商也都在其安全產品和解決方案中的各個環節中廣泛應用威脅情報，并將其廣泛集成到各自的安全產品、平臺和解決方案中。

8.低代碼/零代碼編輯平臺加速ISOC智能化落地

為了降低AI在安全運營中應用的技術門檻，提高效率和靈活性，并減少對專業AI人才的依賴，低代碼/零代碼AI平臺正成為ISOC建設的重要趨勢。低代碼/零代碼AI編輯平臺提供可視化、拖拽式、配置化的界面，使安全分析師等非AI專家能夠構建、定制和部署AI驅動的安全運營應用，例如可視化編排AI模型、安全運營流程和SOAR自動化腳本，利用預置的AI模型和組件，簡化AI模型訓練和調優等。

 

國內多家廠商均已經進行這方面的實踐，如碳澤的千乘平臺提供了低代碼的AI+SOAR編輯平臺，允許用戶通過可視化界面編排多智能體系統應用；安恒信息的智能體編輯平臺支持零代碼和低代碼開發智能體，推動了安全運營的定制化和智能化；眾智維致力于將人工流程轉變為自動化流程，并將自動化流程分解為劇本類的產品，實現開箱即用。除此之外，掌數科技、睿安致遠浪潮云和觀安信息也分別提供了低代碼AI智能體開發平臺，并推出了一系列相關產品和解決方案。

9.安全運營邁向量化管理，構建可度量的安全

安全運營的量化管理已成為智能化安全運營中心（ISOC）建設的重要趨勢和核心特征。通過建立一套科學、全面、可落地的安全運營指標體系，ISOC能夠對安全運營的各個環節進行量化評估、持續監控和數據驅動的優化，實現安全運營效果的可簡化、可評估、可改進、可展示，并為安全決策、資源分配和投資規劃提供監測、準確的數據支撐。這些指標涵蓋風險、檢測、分析、運營、管理、業務等多個環節。技術在指標的自動化采集、分析標準化、可視化呈現和決策支持方面發揮著關鍵作用。

國內安全廠商正在積極探索安全運營的量化管理，并將其融入到ISOC解決方案中。例如，奇安信AISOC在某案例中定制了24個安全運營指標，涵蓋效率提升、團隊投入和成果等多個維度；新華三提出了“健康度”和“成熟度”雙指標體系，量化評估安全運營工作的開展情況和安全運營效果；聯通數科則構建了實戰化安全運營量化指標體系，更貼近實戰攻防場景等。 

10.云地協同：智能化安全運營平臺的新常態

隨著云計算的普及和企業數字化轉型的深入，ISOC正朝著云地協同的管理模式發展。

云地協同模式將云端的安全能力（如AI分析、威脅情報、安全專家、彈性力算等）與本地的安全設備和系統進行深度集成（例如防火墻、IDS/IPS、EDR、NDR、SIEM等），實現優勢互補、協同聯動，構建更全面、更智能、更高效、增加彈性的安全運營體系。云地協同主要有云端分析+本地響應、云端情報+本地檢測、云端管理+本地執行等模式。

國內各大安全廠商都在積極布局云地協同的安全運營平臺。例如，亞信安全的新一代XDR平臺提供云網端融合分析能力，實現了云端分析和本地響應的協同；綠盟科技提供云端監控防護能力，并將行業云定位為未來重點發展方向；新華三與運營商共同推出的“安全大腦”則發揮了云端運維的便捷性和易用性。聯通數科、浪潮云、探真科技、聚銘網絡等也都采用云地協同模式，例如本地負責實時檢測，告警事件上報云端，云端專家進行精準研判，并下發研判規則至本地。