2025年9月20日，CCF YOCSEF兰州技术论坛在甘肃政法大学文翰楼成功举行。论坛以“大模型赋能加密流量分析：技术突破与安全范式演进”为题，探索大模型如何更好地助力加密流量分析。甘肃省高级人民法院一级调研员孙永红、西安交通大学教授张佳龙博士、鹏城国家实验室谢国锐博士作为引导嘉宾，甘肃政法大学教授武光利博士、广州大学教授苏申博士、西北民族大学教授马宁博士作为思辨嘉宾，CCF YOCSEF青岛25-26 主席仲国强、CCF YOCSEF兰州AC委员以及兰州高校和企业的研究人员等共30余人参加了本次论坛。论坛由徐世鹏（CCF YOCSEF兰州25-26 学术秘书）和冉宏燕（CCF YOCSEF兰州25-26 AC委员）担任执行主席。

论坛开始，执行主席徐世鹏首先介绍了本次技术论坛背景。在当前网络全域加密化的背景下，传统依赖人工特征工程的流量分析方法面临严峻挑战。为应对日益隐蔽的高级威胁，此次论坛聚焦大模型在流量分析中的创新应用，深入探讨其在协议行为理解、语义还原与自动化响应中的技术突破，旨在推动安全分析从“经验驱动”迈向“认知驱动”，为构建下一代可解释、可溯源的智能安全体系提供交流平台。随后介绍了CCF YOCSEF文化，并强调YOCSEF的核心价值观为责任、激情、制度、平等。

【开场发言】

甘肃政法大学网络空间安全学院院长安德智作开场发言。他首先对CCF YOCSEF兰州将本次论坛设在甘肃政法大学表示衷心感谢，并对各位专家的到来表示欢迎。同时强调，人工智能及大模型的迅猛发展为网络安全领域带来了前所未有的机遇与挑战。本次论坛的主题“大模型赋能流量分析”与学院的学科发展方向高度契合，相信众多顶尖学者的真知灼见，必将对学院的学科建设、青年学者的成长以及学生的培养产生积极的推动作用，并诚挚邀请各位专家常来学校交流。

【引导发言】

此次论坛邀请了三位引导嘉宾，他们结合团队研究方向分享了如何推动大模型赋能流量分析，助力构建更加安全的网络环境。

孙永红（甘肃省高级人民法院一级调研员）从司法实践的源头需求出发，进行了一场“合规前置”的深刻论述。他系统梳理了以《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《生成式人工智能服务管理暂行办法》为核心的法律框架，强调在司法领域，流量分析技术的应用必须经得起“合法、可信、可用”的检验。他特别指出：“大模型生成的安全报告或分析结论，其本身就将作为电子证据的一部分。模型的可解释性、决策的公平性，不再是技术优化项，而是法律合规的硬性要求。”

张佳龙（西安交通大学教授）以“人工智能时代下的流量威胁检测与分析”为题，展示其课题组在加密异构流量分析、无线加密流量指纹防御与大模型预训练三方面的探索。首先，课题组提出了一个层次化深度学习框架，巧妙地从数据包、流、会话三个维度提取时空特征，实现了对加密流量更精细的刻画；其次，针对物联网设备隐私泄漏风险，创新性地实现了通用的无线指纹防御；最后，他重点介绍了团队正在攻关的流量专用大模型TrafficGPT，该模型通过可逆分词技术实现流量与文本的无损转换，并借助长上下文窗口捕捉复杂会话模式，在分类精度和流量生成逼真度上均展现出显著优势。

谢国锐（鹏城国家实验室助理研究员）聚焦“在网流量分析”，介绍了其在可编程网络设备上部署轻量机器学习模型的实践。一是通过知识蒸馏将复杂的“教师神经网络”转化为可在交换机芯片上以纳秒速度运行的“学生决策树”；二是构建了数据面（高速初筛）与控制面（CPU精准研判）协同的阶段性感知架构。他还展望了基于大模型的数据面-控制面协同架构，通过构建工具调用流水线，实现动态补丁生成与自动化威胁响应，推动分析系统向“自我演进”方向发展。

【思辨环节】

在思辨环节，在场的专家学者根据议题进行了激烈而全面的讨论：

议题一：面对加密流量，传统流量分析方法存在哪些不足？

与会专家指出，传统的深度包检测和规则匹配方法在面对加密流量时，因负载内容被加密而失效。尽管基于统计特征与机器学习的方案在一定程度上可识别流行为，但仍存在准确率低、泛化能力差、场景适应性弱等问题。现有模型在实际跨域（如跨国、跨运营商）场景中表现显著下降，凸显出传统方法对环境依赖过强、迁移成本高的短板。

议题二：大模型如何弥补传统流量分析方法的缺点，实现加密流量的语义分析？

与会专家一致认为，大模型的核心优势在于其对上下文语义的强大感知能力，能够从流序列中提取更深层的行为模式，而非依赖解密内容。同时，大模型在开放集识别任务上表现优于传统模型，尤其在多流关联、意图推断等方面潜力显著。大家还讨论了“大小模型协同”的落地思路，由轻量模型处理大多数流量，疑难样本交由大模型深度分析，以实现效率与精度的平衡。讨论中也指出，当前直接将密文输入大模型效果有限，语义分析应聚焦于“行为语义”而非“内容语义”。

议题三：基于大模型的AI智能体如何实现“流量检测–威胁溯源–自主响应”的全周期自动化？

尽管智能体在任务规划、工具调用方面展现出一定能力，但专家普遍认为实现完全的“检测-溯源-响应”自动化仍面临多重挑战。如在亚运会等实战场景中，目前仍需以“AI研判+人工确认”为主，全自动闭环在责任界定、系统可靠性等方面存在风险。多位专家强调，当前更可行的路径是将智能体应用于特定子任务，如内网攻击路径重构、漏洞挖掘辅助、安全策略推荐等，通过“人机协同”逐步推进系统智能化。

【论坛总结】

大模型为加密流量分析带来了新方法论，但其落地仍是一个系统工程，需在算法创新、数据合规、系统架构、人机协同等方面同步推进。未来应加强跨学科合作，尤其在法律-技术融合、标准制定、评估验证等环节深化探索，共同构建下一代“认知驱动”型网络安全基础设施。