安全運營是一項複雜的系統化工程，人工智慧技術的應用不是一蹴而就的。中心化的安全運營平臺吸納的流量、日誌、標籤、指標、事件、規則等多源資料規模如今已膨脹百倍千倍不止，智慧化、自動化的資料探勘方法已經得到規模化應用。然而，在資料探勘與智慧分析的應用與實踐過程中，研究員、開發者、運營人員普遍遇到了包括資料質量受限，演算法擬合粗暴，模型產出易誤報、難解釋、難維護等多方面的問題。

在實踐效果難以匹配安全運營迫切需求的背景下，分階段、分層次的AISecOps自動化能力分級矩陣構建方法是一種有效的解決手段。

按照安全運營關鍵任務的自動化程度，參考自 動駕駛自動化分級，AISecOps技術的自動化水平可以劃分為L0~L5六個層次，對應無自動化到完全自動化。同時，針對安全運營技術中的關鍵環節，按照人工智慧的經典範式“感知-認知-決策-行動” 進行概念劃分，並基本對應經典作戰決策OODA迴圈模型的“觀測（Observe）-調整（Orient）-決策（Decide）-執行（Act）”體系。其中感知層執行識別（如各類實體識別與分類）和檢測（如威脅檢測） 任務，認知層執行關聯（如多源資料整合分析等）、溯源（如回溯攻擊路徑）和預測（如預判攻擊行為） 任務，決策層執行評估（如風險綜合評估）和制定（如策略、方案生成）任務，行動層執行響應（如部署策略）和反饋（如主動報告）任務。每個任務層次的有效性依賴於上一層次的成熟度。

L0（無自動化），安全運營的所有任務都由安全運營人員完成。儘管AI等分析技術能夠提供一定層級的識別和檢測能力，但該層次下識別 與檢測不對任何安全運營任務負責，屬於較高層級的資料採集能力。

L1（運營輔助），面向安全運 營的運營指標，自動化運營系統有針對性地參與環境感知、資訊加工認知及風險評估等部分子任務。在該自動化層級下，系統例行資料分析的輔助功能不參與任何自動化行動子任務。

L2（部分自動化），針對部分單一環境場景，自動化運營系統參與感知、認知、決策、行動的全流程子任務，與運營人員進行持續的資料互動和知識互動。

L3（有條件自動化），針對所有任務場景，自動化運營系統完成包括行動子任務在內的所有子任務，但在必要階段需要安全運營人員提供應答與系統接管。

L4（高度自動化），在限定的複雜場景下，自動化運營系統按照預定的運營指標完全自動化執行，無需安全運營人員介入。

L5（完全自動化），在所有複雜場景下，自動化運營系統按照預定的運營指標完全自動化執行，無需安全運營人員介入。

橫向的技術能力階段劃分明確了安全運營技術智慧化的關鍵需求與任務；基於成熟度的縱向分級能夠有效劃定現階段發展層次與未來的發展方向。以上分類、分級方案形成了關鍵能力發展矩陣。現有的技術方案能夠更快速地找到其在AISecOps技術領域的定位，並與其他技術能力快速融合互動。

安全編排和自動化響應（Security Orchestration，Automation and Response，SOAR）技術的落地，似乎猛然提升了安全運營等任務的自動化水平。SOAR技術為上述矩陣中的行動階段提供了響應與反饋的關鍵能力，提供了資料、流程、技術整合的框架與介面，是AISecOps技術實現運營自動化過程中的架構基礎。然而，高水平運營自動化實現的要義仍然是對“資料-資訊-知識”層次化的分析與挖掘，以應對動態不確定性的網路空間環境與高 互動的攻防對抗過程。因此，唯有夯實網路空間數 據的多層級任務能力基礎，才能避免搭建安全任務自動化的“空中樓閣”。

實際上，現階段的威脅識別、溯源、預測等 關鍵技術能力的智慧化水平，仍難以有效支援基於SOAR的精準響應。事件誤判、連線誤殺、決策黑箱等多種型別的技術瓶頸，使得更高水平的自動化智慧化實現在涉及高風險、關鍵決策的安全場景下難以有效部署。

AISecOps技術能力矩陣構建的重要目的之一，就是讓技術從業者不囿於技術泡沫造成的困惑。從目前來看，安全運營的智慧化技術領域整體上基本處於L1~L2級別的技術發展階段，多個單點技術水平已經在更高層次上有所突破。但是也要看到，現有的資料、構建的模型、最佳化的演算法及搭建的系統，在特定場景下還未能有效符合安全運營的指標導向性需求，更不用說跨場景、自適應的更高層級運營自動化能力。總之，從實踐經驗出發，距離高可用、高自動化水平的智慧安全運營能力仍有較遠路程。