0%

业务 00 · 安全业务架构

业务 00 · 安全业务架构

智能安全事件可观测性 · 以 AI Agent 为核心,驱动安全运营从"事件响应"迈向"认知决策"的范式升级


01. 产品概述

01.1 背景与问题定义

安全运营的挑战

graph LR subgraph 传统SOC痛点 A1["告警疲劳"] A2["专家稀缺"] A3["响应滞后"] A4["知识流失"] end A1 -->|70%+误报率| B["人力瓶颈"] A2 -->|培养周期3-5年| B A3 -->|攻击窗口期长| B A4 -->|经验随人离职| B style B fill:#ffcdd2,stroke:#c62828
问题 数据 影响
告警疲劳 70%+ 的告警是误报 安全分析师疲于应对,真实威胁被淹没
专家稀缺 高级分析师培养周期 3-5 年 人力成本高,扩展性差
响应滞后 人工分析平均耗时 30min+ 攻击窗口期长,损失扩大
知识流失 经验依赖个人 离职即流失,能力无法传承

AI 带来的范式机遇

传统方式 AI 时代 价值
人看告警 AI 理解攻击 告警不再是终点,而是决策起点
人做分析 AI 推理链路 从"看到什么"到"理解为什么"
人写报告 AI 生成报告 自动化、可复用
人做响应 Agent 自动执行 秒级响应,无需等待

核心命题: 当大模型具备安全知识理解能力,当 Agent 能够自主执行安全任务,安全运营的主体从"人"变为"AI Agent"——这即是 AISOC。

01.2 产品定位(AISOC / AISOP)

graph TB subgraph AISOC战略定位 A["AISOC\nAI Security Operations Center\nAI 原生安全运营中心"] end subgraph AISOP工程实现 B["AISOP\nAI Security Operations Platform\n智能安全运营平台"] end subgraph 六大核心能力 C1["感知\nPerception"] C2["认知\nCognition"] C3["推理\nReasoning"] C4["决策\nDecision"] C5["执行\nAction"] C6["学习\nLearning"] end A -->|工程落地| B B --> C1 B --> C2 B --> C3 B --> C4 B --> C5 B --> C6 style A fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style B fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px

AISOC 与 AISOP 定义

概念 全称 角色 说明
AISOC AI Security Operations Center 战略定位 AI 原生安全运营中心,代表安全运营的未来形态
AISOP AI Security Operations Platform 工程实现 AISOC 的技术载体,理念落地的具体平台

产品定位

AISOC 是一种以 AI Agent 为核心执行单元、以 安全认知网络 为核心大脑、以 自动化响应 为核心行动能力、以 持续进化 为核心目标的下一代 AI 原生安全运营中心

核心转变

graph TB subgraph 传统SOC["传统 SOC - 事件驱动"] A1["人看告警"] A2["人做分析"] A3["人写报告"] A4["人做响应"] end subgraph AISOC["AISOC - 认知驱动"] B1["AI 理解攻击"] B2["Agent 推理链路"] B3["AI 自动生成报告"] B4["Agent 自动执行"] end A1 --> B1 A2 --> B2 A3 --> B3 A4 --> B4 style 传统SOC fill:#ffcdd2,stroke:#c62828,stroke-width:2px style AISOC fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style A1 fill:#fff,stroke:#c62828 style A2 fill:#fff,stroke:#c62828 style A3 fill:#fff,stroke:#c62828 style A4 fill:#fff,stroke:#c62828 style B1 fill:#fff,stroke:#1565c0 style B2 fill:#fff,stroke:#1565c0 style B3 fill:#fff,stroke:#1565c0 style B4 fill:#fff,stroke:#1565c0

AISOC vs 传统 SOC 7维对比

维度 传统 SOC AISOC
执行主体 安全分析师 AI Agent
工作模式 告警 → 分析 → 处置 感知 → 认知 → 推理 → 决策 → 执行 → 学习
驱动方式 告警驱动 认知驱动
运营方式 规则运营 智能运营
响应方式 人工处置 Agent 协同处置
学习方式 人工积累 自动化知识沉淀
扩展方式 增加人力 增加 Agent 能力

01.3 核心目标与边界

AISOP 的核心目标是实现十步安全运营闭环

graph LR subgraph 数据层 A1[安全数据融合] end subgraph 感知层 A2[安全事件感知] end subgraph 认知层 A3[安全知识网络] A4[安全事件研判] end subgraph 推理层 A5[攻击溯源分析] A6[安全影响评估] end subgraph 执行层 A7[安全响应处置] end subgraph 报告层 A8[安全态势报告] A9[安全知识沉淀] A10[安全智能助手] end A1 --> A2 --> A3 --> A4 A4 --> A5 --> A6 --> A7 A7 --> A8 --> A9 --> A10 A9 --> A3 A10 -.->|统一入口| A1 style A1 fill:#e1f5ff,stroke:#01579b style A2 fill:#e1f5ff,stroke:#01579b style A3 fill:#fff3e0,stroke:#e65100 style A4 fill:#fff3e0,stroke:#e65100 style A5 fill:#f3e5f5,stroke:#7b1fa2 style A6 fill:#f3e5f5,stroke:#7b1fa2 style A7 fill:#ffebee,stroke:#c62828 style A8 fill:#e8f5e9,stroke:#2e7d32 style A9 fill:#e8f5e9,stroke:#2e7d32 style A10 fill:#fff9c4,stroke:#f57f17,stroke-width:3px

十步闭环与核心能力映射

步骤 核心目标 输入 输出 关键技术 AISOC能力 Agent类型 指标目标
Step 1 安全数据融合 全域安全数据接入、标准化与统一语义化 原始日志/流量/告警/API数据 标准化安全事件流(Event Stream) OTEL/Kafka/Flink/Schema Mapping 感知基础层 感知 Agent MTTD < 1min
Step 2 安全事件感知 降噪、归并、异常检测 事件流(Event Stream) 结构化异常事件(Normalized Event) 时序异常检测/ML降噪/事件聚类 感知 感知 Agent 误报率 < 10%
Step 3 安全知识网络 构建统一安全认知图谱 异常事件 + 历史知识库 安全知识图谱(Entity-Relation Graph) KG构建/NLP实体抽取/Graph Embedding 学习 学习 Agent TTL < 1min
Step 4 安全事件研判 事件语义理解与攻击归类 异常事件 + 知识图谱 攻击上下文(Attack Context)+置信度 LLM推理/RAG/攻击画像建模 认知 认知 Agent MTTI < 5min
Step 5 攻击溯源分析 攻击链重建与来源追踪 攻击上下文 + 图谱 攻击链路(Kill Chain Graph) 因果推理/GNN/图路径搜索 推理 推理 Agent 溯源成功率 > 90%
Step 6 安全影响评估 风险传播与资产影响量化 攻击链 + 资产拓扑 风险传播图 + 损失评估报告 资产建模/风险传播模型/脆弱性分析 推理 推理 Agent MTTR < 10min
Step 7 安全响应处置 自动化策略决策与执行 风险报告 + 策略库 执行结果 + 操作审计日志 SOAR编排/Policy Engine/API自动化 决策+执行 执行 Agent MTTR < 10min
Step 8 安全态势报告 全局态势可视化与解释 执行结果 + 攻击链 + KPI 安全态势报告(Report Object) 报告生成/LLM总结/可视化建模 认知 认知 Agent MTTC < 30min
Step 9 安全知识沉淀 经验结构化与系统自进化 全链路事件 + 执行反馈 更新知识图谱 + 策略模型 知识抽取/Pattern Mining/Online Learning 学习 学习 Agent TTL < 1min
Step 10 安全智能助手 统一入口,一站式智能服务 用户指令 + 上下文 对话响应 + 任务执行 + 知识推荐 LLM/Agent/RAG/工具编排 认知+执行 助手 Agent 响应 < 1s

十步闭环 Mermaid 时序图

sequenceDiagram participant Data as 数据层 participant Sense as 感知Agent participant Know as 知识图谱(KG) participant Cogn as 认知Agent participant Reason as 推理Agent participant Action as 执行Agent participant Report as 报告系统 participant Learn as 学习Agent participant Assistant as 智能助手 Data->>Sense: Step1 原始安全数据 Sense->>Sense: Step2 事件归并/异常检测 Sense->>Know: Step3 实体/关系抽取 Know->>Cogn: Step4 提供上下文图谱 Sense->>Cogn: Step4 异常事件流 Cogn->>Reason: Step5 攻击语义+上下文 Reason->>Reason: Step5 攻击链重建(Kill Chain) Reason->>Action: Step6 风险+影响评估 Action->>Report: Step7 执行结果+审计日志 Report->>Learn: Step8 全链路数据沉淀 Learn->>Know: Step9 更新知识图谱 Learn->>Sense: 模型/规则优化反馈 Learn->>Reason: 推理策略优化反馈 Learn->>Action: 响应策略优化反馈 Learn->>Assistant: Step10 统一入口赋能 Assistant->>Data: 指令触发/查询

平台输出(vs 传统告警)

graph LR subgraph 传统 SOC A1["输出:单一告警"] end subgraph AISOP B1["攻击解释"] B2["风险判断"] B3["行动决策"] B4["执行结果"] end A1 --> B1 B1 --> B2 B2 --> B3 B3 --> B4 style A1 fill:#ffcdd2,stroke:#c62828 style B1 fill:#e3f2fd,stroke:#1565c0 style B2 fill:#e8f5e9,stroke:#2e7d32 style B3 fill:#fff3e0,stroke:#e65100 style B4 fill:#f3e5f5,stroke:#7b1fa2
对比维度 传统 SOC AISOP
输出形式 单一告警 攻击解释 + 风险判断 + 行动决策 + 执行结果
信息完整性 仅告知"发生了什么" 理解"是什么攻击、为什么发生、会影响什么"
可操作性 需人工解读 直接给出行动建议和执行结果
响应时效 依赖人工,延迟高 自动执行,秒级响应
学习积累 经验难以传承 自动沉淀为组织知识

本质区别: 传统 SOC 输出的是"数据",AISOP 输出的是"决策支持链"


02. 安全运营范式升级

02.1 传统 SOC 局限性

graph TB subgraph 局限 A1["规则依赖\n漏报率高"] A2["人力瓶颈\n响应滞后"] A3["知识孤岛\n能力参差"] A4["被动响应\n被动挨打"] end B["传统 SOC\n运营困境"] A1 --> B A2 --> B A3 --> B A4 --> B style B fill:#ffcdd2,stroke:#c62828,stroke-width:2px style A1 fill:#fff,stroke:#c62828 style A2 fill:#fff,stroke:#c62828 style A3 fill:#fff,stroke:#c62828 style A4 fill:#fff,stroke:#c62828
局限性 说明 影响
规则依赖 依赖专家规则,无法理解未知威胁 漏报率高
人力瓶颈 告警分析依赖人工,扩展性差 响应滞后
知识孤岛 经验存在个人脑中,无法传承 能力参差
被动响应 告警驱动,疲于应对 被动挨打

02.2 AISOC 范式转变

传统 SOC vs AISOC 工作流对比

graph TB subgraph 传统SOC["传统 SOC - 告警驱动 (Reactive)"] direction LR T1["数据采集"] --> T2["规则匹配"] --> T3["告警触发"] --> T4["人工分析"] --> T5["人工处置"] end subgraph AISOC["AISOC - 认知驱动 (Proactive)"] direction LR A1["数据融合"] --> A2["智能感知"] --> A3["知识认知"] --> A4["推理研判"] --> A5["Agent响应"] --> A6["知识沉淀"] A6 -.-> A3 end 传统SOC --> AISOC style 传统SOC fill:#ffcdd2,stroke:#c62828,stroke-width:2px style AISOC fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style T1 fill:#fff,stroke:#c62828 style T2 fill:#fff,stroke:#c62828 style T3 fill:#fff,stroke:#c62828 style T4 fill:#fff,stroke:#c62828 style T5 fill:#fff,stroke:#c62828 style A1 fill:#fff,stroke:#1565c0 style A2 fill:#fff,stroke:#1565c0 style A3 fill:#fff,stroke:#1565c0 style A4 fill:#fff,stroke:#1565c0 style A5 fill:#fff,stroke:#1565c0 style A6 fill:#fff,stroke:#1565c0

核心差异:五维度对比

维度 传统 SOC AISOC 差异影响
驱动方式 告警驱动 认知驱动 从被动响应 → 主动防御
执行主体 安全分析师 AI Agent 从人力密集 → 智能化
感知方式 规则匹配 知识推理 从依赖规则 → 理解攻击
响应方式 人工处置 自动执行 从耗时数小时 → 分钟级
学习方式 人工积累 自动进化 从经验流失 → 组织记忆

范式转变的本质

graph LR subgraph 传统SOC["传统 SOC - 以规则为中心"] direction TB A1["规则 = 核心"] A2["人 = 执行者"] A3["告警 = 输出"] A4["被动响应"] A5["线性增长"] end C["安全运营\n范式革命"] subgraph AISOC["AISOC - 以认知为中心"] direction TB B1["知识 = 核心"] B2["AI Agent = 执行者"] B3["决策 = 输出"] B4["主动防御"] B5["指数增长"] end 传统SOC --> C --> AISOC style 传统SOC fill:#ffcdd2,stroke:#c62828,stroke-width:2px style AISOC fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style C fill:#fff3e0,stroke:#e65100,stroke-width:2px style A1 fill:#fff,stroke:#c62828 style A2 fill:#fff,stroke:#c62828 style A3 fill:#fff,stroke:#c62828 style A4 fill:#fff,stroke:#c62828 style A5 fill:#fff,stroke:#c62828 style B1 fill:#fff,stroke:#1565c0 style B2 fill:#fff,stroke:#1565c0 style B3 fill:#fff,stroke:#1565c0 style B4 fill:#fff,stroke:#1565c0 style B5 fill:#fff,stroke:#1565c0

AISOC 价值飞轮

graph LR subgraph 价值飞轮 direction LR A1["数据融合"] --> A2["智能感知"] A2 --> A3["安全认知"] A3 --> A4["自动响应"] A4 --> A5["持续进化"] A5 -.->|每一次循环 系统能力更强| A3 end style A1 fill:#e1f5ff,stroke:#01579b style A2 fill:#e1f5ff,stroke:#01579b style A3 fill:#fff3e0,stroke:#e65100 style A4 fill:#ffebee,stroke:#c62828 style A5 fill:#e8f5e9,stroke:#2e7d32

02.3 从事件驱动到认知驱动

维度 事件驱动 认知驱动
核心 规则匹配告警 知识网络推理
感知 触发式告警 主动式感知
分析 人工逐条分析 AI 理解攻击
决策 依赖经验判断 证据链推理
学习 人工积累 自动进化

02.4 从人工运营到 Agent 运营

维度 传统 SOC AISOC
执行主体 安全分析师 AI Agent
工作模式 告警 → 分析 → 处置 感知 → 认知 → 推理 → 决策 → 执行 → 学习
运营方式 规则运营 智能运营
响应方式 人工处置 Agent 协同处置
学习方式 人工积累 自动化知识沉淀
扩展方式 增加人力 增加 Agent 能力

03. 核心能力体系(六大能力)

03.1 感知(Perception)

项目 内容
输入 全域安全数据(网络/主机/身份/应用/威胁情报)
输出 异常事件、攻击活动、风险变化
特征 实时、主动、全方位
核心能力 多维感知网络 · 智能降噪(误报率<10%) · 自动归并(压缩比>90%)
graph LR subgraph 感知层 direction LR N1["网络行为"] H1["主机行为"] I1["身份行为"] A1["应用行为"] end P2["智能降噪\n误报率<10%"] P3["自动归并\n压缩比>90%"] P4["异常事件"] N1 --> P2 H1 --> P2 I1 --> P2 A1 --> P2 P2 --> P3 --> P4 style N1 fill:#fff,stroke:#1565c0 style H1 fill:#fff,stroke:#1565c0 style I1 fill:#fff,stroke:#1565c0 style A1 fill:#fff,stroke:#1565c0 style P2 fill:#fff3e0,stroke:#e65100 style P3 fill:#fff3e0,stroke:#e65100 style P4 fill:#e3f2fd,stroke:#1565c0

03.2 认知(Cognition)

项目 内容
输入 感知层输出的异常事件
输出 攻击上下文、影响范围、严重程度
特征 理解"是什么",而非仅知道"发生了什么"
核心能力 安全知识网络(100,000+实体) · 攻击画像构建 · 影响范围评估
graph LR subgraph 认知层 direction LR K1["知识网络\n100,000+实体"] K2["攻击画像\n构建"] K3["影响范围\n评估"] end K1 --> K2 --> K3 style K1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style K2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style K3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px

03.3 推理(Reasoning)

项目 内容
输入 认知层提供的上下文
输出 攻击意图、攻击路径、攻击阶段、置信评分
特征 具备"为什么"的推理能力
核心能力 攻击链推理(Kill Chain映射) · 时序因果分析 · 图神经网络路径发现
graph LR subgraph 推理层 direction LR R1["Kill Chain\n映射"] R2["时序因果\n分析"] R3["GNN路径\n发现"] R4["置信评分"] end R1 --> R2 --> R3 --> R4 style R1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style R2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style R3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style R4 fill:#fce4ec,stroke:#c62828,stroke-width:2px

03.4 决策(Decision)

项目 内容
输入 推理层提供的研判结论
输出 处置策略、响应剧本、行动建议、优先级
特征 多目标优化,考虑成本与收益
核心能力 多策略生成 · 风险收益评估 · 资源优化调度
graph LR subgraph 决策层 direction LR D1["多策略\n生成"] D2["风险收益\n评估"] D3["资源优化\n调度"] D4["处置优先级"] end D1 --> D2 --> D3 --> D4 style D1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style D2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style D3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style D4 fill:#fce4ec,stroke:#c62828,stroke-width:2px

03.5 执行(Action)

项目 内容
输入 决策层生成的处置方案
输出 自动化响应执行结果
特征 自动完成,而非仅建议
核心能力 SOAR剧本自动化 · 安全产品API集成 · 多系统协同执行
graph LR subgraph 执行层 direction LR X1["SOAR\n剧本自动化"] X2["安全产品\nAPI集成"] X3["多系统\n协同执行"] X4["执行结果"] end X1 --> X2 --> X3 --> X4 style X1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style X2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style X3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style X4 fill:#fce4ec,stroke:#c62828,stroke-width:2px

03.6 学习(Learning)

项目 内容
输入 每次运营的经验数据
输出 更新的知识网络、优化的模型、新的处置剧本
特征 持续进化,形成组织级安全记忆
核心能力 自动知识抽取 · 模型在线优化 · 经验剧本化
graph LR subgraph 学习层 direction LR L1["自动知识\n抽取"] L2["模型在线\n优化"] L3["经验\n剧本化"] L4["知识网络\n更新"] end L1 --> L2 --> L3 --> L4 L4 -.->|持续进化| L1 style L1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style L2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style L3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style L4 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px

04. 安全认知闭环模型

04.1 端到端认知链路

graph LR subgraph 认知链路 direction LR P["感知\n数据融合 + 异常检测"] C["认知\n上下文补全 + 攻击画像"] R["推理\n攻击链还原 + 意图推断"] D["决策\n策略生成 + 优先级排序"] A["执行\n自动响应 + 结果反馈"] L["学习\n知识沉淀 + 模型优化"] P --> C --> R --> D --> A --> L L -.->|持续循环| P end style P fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style C fill:#fff3e0,stroke:#e65100,stroke-width:2px style R fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style D fill:#fce4ec,stroke:#c62828,stroke-width:2px style A fill:#e1f5fe,stroke:#01579b,stroke-width:2px style L fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px

04.2 数据 → 事件 → 攻击 → 风险闭环

graph LR subgraph 闭环流程 direction LR D1["数据\n原始日志/流量"] --> D2["事件\n降噪归并分级"] D2 --> D3["攻击\n链路推理"] D3 --> D4["风险\n影响评估"] end style D1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style D2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style D3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style D4 fill:#fce4ec,stroke:#c62828,stroke-width:2px
阶段 输入 处理 输出
数据 原始日志/流量 标准化采集 安全事件流
事件 安全事件 降噪归并分级 异常事件
攻击 异常事件 链路推理 攻击链
风险 攻击链 影响评估 风险报告

04.3 反馈学习机制

graph LR subgraph 反馈机制 direction LR F1["执行反馈\n响应结果反哺决策"] F2["研判反馈\n分析师复核反哺模型"] F3["案例沉淀\n优秀案例入知识网络"] F4["模型迭代\n在线学习持续优化"] end F1 --> F2 --> F3 --> F4 F4 -.->|闭环| F1 style F1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style F2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style F3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style F4 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px
机制 说明
执行反馈 响应执行结果反馈至决策层,优化策略
研判反馈 分析师复核结果反哺模型优化
案例沉淀 优秀案例自动沉淀到知识网络
模型迭代 在线学习,持续优化检测模型

04.4 持续进化模型

graph LR subgraph 进化模型 direction LR E1["每一次\n事件处置"] E2["产生经验数据\n攻击手法/处置方法/因果关系"] E3["知识抽取\n→ 融合 → 验证"] E4["能力提升\n知识网络+检测模型+新剧本"] E1 --> E2 --> E3 --> E4 E4 -.->|循环| E1 end style E1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style E2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style E3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style E4 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px

05. AISOC 架构设计

05.1 总体架构

graph LR subgraph AISOC["AISOC 智能安全运营中心"] direction LR subgraph 感知层["感知层"] P["感知 Agent\nPerception"] end subgraph 认知层["认知层"] C["认知 Agent\nCognition"] end subgraph 推理层["推理层"] R["推理 Agent\nReasoning"] end subgraph 决策层["决策层"] D["决策 Agent\nDecision"] end subgraph 执行层["执行层"] A1["执行 Agent\nAction"] A2["响应 Agent\nResponse"] A3["学习 Agent\nLearning"] end P --> C C --> R R --> D D --> A1 D --> A2 D --> A3 end style AISOC fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style 感知层 fill:#e1f5fe,stroke:#01579b,stroke-width:2px style 认知层 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style 推理层 fill:#fff3e0,stroke:#e65100,stroke-width:2px style 决策层 fill:#fce4ec,stroke:#c62828,stroke-width:2px style 执行层 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px style P fill:#fff,stroke:#01579b style C fill:#fff,stroke:#2e7d32 style R fill:#fff,stroke:#e65100 style D fill:#fff,stroke:#c62828 style A1 fill:#fff,stroke:#7b1fa2 style A2 fill:#fff,stroke:#7b1fa2 style A3 fill:#fff,stroke:#7b1fa2

05.2 Agent 分层架构

graph LR subgraph 分层架构 direction LR L1["感知层\n感知 Agent\n数据采集/降噪/异常检测"] L2["认知层\n认知 Agent\n上下文补全/攻击画像/知识检索"] L3["推理层\n推理 Agent\n攻击链还原/意图推断/风险评估"] L4["决策层\n决策 Agent\n策略生成/优先级排序"] L5["执行层\n执行 Agent\n自动响应/API集成"] L6["学习层\n学习 Agent\n知识抽取/模型优化/剧本生成"] L1 --> L2 --> L3 --> L4 --> L5 --> L6 end style L1 fill:#e1f5fe,stroke:#01579b,stroke-width:2px style L2 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style L3 fill:#fff3e0,stroke:#e65100,stroke-width:2px style L4 fill:#fce4ec,stroke:#c62828,stroke-width:2px style L5 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px style L6 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px
层级 Agent 职责
感知层 感知 Agent 数据采集、降噪归并、异常检测
认知层 认知 Agent 上下文补全、攻击画像、知识检索
推理层 推理 Agent 攻击链还原、意图推断、风险评估
决策层 决策 Agent 策略生成、优先级排序
执行层 执行 Agent 自动响应、API 集成
学习层 学习 Agent 知识抽取、模型优化、剧本生成

05.3 安全认知网络(Knowledge Graph)

graph TB subgraph 节点类型 direction LR N1["攻击者\nThreat Actor"] N2["攻击手法\nTTP"] N3["漏洞\nVulnerability"] N4["资产\nAsset"] N5["用户\nUser"] N6["行为\nBehavior"] end subgraph 关系类型 direction LR R1["uses\n攻击者→手法"] R2["exploits\n手法→漏洞"] R3["targets\n攻击者→资产"] R4["accesses\n用户→资产"] end N1 --> R1 --> N2 N2 --> R2 --> N3 N1 --> R3 --> N4 N5 --> R4 --> N4 style N1 fill:#fce4ec,stroke:#c62828 style N2 fill:#fff3e0,stroke:#e65100 style N3 fill:#e8f5e9,stroke:#2e7d32 style N4 fill:#e3f2fd,stroke:#1565c0 style N5 fill:#f3e5f5,stroke:#7b1fa2 style N6 fill:#e1f5fe,stroke:#01579b style R1 fill:#fff,stroke:#c62828 style R2 fill:#fff,stroke:#e65100 style R3 fill:#fff,stroke:#2e7d32 style R4 fill:#fff,stroke:#1565c0

05.4 数据与事件流架构

graph LR subgraph 数据流 direction LR D1["外部数据源"] D2["OTEL 采集层\n标准化"] D3["Kafka 消息队列\n解耦+缓冲"] D4["Flink 流处理\n实时分析"] D5["实时分析管道\n异常检测/上下文富化/事件归并"] D6["时序数据库\n安全事件"] D7["Agent 协作链\n触发"] end D1 --> D2 --> D3 --> D4 --> D5 --> D6 --> D7 style D1 fill:#e3f2fd,stroke:#1565c0 style D2 fill:#e1f5fe,stroke:#01579b style D3 fill:#fff3e0,stroke:#e65100 style D4 fill:#e8f5e9,stroke:#2e7d32 style D5 fill:#fce4ec,stroke:#c62828 style D6 fill:#f3e5f5,stroke:#7b1fa2 style D7 fill:#e1f5fe,stroke:#01579b

05.5 执行与响应架构

graph LR subgraph 执行响应 direction LR X1["决策 Agent\n生成处置方案"] X2["SOAR 剧本\n自动化编排"] X3["安全产品\nAPI 集成"] X4["多系统\n协同执行"] X5["执行结果\n反馈"] end X1 --> X2 --> X3 --> X4 --> X5 X5 -.->|优化策略| X1 style X1 fill:#e3f2fd,stroke:#1565c0 style X2 fill:#fff3e0,stroke:#e65100 style X3 fill:#e8f5e9,stroke:#2e7d32 style X4 fill:#fce4ec,stroke:#c62828 style X5 fill:#f3e5f5,stroke:#7b1fa2

06. 安全知识与认知模型

06.1 安全实体模型

graph LR subgraph 实体模型 direction LR E1["用户\nID/姓名/部门/角色"] E2["主机\nIP/主机名/OS/重要性"] E3["应用\n服务名/端口/协议"] E4["数据\n类型/敏感等级/存储"] end E1 --> E2 E2 --> E3 E3 --> E4 style E1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style E2 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style E3 fill:#fff3e0,stroke:#e65100,stroke-width:2px style E4 fill:#fce4ec,stroke:#c62828,stroke-width:2px
实体类型 属性 示例
用户 ID、姓名、部门、角色 user001、zhangsan
主机 IP、主机名、操作系统、资产重要性 192.168.1.100、SRV-DB-01
应用 服务名、端口、协议 HTTPS:443、MySQL:3306
数据 数据类型、敏感等级、存储位置 用户数据、PII、财务数据

06.2 攻击行为模型

graph LR subgraph ATTCK模型 direction LR T1["战术\nTactic"] T2["技术\nTechnique"] T3["子技术\nSub-technique"] T4["程序\nProcedure"] T5["检测\nDetection"] T1 --> T2 --> T3 --> T4 --> T5 end style T1 fill:#fce4ec,stroke:#c62828,stroke-width:2px style T2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style T3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style T4 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style T5 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px
维度 内容
战术(Tactic) Initial Access、Execution、Persistence、Lateral Movement
技术(Technique) T1190(漏洞利用)、T1059(命令执行)、T1078(账号利用)
子技术(Sub-technique) T1190.001(SQL 注入)
程序(Procedure) APT-41 使用 T1190.001 攻击 Web 系统
检测(Detection) 对应的检测规则和告警逻辑

06.3 风险关系模型

graph LR subgraph 风险因素 direction LR F1["攻击可能性\n威胁情报+历史事件+ATT&CK映射"] F2["资产价值\n资产分级\n核心/重要/普通"] F3["影响范围\n资产拓扑+业务关联+数据敏感度"] F4["脆弱性\nCVE评分+配置缺陷+攻击面"] end subgraph 风险计算 direction LR R["风险值\n=RiskScore"] end subgraph 风险等级 direction LR L1["🔴 高风险"] L2["🟡 中风险"] L3["🟢 低风险"] end F1 --> R F2 --> R F3 --> R F4 --> R R --> L1 R --> L2 R --> L3 style F1 fill:#fce4ec,stroke:#c62828,stroke-width:2px style F2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style F3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style F4 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style R fill:#f3e5f5,stroke:#7b1fa2,stroke-width:3px style L1 fill:#ffcdd2,stroke:#c62828,stroke-width:2px style L2 fill:#fff9c4,stroke:#f9a825,stroke-width:2px style L3 fill:#c8e6c9,stroke:#388e3c,stroke-width:2px

风险计算公式:

风险值 = f(攻击可能性, 资产价值, 影响范围, 脆弱性)
风险因素 计算因子 说明
攻击可能性 威胁情报 + 历史事件 + ATT&CK 映射 ATT&CK = Adversarial Tactics, Techniques & Common Knowledge(MITRE 攻击框架)
资产价值 资产分级(核心/重要/普通) 根据业务重要性分级
影响范围 资产拓扑 + 业务关联 + 数据敏感度 受影响资产的范围评估
脆弱性 CVE 评分 + 配置缺陷 + 攻击面 系统漏洞和弱点评估

ATT&CK 框架说明:

  • 来源:MITRE 公司发布的对抗战术与技术知识库
  • 全称:Adversarial Tactics, Techniques & Common Knowledge
  • 用途:标准化描述攻击者行为(战术、技术、程序)
  • 映射:将检测到的攻击行为映射到 ATT&CK 战术和技术,评估攻击可能性

风险等级判定:

风险等级 判定标准 响应策略
🔴 高风险 多个高危因素叠加 即时处置,优先响应
🟡 中风险 存在中等风险因素 计划处置,跟踪监控
🟢 低风险 风险因素可控 例行监控,持续观察

06.4 攻击链与因果图模型

攻击链(Kill Chain)

来源:Lockheed Martin 公司提出的网络攻击杀伤链模型

目标:在攻击链的每个阶段部署检测和防御措施,切断攻击链路

graph LR subgraph KillChain["攻击链 Kill Chain (Lockheed Martin)"] direction LR subgraph 早期阶段["早期阶段 - 入侵前"] K1["1.Reconnaissance\n侦察"] K2["2.Resource Dev\n资源准备"] end subgraph 入口阶段["入口阶段 - 突破口"] K3["3.Initial Access\n初始入口"] end subgraph 持久化阶段["持久化阶段 - 建立据点"] K4["4.Execution\n执行"] K5["5.Persistence\n持久化"] K6["6.Priv Esc\n权限提升"] end subgraph 横向阶段["横向阶段 - 扩大范围"] K7["7.Defense Evasion\n防御规避"] K8["8.Cred Access\n凭证访问"] K9["9.Discovery\n横向探测"] K10["10.Lateral Move\n横向移动"] end subgraph 收获阶段["收获阶段 - 达成目标"] K11["11.Collection\n数据收集"] K12["12.Exfiltration\n数据外泄"] end subgraph 影响阶段["影响阶段 - 破坏影响"] K13["13.Impact\n影响破坏"] end K1 --> K2 --> K3 --> K4 --> K5 --> K6 --> K7 --> K8 --> K9 --> K10 --> K11 --> K12 --> K13 end style K1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style K2 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style K3 fill:#fff3e0,stroke:#e65100,stroke-width:2px style K4 fill:#fff3e0,stroke:#e65100,stroke-width:2px style K5 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style K6 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style K7 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style K8 fill:#fce4ec,stroke:#c62828,stroke-width:2px style K9 fill:#fce4ec,stroke:#c62828,stroke-width:2px style K10 fill:#fce4ec,stroke:#c62828,stroke-width:2px style K11 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px style K12 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px style K13 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px style 早期阶段 fill:#e3f2fd,stroke:#1565c0,stroke-width:3px style 入口阶段 fill:#fff3e0,stroke:#e65100,stroke-width:3px style 持久化阶段 fill:#e8f5e9,stroke:#2e7d32,stroke-width:3px style 横向阶段 fill:#fce4ec,stroke:#c62828,stroke-width:3px style 收获阶段 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:3px style 影响阶段 fill:#ffcdd2,stroke:#b71c1c,stroke-width:3px

AISOC 应对策略:

阶段 阶段名称 关键行动 AISOC 检测能力
1 侦察 收集目标信息 威胁情报关联分析
2 资源准备 准备攻击工具 IOC 检测/域名监控
3 初始入口 获得第一个据点 边界防护/邮件安全
4 执行 运行恶意代码 行为检测/EDR
5 持久化 保持控制权限 权限监控/配置监控
6 权限提升 获取更高权限 异常行为检测
7 防御规避 躲避安全检测 多维度分析
8 凭证访问 窃取账号密码 认证监控
9 横向探测 发现新目标 网络分割监控
10 横向移动 内部扩散 行为分析
11 数据收集 收集敏感信息 DLP 监控
12 数据外泄 数据传出 流量监控
13 影响破坏 加密/破坏 应急响应/备份恢复

因果图(Knowledge Graph)

graph TB subgraph 核心节点 direction TB G1["攻击者\nThreat Actor\nAPT-41/ Lazarus/ 勒索团伙"] G2["攻击手法\nTTP\nT1190/ T1059/ T1078"] G3["漏洞\nVulnerability\nCVE-2021-44228/ 零日"] G4["资产\nAsset\n服务器/ 数据库/ 终端"] G5["业务\nBusiness\n核心业务/ 支撑系统"] end subgraph 关系边 direction TB E1["uses\n使用"] E2["exploits\n利用"] E3["affects\n影响"] E4["belongs_to\n属于"] end subgraph 图谱能力 direction TB C1["攻击路径推断\n从入口到目标"] C2["影响范围分析\n横向传播路径"] C3["风险传播评估\n损失量化"] C4["防御策略推荐\n最优处置方案"] end G1 -->|uses| E1 E1 -->|exploits| G2 G2 -->|exploits| E2 E2 -->|affects| G3 G3 -->|affects| E3 E3 -->|belongs_to| G4 G4 -->|belongs_to| E4 E4 -->|belongs_to| G5 G2 --> C1 G4 --> C2 C1 --> C3 C3 --> C4 style G1 fill:#fce4ec,stroke:#c62828,stroke-width:2px style G2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style G3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style G4 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style G5 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px style E1 fill:#fff,stroke:#c62828,stroke-width:2px style E2 fill:#fff,stroke:#e65100,stroke-width:2px style E3 fill:#fff,stroke:#2e7d32,stroke-width:2px style E4 fill:#fff,stroke:#1565c0,stroke-width:2px style C1 fill:#fff,stroke:#e65100,stroke-width:2px style C2 fill:#fff,stroke:#1565c0,stroke-width:2px style C3 fill:#fff,stroke:#c62828,stroke-width:2px style C4 fill:#fff,stroke:#2e7d32,stroke-width:2px

因果图核心关系:

关系类型 描述 示例
uses 攻击者使用手法 APT-41 使用 T1190.001(漏洞利用)
exploits 手法利用漏洞 SQL注入 利用 CVE-2021-44228(Log4j)
affects 漏洞影响资产 Log4j 影响 Web 服务器集群

07. Agent 协作机制

07.1 Agent 类型划分

graph LR subgraph Agent类型 direction LR A1["感知 Agent\n异常检测"] A2["认知 Agent\n上下文补全"] A3["推理 Agent\n因果推理"] A4["决策 Agent\n策略生成"] A5["执行 Agent\n自动响应"] A6["学习 Agent\n知识沉淀"] A1 --> A2 --> A3 --> A4 --> A5 --> A6 A6 -.->|持续优化| A1 A6 -.->|知识积累| A2 end style A1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style A2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style A3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style A4 fill:#fce4ec,stroke:#c62828,stroke-width:2px style A5 fill:#e1f5fe,stroke:#01579b,stroke-width:2px style A6 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px
Agent 核心能力 输入 输出
感知 Agent 异常检测 全域数据流 异常事件
认知 Agent 上下文补全 异常事件 + 知识网络 攻击上下文
推理 Agent 因果推理 攻击上下文 攻击链 + 置信度
决策 Agent 策略生成 攻击链 + 风险评估 处置方案
执行 Agent 自动响应 处置方案 执行结果
学习 Agent 知识沉淀 执行结果 + 案例 更新的知识网络

07.2 Orchestrator 调度机制

graph LR subgraph 调度流程 direction LR O1["用户/系统\n触发事件"] O2["Orchestrator\n编排器"] O3["感知 Agent\n事件检测"] O4["认知 Agent\n上下文补全"] O5["推理 Agent\n攻击链推理"] O6["决策 Agent\n处置策略"] O7["执行 Agent\n分发执行"] O8["学习 Agent\n沉淀经验"] O1 --> O2 --> O3 --> O4 --> O5 --> O6 --> O7 --> O8 O8 -.->|反馈| O2 end style O1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style O2 fill:#fff3e0,stroke:#e65100,stroke-width:3px style O3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style O4 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style O5 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style O6 fill:#fce4ec,stroke:#c62828,stroke-width:2px style O7 fill:#e1f5fe,stroke:#01579b,stroke-width:2px style O8 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px

Orchestrator 核心职责:

  • 事件分发与路由:根据事件类型和Agent负载,智能分发任务到合适的Agent
  • Agent 协作编排:协调多个Agent之间的协作流程,确保任务有序执行
  • 结果汇总与反馈:收集各Agent的执行结果,统一汇总后反馈给上游
  • 异常处理与重试:当某个Agent执行失败时,自动重试或切换到备用Agent

07.3 多 Agent 协同流程

graph LR subgraph 协同流程 direction LR C1["事件触发\n感知 Agent 发现异常"] C2["协作分发\nOrchestrator 协调"] C3["上下文共享\n认知 Agent 提供背景"] C4["联合推理\n多推理 Agent 协同"] C5["策略共识\n决策 Agent 投票加权"] C6["执行协调\n按依赖顺序执行"] C7["经验回流\n学习 Agent 汇总"] C1 --> C2 --> C3 --> C4 --> C5 --> C6 --> C7 C7 -.->|持续优化| C1 end style C1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style C2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style C3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style C4 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style C5 fill:#fce4ec,stroke:#c62828,stroke-width:2px style C6 fill:#e1f5fe,stroke:#01579b,stroke-width:2px style C7 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px

协同流程说明:

  1. 事件触发 — 感知 Agent 发现异常事件,启动协作链
  2. 协作分发 — Orchestrator 根据事件类型分发给合适的 Agent
  3. 上下文共享 — 认知 Agent 提供攻击背景、资产信息、用户上下文
  4. 联合推理 — 多个推理 Agent 并行分析,从不同角度推理攻击链
  5. 策略共识 — 决策 Agent 通过投票或加权方式生成最优处置策略
  6. 执行协调 — 执行 Agent 按依赖关系顺序执行,确保安全操作顺序
  7. 经验回流 — 学习 Agent 汇总协作过程中的经验,更新知识网络

核心特点:

  • 并行处理:多个推理 Agent 可同时分析,缩短响应时间
  • 上下文共享:避免重复工作,提高推理效率
  • 策略共识:多决策源融合,降低单一决策风险
  • 持续优化:每次协作结果反馈到学习 Agent,形成进化闭环

07.4 工具调用与外部系统集成

graph TB subgraph 工具集成 direction TB T1["安全数据\nSIEM/EDR/WAF"] T2["威胁情报\nVT/OTX"] T3["身份管理\nIAM/AD"] T4["资产管理\nCMDB/漏洞扫描"] T5["响应执行\n防火墙/SOAR"] T6["知识管理\n知识图谱/LLM"] end subgraph Agent映射 direction TB A1["感知 Agent"] A2["推理 Agent"] A3["认知 Agent"] A4["认知 Agent"] A5["执行 Agent"] A6["学习 Agent"] end T1 --> A1 T2 --> A2 T3 --> A3 T4 --> A4 T5 --> A5 T6 --> A6 style T1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style T2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style T3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style T4 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style T5 fill:#fce4ec,stroke:#c62828,stroke-width:2px style T6 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px style A1 fill:#fff,stroke:#1565c0 style A2 fill:#fff,stroke:#e65100 style A3 fill:#fff,stroke:#2e7d32 style A4 fill:#fff,stroke:#2e7d32 style A5 fill:#fff,stroke:#c62828 style A6 fill:#fff,stroke:#7b1fa2
工具类型 代表工具 Agent 用途
安全数据 SIEM、EDR、WAF 感知 Agent 数据源
威胁情报 VT、AlienVault OTX 推理 Agent 上下文
身份管理 IAM、AD 认知 Agent 用户上下文
资产管理 CMDB、漏洞扫描器 认知 Agent 资产上下文
响应执行 防火墙、EDR、SOAR 执行 Agent 执行能力
知识管理 知识图谱、LLM 学习 Agent 知识沉淀

08. 事件到攻击链路分析

08.1 安全事件建模

graph LR subgraph 安全事件模型 direction LR E1["事件ID\nEVT-2026-0531-001"] E2["时间戳\n2026-05-31T10:00:00Z"] E3["类型\nnetwork_connection"] E4["严重度\nhigh"] end subgraph 主体信息 direction LR A1["Actor\nIP/用户/资产"] A2["Target\n目标IP/端口/服务"] end subgraph 证据与链路 direction LR Ev["Evidence\n异常连接/端口/历史行为"] K["Kill Chain\nT1190/T1059/T1078"] end E1 --> E2 --> E3 --> E4 E4 --> A1 A1 --> Ev Ev --> K style E1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style E2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style E3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style E4 fill:#fce4ec,stroke:#c62828,stroke-width:2px style A1 fill:#e1f5fe,stroke:#01579b,stroke-width:2px style A2 fill:#e1f5fe,stroke:#01579b,stroke-width:2px style Ev fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px style K fill:#ffcdd2,stroke:#b71c1c,stroke-width:2px

事件字段说明:

字段 说明 示例
event.id 事件唯一标识 EVT-2026-0531-001
event.type 事件类型 network_connection、file_access
event.severity 严重程度 high、medium、low
actor 行为主体信息 IP、用户、资产ID
target 目标信息 目标IP、端口、服务
evidence 证据列表 异常特征、历史行为
linked_killchain 关联的 ATT&CK 技术 T1190、T1059、T1078

08.2 攻击链重建

graph LR subgraph 攻击链重建流程 direction LR R1["原始事件\n异常连接/非工作时间"] R2["上下文富化\n主机分组/历史标记"] R3["时间线扩展\n攻击步骤时序"] R4["ATT\u0026CK映射\n战术技术映射"] R5["攻击链输出\n完整链路+置信度"] end subgraph 时间线示例 direction LR T1["09:00\n钓鱼邮件投递"] T2["09:15\n恶意宏执行"] T3["09:30\n创建后门账户"] T4["10:00\n尝试横向移动"] end R1 --> R2 --> R3 --> R4 --> R5 R3 --> T1 --> T2 --> T3 --> T4 style R1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style R2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style R3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style R4 fill:#fce4ec,stroke:#c62828,stroke-width:2px style R5 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px style T1 fill:#fff,stroke:#1565c0 style T2 fill:#fff,stroke:#1565c0 style T3 fill:#fff,stroke:#1565c0 style T4 fill:#fff,stroke:#1565c0

ATT&CK 映射示例:

阶段 技术 战术
09:00 T1566.001(钓鱼邮件) Initial Access
09:15 T1059.001(PowerShell) Execution
09:30 T1078.004(账户创建) Persistence
10:00 T1021(远程桌面) Lateral Movement

08.3 因果推理机制

graph TB subgraph 因果推理方法 direction TB C1["时序因果\n同一主体+时序相邻=因果关系"] C2["拓扑因果\n同网段/同业务=传播关系"] C3["实体因果\n用户→资产→数据=归属关系"] C4["图推理\nGNN学习正常图结构"] end subgraph 应用场景 direction TB A1["攻击步骤还原"] A2["横向移动识别"] A3["影响范围评估"] A4["隐蔽攻击发现"] end C1 --> A1 C2 --> A2 C3 --> A3 C4 --> A4 style C1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style C2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style C3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style C4 fill:#fce4ec,stroke:#c62828,stroke-width:2px style A1 fill:#fff,stroke:#1565c0 style A2 fill:#fff,stroke:#e65100 style A3 fill:#fff,stroke:#2e7d32 style A4 fill:#fff,stroke:#c62828
方法 说明 应用场景
时序因果 同一主体、时序相邻的事件具有因果关系 攻击步骤还原
拓扑因果 同网段/同业务的主机具有传播关系 横向移动识别
实体因果 用户→资产→数据具有归属关系 影响范围评估
图推理 GNN 学习正常图结构,识别异常子图 隐蔽攻击发现

08.4 风险传播分析

graph LR subgraph 风险传播 direction LR P1["攻击源\n钓鱼邮件→PC-001"] P2["传播路径1\nPC-001→SMB→SRV-FILE"] P3["传播路径2\nPC-001→RDP→DC-01"] P4["传播路径3\nDC-01→DB访问→DB-ORDER"] end subgraph 影响评估 direction LR L1["直接损失\nPC-001用户数据泄露"] L2["间接损失\nSRV-FILE文件被窃取"] L3["严重损失\nDB-ORDER订单数据风险"] end subgraph 风险报告 direction LR R["风险报告\n量化损失估算+隔离建议"] end P1 --> P2 --> P3 --> P4 P2 --> L1 P3 --> L2 P4 --> L3 L1 --> R L2 --> R L3 --> R style P1 fill:#fce4ec,stroke:#c62828,stroke-width:2px style P2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style P3 fill:#fff3e0,stroke:#e65100,stroke-width:2px style P4 fill:#fce4ec,stroke:#c62828,stroke-width:2px style L1 fill:#fff,stroke:#1565c0 style L2 fill:#fff,stroke:#1565c0 style L3 fill:#fff,stroke:#c62828 style R fill:#ffcdd2,stroke:#b71c1c,stroke-width:3px
graph LR subgraph 攻击源 direction LR A1["钓鱼邮件"] A2["PC-001\n员工主机"] end subgraph 传播路径 direction LR P1["SMB共享"] P2["RDP\n远程桌面"] P3["数据库访问"] end subgraph 目标资产 direction LR T1["SRV-FILE-01\n文件服务器"] T2["DC-01\n域控制器"] T3["DB-ORDER\n核心数据库"] end subgraph 影响评估 direction LR L1["用户数据泄露"] L2["文件被窃取"] L3["订单数据风险"] end A1 --> A2 A2 -->|SMB| P1 --> T1 A2 -->|RDP| P2 --> T2 P2 -->|DB访问| P3 --> T3 T1 --> L1 T2 --> L2 T3 --> L3 style A1 fill:#fce4ec,stroke:#c62828,stroke-width:2px style A2 fill:#fce4ec,stroke:#c62828,stroke-width:2px style P1 fill:#fff3e0,stroke:#e65100,stroke-width:2px style P2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style P3 fill:#fff3e0,stroke:#e65100,stroke-width:2px style T1 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style T2 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style T3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style L1 fill:#ffcdd2,stroke:#b71c1c style L2 fill:#ffcdd2,stroke:#b71c1c style L3 fill:#ffcdd2,stroke:#b71c1c

传播路径说明:

  1. 攻击入口 — 钓鱼邮件投递到员工主机(PC-001)
  2. 横向传播 — PC-001 通过 SMB/RDP/数据库访问向其他资产扩散
  3. 目标资产 — 文件服务器、域控制器、核心数据库
  4. 影响评估 — 数据泄露、文件丢失、数据篡改风险

09. 自动化响应体系(SOAR 增强)

AISOC 的自动化响应体系在传统 SOAR 基础上,增加了 AI 驱动的智能决策和自适应学习能力,实现从检测到响应的全流程自动化。

09.1 响应策略模型

graph LR subgraph 响应策略层级 direction LR L1["自动执行\n低风险操作\n无人工干预"] L2["人工审批\n中风险操作\n确认后执行"] L3["升级通知\n高风险事件\n人工介入"] end subgraph 响应类型 direction LR S1["自动封禁\n恶意IP/域名"] S2["自动隔离\n失陷主机/账号"] S3["人工审批\n高危操作"] S4["升级通知\n重大事件"] end L1 --> S1 L1 --> S2 L2 --> S3 L3 --> S4 style L1 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style L2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style L3 fill:#fce4ec,stroke:#c62828,stroke-width:2px style S1 fill:#e8f5e9,stroke:#2e7d32 style S2 fill:#e8f5e9,stroke:#2e7d32 style S3 fill:#fce4ec,stroke:#c62828 style S4 fill:#fce4ec,stroke:#c62828
策略类型 触发条件 响应方式 执行方式 风险等级
自动封禁 确认恶意 IP/域名 防火墙 ACL 封禁 无需审批
自动隔离 确认失陷主机 EDR 网络隔离 无需审批
自动禁用 确认账号泄露 IAM API 禁用 无需审批
人工审批 高影响/高风险事件 SOAR 工单审批 审批通过执行
升级通知 重大安全事件 实时通知+值班升级 即时通知

策略决策树:

graph TB D1["事件确认"] D2{"风险等级?"} D3["自动执行"] D4{"操作可逆?"} D5["人工审批"] D6["升级通知"] D7["执行并记录"] D8["回滚准备"] D1 --> D2 D2 -->|"低风险"| D3 D3 --> D4 D4 -->|"是"| D7 D4 -->|"否"| D5 D2 -->|"中风险"| D5 D2 -->|"高风险"| D6 D5 --> D7 D7 --> D8 style D1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style D2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style D3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style D5 fill:#fce4ec,stroke:#c62828,stroke-width:2px style D6 fill:#fce4ec,stroke:#c62828,stroke-width:2px style D7 fill:#e1f5fe,stroke:#01579b,stroke-width:2px style D8 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px

09.2 剧本编排机制

剧本核心要素:

  1. 触发条件 — 事件类型 + 置信度阈值 + 时间窗口
  2. 步骤编排 — 顺序执行、条件分支、循环处理
  3. 目标指定 — 变量模板、上下文引用、动态解析
  4. 结果反馈 — 执行状态、日志记录、告警通知
graph LR subgraph 剧本生命周期 direction LR P1["创建\n定义剧本"] P2["测试\n验证逻辑"] P3["部署\n上线运行"] P4["执行\n自动触发"] P5["优化\n持续改进"] end P1 --> P2 --> P3 --> P4 --> P5 P5 -.->|反馈| P1 style P1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style P2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style P3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style P4 fill:#fce4ec,stroke:#c62828,stroke-width:2px style P5 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px

常见剧本类型:

剧本类型 触发场景 核心步骤
勒索软件响应 检测到勒索软件特征 主机隔离→账号禁用→快照取证→通知团队→创建工单
钓鱼邮件处置 钓鱼邮件报告/检测 邮件分析→链接封锁→账号检查→用户通知→IOC提取
失陷主机处置 主机存在恶意行为 网络隔离→进程终止→账号排查→痕迹提取→修复验证
数据外泄响应 异常数据外传 流量封锁→会话终止→取证分析→影响评估→报告生成

剧本示例:勒索软件响应

graph LR subgraph 触发条件 direction LR T1["勒索软件指标检测"] T2["置信度 >= 0.8"] T3["触发剧本"] end subgraph 执行步骤 direction LR S1["1.隔离主机"] S2["2.禁用账号"] S3["3.备份取证"] S4["4.通知团队"] S5["5.创建工单"] S6["6.阻止横向移动"] end subgraph 响应目标 direction LR R1["防止扩散"] R2["保留证据"] R3["快速恢复"] end T1 --> T2 --> T3 T3 --> S1 --> S2 --> S3 --> S4 --> S5 --> S6 S1 --> R1 S3 --> R2 S6 --> R3 style T1 fill:#fce4ec,stroke:#c62828,stroke-width:2px style T2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style T3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style S1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style S2 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style S3 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style S4 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style S5 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style S6 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style R1 fill:#fff,stroke:#c62828 style R2 fill:#fff,stroke:#1565c0 style R3 fill:#fff,stroke:#2e7d32

剧本配置:

playbook: ransomware_response
name: 勒索软件自动化响应剧本
version: 1.0
trigger:
  condition: >
    event_type == "ransomware_indicators" AND 
    confidence >= 0.8
  description: "当检测到勒索软件特征且置信度≥0.8时触发"

steps:
  - name: 隔离主机
    action: network_isolation
    target: "{{affected_asset}}"
    timeout: 60s
    retry: 2
    
  - name: 禁用账号
    action: disable_account
    target: "{{compromised_user}}"
    condition: exists(compromised_user)
    timeout: 30s
    
  - name: 备份取证
    action: forensics_snapshot
    target: "{{affected_asset}}"
    timeout: 120s
    
  - name: 通知安全团队
    action: send_notification
    channel: slack
    message: >
      勒索软件告警
      主机: {{affected_asset}}
      时间: {{event_timestamp}}
      已自动隔离
    priority: critical
    
  - name: 创建工单
    action: create_ticket
    system: itsm
    title: "勒索软件事件 - {{affected_asset}}"
    priority: P1
    assignee: security_oncall
    
  - name: 阻止横向移动
    action: block_lateral_movement
    target: "{{affected_asset}}"
    condition: confidence >= 0.95

步骤说明:

步骤 名称 动作 目标 超时 重试
1 隔离主机 network_isolation {{affected_asset}} 60s 2
2 禁用账号 disable_account {{compromised_user}} 30s -
3 备份取证 forensics_snapshot {{affected_asset}} 120s -
4 通知团队 send_notification security_oncall - -
5 创建工单 create_ticket itsm - -
6 阻止横向移动 block_lateral_movement {{affected_asset}} 30s 1

响应目标:

  1. 防止扩散 — 网络隔离 + 账号禁用,切断横向移动路径
  2. 保留证据 — 取证快照,为后续溯源和法律取证提供支持
  3. 快速恢复 — 创建工单,触发应急响应流程,缩短恢复时间

09.3 自动执行链路

graph LR subgraph 主链路["执行链路"] direction LR E1["决策 Agent\n输出处置方案"] E2["剧本引擎\n解析生成计划"] E3["节点分发\nAPI调用"] E4["执行验证\n状态确认"] E5["结果写入\n知识网络"] E6["学习沉淀\n经验积累"] end subgraph 安全节点["安全执行节点"] direction LR N1["防火墙\nACL管理"] N2["EDR\n终端隔离"] N3["IAM\n账号管理"] end subgraph 日志节点["日志与工单"] direction LR N4["SIEM\n日志记录"] N5["SOAR\n工单管理"] end subgraph 结果["执行结果"] direction LR R1["成功\n完成响应"] R2["失败\n重试/回滚"] R3["超时\n人工介入"] end E1 --> E2 --> E3 --> E4 --> E5 --> E6 E3 --> N1 & N2 & N3 E2 --> N4 & N5 E4 --> R1 & R2 & R3 style E1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style E2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style E3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style E4 fill:#fce4ec,stroke:#c62828,stroke-width:2px style E5 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px style E6 fill:#e1f5fe,stroke:#01579b,stroke-width:2px style 主链路 fill:#fff,stroke:#1565c0,stroke-width:3px style 安全节点 fill:#fff,stroke:#e65100,stroke-width:2px style 日志节点 fill:#fff,stroke:#7b1fa2,stroke-width:2px style 结果 fill:#fff,stroke:#2e7d32,stroke-width:2px style N1 fill:#fff,stroke:#1565c0 style N2 fill:#fff,stroke:#e65100 style N3 fill:#fff,stroke:#2e7d32 style N4 fill:#fff,stroke:#7b1fa2 style N5 fill:#fff,stroke:#c62828 style R1 fill:#e8f5e9,stroke:#2e7d32 style R2 fill:#fff3e0,stroke:#e65100 style R3 fill:#fce4ec,stroke:#c62828

执行节点详解:

节点类型 执行能力 典型 API
防火墙 ACL 规则添加/删除 NetScaler API、FortiGate API
EDR 终端隔离、进程终止 CrowdStrike API、Carbon Black API
IAM 账号禁用、会话终止 Azure AD API、Okta API
SIEM 日志写入、事件关联 Splunk API、Elastic API
SOAR 工单创建、审批流程 ServiceNow API、Jira API

执行状态机:

graph LR subgraph 执行状态 direction LR S1["待执行"] S2["执行中"] S3["成功"] S4["失败"] S5["超时"] S6["回滚中"] S7["已回滚"] end S1 -->|"开始"| S2 S2 -->|"完成"| S3 S2 -->|"失败"| S4 S2 -->|"超时"| S5 S4 -->|"重试"| S2 S4 -->|"回滚"| S6 S5 -->|"人工介入"| S6 S6 -->|"完成"| S7 style S1 fill:#e3f2fd,stroke:#1565c0 style S2 fill:#fff3e0,stroke:#e65100,stroke-width:3px style S3 fill:#e8f5e9,stroke:#2e7d32 style S4 fill:#fce4ec,stroke:#c62828 style S5 fill:#fce4ec,stroke:#c62828 style S6 fill:#fff3e0,stroke:#e65100,stroke-width:2px style S7 fill:#e1f5fe,stroke:#01579b

09.4 响应安全与回滚机制

graph LR subgraph 安全机制层级 direction LR L1["预防\n执行前验证"] L2["监控\n执行中保护"] L3["恢复\n执行后回滚"] end subgraph 核心机制 direction LR M1["执行审批\n二次确认"] M2["回滚机制\n状态快照"] M3["执行日志\n完整审计"] M4["超时保护\n自动中止"] M5["限流保护\n防误操作"] M6["灰度执行\n先小后大"] end L1 --> M1 & M6 L2 --> M3 & M4 & M5 L3 --> M2 style L1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style L2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style L3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style M1 fill:#fff,stroke:#1565c0 style M2 fill:#fff,stroke:#e65100 style M3 fill:#fff,stroke:#2e7d32 style M4 fill:#fff,stroke:#c62828 style M5 fill:#fff,stroke:#7b1fa2 style M6 fill:#fff,stroke:#01579b

回滚机制详解:

机制 说明 实现方式
执行审批 高风险操作(删除、隔离)需要二次确认 短信/邮件/工单审批
回滚机制 执行操作前保存系统状态,支持自动回滚 配置快照、内存镜像
执行日志 完整记录所有操作,支持审计追溯 操作录像、命令日志
超时保护 执行超时自动中止并告警 任务超时监控
限流保护 防止误操作导致的频繁封禁 操作频率限制
灰度执行 先小范围验证,成功后全量执行 渐进式发布

回滚流程:

graph LR subgraph 回滚流程 direction LR R1["执行前\n保存状态"] R2["执行中\n监控状态"] R3{"异常检测?"} R4["执行回滚\n恢复快照"] R5["结果验证\n确认恢复"] R6["告警通知\n人工介入"] end R1 --> R2 --> R3 R3 -->|"正常"| R2 R3 -->|"异常"| R4 --> R5 --> R6 style R1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style R2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style R3 fill:#fff,stroke:#e65100,stroke-width:3px style R4 fill:#fce4ec,stroke:#c62828,stroke-width:2px style R5 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style R6 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px

09.5 AISOC 与传统 SOAR 对比

维度 传统 SOAR AISOC
决策方式 规则驱动,人工配置 AI 驱动,自主学习
响应速度 分钟级(规则匹配) 秒级(智能决策)
适应能力 需人工更新规则 自动学习新威胁
误报率 较高(规则僵化) 低(AI 智能研判)
扩展性 线性扩展 弹性扩展
成本 人力持续投入 边际成本递减

10. 知识沉淀与持续学习

10.1 安全知识图谱更新机制

graph LR subgraph 更新类型 direction LR U1["增量更新\n新攻击手法发现"] U2["关联更新\n新攻击案例"] U3["纠正更新\n误报事件"] U4["淘汰更新\n过时情报"] end subgraph 更新内容 direction LR C1["新增 ATT\u0026CK TTP 节点"] C2["补充攻击链关系"] C3["修正错误实体关系"] C4["标记过期节点"] end U1 --> C1 U2 --> C2 U3 --> C3 U4 --> C4 style U1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style U2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style U3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style U4 fill:#fce4ec,stroke:#c62828,stroke-width:2px style C1 fill:#fff,stroke:#1565c0 style C2 fill:#fff,stroke:#e65100 style C3 fill:#fff,stroke:#2e7d32 style C4 fill:#fff,stroke:#c62828
更新类型 触发条件 更新内容
增量更新 新攻击手法发现 新增 ATT&CK TTP 节点
关联更新 新攻击案例 补充攻击链关系
纠正更新 误报事件 修正错误实体关系
淘汰更新 过时情报 标记过期节点

10.2 攻击模式归纳

graph LR subgraph 原始案例 direction LR O1["钓鱼邮件获取凭证"] O2["登录 VPN 进入内网"] O3["内网扫描发现文件服务器"] O4["SMB 横向移动"] O5["窃取机密文件"] end subgraph ATTCK映射 direction LR A1["T1566.001\n钓鱼邮件"] A2["T1078.004\n账号利用"] A3["T1046\n网络发现"] A4["T1021.002\nSMB横向移动"] A5["T1005\n数据收集"] end subgraph 知识沉淀 direction LR K1["新增攻击模式节点"] K2["3 条关系边"] end O1 --> O2 --> O3 --> O4 --> O5 O1 --> A1 O2 --> A2 O3 --> A3 O4 --> A4 O5 --> A5 A1 --> K1 A4 --> K2 style O1 fill:#fff,stroke:#c62828 style O2 fill:#fff,stroke:#e65100 style O3 fill:#fff,stroke:#2e7d32 style O4 fill:#fff,stroke:#1565c0 style O5 fill:#fff,stroke:#7b1fa2 style A1 fill:#ffcdd2,stroke:#c62828 style A2 fill:#ffcdd2,stroke:#c62828 style A3 fill:#ffcdd2,stroke:#c62828 style A4 fill:#ffcdd2,stroke:#c62828 style A5 fill:#ffcdd2,stroke:#c62828 style K1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style K2 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px

攻击模式示例:

步骤 原始行为 ATT&CK 技术
1 钓鱼邮件获取员工凭证 T1566.001(钓鱼邮件)
2 使用凭证登录 VPN T1078.004(账号利用)
3 内网扫描发现文件服务器 T1046(网络发现)
4 使用 SMB 横向移动 T1021.002(SMB横向移动)
5 窃取机密文件 T1005(数据从系统收集)

10.3 策略优化与反馈学习

graph LR subgraph 学习闭环 direction LR L1["事件处置结果"] L2["评估决策质量"] L3["更新模型参数"] L4["优化策略规则"] L5["下一次决策质量提升"] end subgraph 评估维度 direction LR E1["策略有效性"] E2["响应时机"] E3["资源利用率"] end L1 --> L2 L2 --> E1 L2 --> E2 L2 --> E3 E1 --> L3 E2 --> L3 E3 --> L3 L3 --> L4 --> L5 L5 -.->|闭环| L1 style L1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style L2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style L3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style L4 fill:#fce4ec,stroke:#c62828,stroke-width:2px style L5 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px style E1 fill:#fff,stroke:#1565c0 style E2 fill:#fff,stroke:#e65100 style E3 fill:#fff,stroke:#2e7d32

10.4 组织级安全记忆体系

graph TB subgraph 组织安全记忆 direction TB M1["案例库\n历史事件处置过程"] M2["手法库\n已发现攻击手法TTP"] M3["剧本库\n成熟处置剧本"] M4["知识库\n安全领域专业知识"] M5["模型库\n检测/预测模型"] end subgraph 应用场景 direction TB A1["相似事件参考"] A2["检测规则生成"] A3["自动化响应"] A4["AI 推理辅助"] A5["实时检测"] end M1 --> A1 M2 --> A2 M3 --> A3 M4 --> A4 M5 --> A5 style M1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style M2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style M3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style M4 fill:#fce4ec,stroke:#c62828,stroke-width:2px style M5 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px style A1 fill:#fff,stroke:#1565c0 style A2 fill:#fff,stroke:#e65100 style A3 fill:#fff,stroke:#2e7d32 style A4 fill:#fff,stroke:#c62828 style A5 fill:#fff,stroke:#7b1fa2
层级 内容 应用场景
案例库 历史安全事件及处置过程 相似事件参考
手法库 已发现的攻击手法 TTP 检测规则生成
剧本库 成熟的处置剧本 自动化响应
知识库 安全领域常识和专业知识 AI 推理辅助
模型库 训练好的检测/预测模型 实时检测

11. 关键指标体系(SLO / KPI)

11.1 发现效率指标(MTTD)

graph LR subgraph MTTD["MTTD 发现效率"] direction LR A1["攻击发生"] A2["系统发现"] A3["MTTD\n< 1 分钟"] end A1 --> A2 --> A3 style A1 fill:#fce4ec,stroke:#c62828,stroke-width:2px style A2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style A3 fill:#e3f2fd,stroke:#1565c0,stroke-width:3px
指标 全称 定义 目标
MTTD Mean Time To Detect 从攻击发生到系统发现的时间 < 1 分钟

计算方式: 所有已确认攻击事件的发现时间平均值


11.2 研判效率指标(MTTI)

graph LR subgraph MTTI["MTTI 研判效率"] direction LR B1["系统发现"] B2["事件定性\nAI+分析师"] B3["MTTI\n< 5 分钟"] end B1 --> B2 --> B3 style B1 fill:#fff3e0,stroke:#e65100,stroke-width:2px style B2 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style B3 fill:#e3f2fd,stroke:#1565c0,stroke-width:3px
指标 全称 定义 目标
MTTI Mean Time To Investigate 从发现到完成事件定性分析的时间 < 5 分钟

计算方式: AI 自动研判 + 分析师复核的综合时间


11.3 响应效率指标(MTTR)

graph LR subgraph MTTR["MTTR 响应效率"] direction LR C1["确认事件"] C2["响应处置\n自动+人工"] C3["MTTR\n< 10 分钟"] end C1 --> C2 --> C3 style C1 fill:#fce4ec,stroke:#c62828,stroke-width:2px style C2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style C3 fill:#e3f2fd,stroke:#1565c0,stroke-width:3px
指标 全称 定义 目标
MTTR Mean Time To Respond 从确认事件到完成响应的处置时间 < 10 分钟

计算方式: 包含自动响应和人工审批的端到端时间


11.4 闭环效率指标(MTTC)

graph LR subgraph MTTC["MTTC 闭环效率"] direction LR D1["发现"] D2["处置"] D3["复盘报告"] D4["经验沉淀"] D5["MTTC\n< 30 分钟"] end D1 --> D2 --> D3 --> D4 --> D5 style D1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style D2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style D3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style D4 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px style D5 fill:#e3f2fd,stroke:#1565c0,stroke-width:3px
指标 全称 定义 目标
MTTC Mean Time To Close 从发现到事件完全关闭的时间 < 30 分钟

计算方式: 包括事后复盘、处置报告、经验沉淀


11.5 学习时延指标(TTL)

graph LR subgraph TTL["TTL 学习时延"] direction LR E1["新攻击出现"] E2["知识学习\n模型更新"] E3["实时检测\n能力上线"] end E1 --> E2 --> E3 E3 -.->|持续| E2 style E1 fill:#fce4ec,stroke:#c62828,stroke-width:2px style E2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style E3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px
指标 全称 定义 目标
TTL Time To Learning 从新攻击出现到系统学会检测的时间 实时

计算方式: 知识网络从新案例中学习并更新模型的时间


11.6 指标体系全景

graph LR subgraph 安全运营全流程 direction LR F1["MTTD\n发现"] F2["MTTI\n研判"] F3["MTTR\n响应"] F4["MTTC\n闭环"] F5["TTL\n学习"] end F1 --> F2 --> F3 --> F4 --> F5 F5 -.->|进化| F1 style F1 fill:#e3f2fd,stroke:#1565c0,stroke-width:3px style F2 fill:#e3f2fd,stroke:#1565c0,stroke-width:3px style F3 fill:#e3f2fd,stroke:#1565c0,stroke-width:3px style F4 fill:#e3f2fd,stroke:#1565c0,stroke-width:3px style F5 fill:#e3f2fd,stroke:#1565c0,stroke-width:3px
指标 阶段 目标 说明
MTTD 发现 < 1 分钟 从攻击发生到系统发现
MTTI 研判 < 5 分钟 从发现到完成定性分析
MTTR 响应 < 10 分钟 从确认到完成响应处置
MTTC 闭环 < 30 分钟 从发现到事件完全关闭
TTL 学习 实时 新攻击到能力上线

12. 价值体系与商业化能力

12.1 安全运营效率提升

graph LR subgraph 效率对比 direction LR V1["传统 SOC\n1,000 告警/天"] V2["AISOC\n100,000+ 告警/天"] V3["提升 100x"] V1 --> V3 V2 --> V3 end subgraph 成本对比 direction LR C1["传统 SOC\n5人团队"] C2["AISOC\n1人监督"] C3["人力减少 80%"] C1 --> C3 C2 --> C3 end subgraph 响应对比 direction LR R1["传统 SOC\n30min"] R2["AISOC\n< 10min"] R3["响应加快 3x"] R1 --> R3 R2 --> R3 end style V1 fill:#fce4ec,stroke:#c62828,stroke-width:2px style V2 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style V3 fill:#e3f2fd,stroke:#1565c0,stroke-width:3px style C1 fill:#fce4ec,stroke:#c62828,stroke-width:2px style C2 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style C3 fill:#e3f2fd,stroke:#1565c0,stroke-width:3px style R1 fill:#fce4ec,stroke:#c62828,stroke-width:2px style R2 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style R3 fill:#e3f2fd,stroke:#1565c0,stroke-width:3px
维度 传统 SOC AISOC 提升
告警处理量 1,000/天 100,000+/天 100x
人力投入 5人 SOC团队 1人监督 -80%
响应时间 30min < 10min 3x

12.2 风险控制能力提升

graph LR subgraph 检测能力 direction LR D1["误报率"] D2["漏报率"] D3["检测覆盖率"] end subgraph 传统 SOC direction LR T1["70%+"] T2["30%+"] T3["60%"] end subgraph AISOC direction LR A1["< 10%"] A2["< 5%"] A3["95%+"] end D1 --> T1 & A1 D2 --> T2 & A2 D3 --> T3 & A3 style T1 fill:#fce4ec,stroke:#c62828,stroke-width:2px style T2 fill:#fce4ec,stroke:#c62828,stroke-width:2px style T3 fill:#fce4ec,stroke:#c62828,stroke-width:2px style A1 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style A2 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style A3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px
维度 传统 SOC AISOC
误报率 70%+ < 10%
漏报率 30%+ < 5%
检测覆盖率 60% 95%+

12.3 人力替代与扩展性

graph TB subgraph 扩展性对比 direction TB E1["传统 SOC\n线性扩展"] E2["增加人力\n成本线性增长"] E3["能力依赖个人"] end subgraph AISOC direction TB A1["AISOC\n弹性扩展"] A2["增加 Agent\n边际成本递减"] A3["能力标准化"] end E1 --> E2 --> E3 A1 --> A2 --> A3 style E1 fill:#fce4ec,stroke:#c62828,stroke-width:2px style E2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style E3 fill:#ffcdd2,stroke:#b71c1c,stroke-width:2px style A1 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style A2 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style A3 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px
维度 传统 SOC AISOC
扩展方式 增加人力(线性) 增加 Agent(弹性)
成本模型 人力成本线性增长 边际成本递减
能力一致性 依赖个人能力 能力标准化

12.4 企业安全能力资产化

graph LR subgraph 四大资产 direction LR K1["知识资产\n安全知识图谱"] K2["剧本资产\n可复用处置库"] K3["模型资产\n检测/预测模型"] K4["案例资产\n历史事件库"] end subgraph 价值转化 direction LR V1["数据收集"] V2["知识沉淀"] V3["能力复用"] V4["价值输出"] end K1 --> V1 K2 --> V2 K3 --> V3 K4 --> V4 style K1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style K2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style K3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style K4 fill:#fce4ec,stroke:#c62828,stroke-width:2px style V1 fill:#fff,stroke:#1565c0 style V2 fill:#fff,stroke:#e65100 style V3 fill:#fff,stroke:#2e7d32 style V4 fill:#fff,stroke:#c62828
资产类型 说明 价值
知识资产 安全知识图谱,组织级安全记忆 可传承、可复用
剧本资产 可复用的处置剧本库 标准化、可扩展
模型资产 检测模型、预测模型 持续优化、精度提升
案例资产 历史安全事件案例库 经验积累、风险预测

12.5 商业价值模型

graph LR subgraph 成本节约 direction LR C1["人力成本\n-80%"] C2["培训成本\n-60%"] C3["响应成本\n-70%"] end subgraph 效率提升 direction LR E1["处理量\n+100x"] E2["响应速度\n+3x"] E3["检测精度\n+95%"] end subgraph ROI direction LR R1["投资回报率\n> 300%"] R2["一年回本"] R3["持续增值"] end C1 & C2 & C3 --> R1 E1 & E2 & E3 --> R2 R1 --> R3 style C1 fill:#fce4ec,stroke:#c62828,stroke-width:2px style C2 fill:#fce4ec,stroke:#c62828,stroke-width:2px style C3 fill:#fce4ec,stroke:#c62828,stroke-width:2px style E1 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style E2 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style E3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style R1 fill:#e3f2fd,stroke:#1565c0,stroke-width:3px style R2 fill:#e3f2fd,stroke:#1565c0,stroke-width:3px style R3 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:3px
商业维度 价值说明
成本节约 人力成本减少 80%,培训成本减少 60%,响应成本减少 70%
效率提升 告警处理量提升 100 倍,响应速度提升 3 倍
精度提升 误报率降低至 10% 以下,漏报率降低至 5% 以下
投资回报 ROI 超过 300%,一年回本,持续增值

13. 总体总结与系统定义

13.1 AISOC 本质定义

AISOC(AI Security Operations Center) 是一种以 AI Agent 为核心执行单元、以 安全认知网络 为核心大脑、以 自动化响应 为核心行动能力、以 持续进化 为核心目标的新一代 AI 原生安全运营中心

graph LR subgraph AISOC核心 direction LR A1["AI Agent\n核心执行单元"] A2["安全认知网络\n核心大脑"] A3["自动化响应\n核心行动能力"] A4["持续进化\n核心目标"] end subgraph 输出 direction LR O1["攻击解释"] O2["风险判断"] O3["行动决策"] O4["执行结果"] end A1 --> O1 & O2 & O3 & O4 A2 --> O1 & O2 & O3 & O4 A3 --> O1 & O2 & O3 & O4 A4 --> O1 & O2 & O3 & O4 style A1 fill:#e3f2fd,stroke:#1565c0,stroke-width:3px style A2 fill:#fff3e0,stroke:#e65100,stroke-width:3px style A3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:3px style A4 fill:#fce4ec,stroke:#c62828,stroke-width:3px style O1 fill:#fff,stroke:#1565c0 style O2 fill:#fff,stroke:#1565c0 style O3 fill:#fff,stroke:#1565c0 style O4 fill:#fff,stroke:#1565c0

核心本质:

  • 不是把 AI 当工具用,而是让 AI Agent 成为安全运营的主体
  • 不是输出告警,而是输出攻击解释 + 风险判断 + 行动决策 + 执行结果
  • 不是一次分析,而是形成组织级安全记忆,持续进化

13.2 系统能力边界

graph TB subgraph 覆盖范围 direction TB C1["网络安全"] C2["主机安全"] C3["应用安全"] C4["数据安全"] C5["身份安全"] end subgraph 智能化水平 direction TB I1["感知\n自动检测"] I2["认知\n上下文理解"] I3["推理\n因果分析"] I4["决策\n策略生成"] I5["执行\n自动响应"] end subgraph 适用规模 direction TB S1["大型企业\n1000+ 终端"] S2["中型企业\n500-1000 终端"] end C1 & C2 & C3 & C4 & C5 --> I1 --> I2 --> I3 --> I4 --> I5 I5 --> S1 & S2 style C1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style C2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style C3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px style C4 fill:#fce4ec,stroke:#c62828,stroke-width:2px style C5 fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px style I1 fill:#fff,stroke:#1565c0 style I2 fill:#fff,stroke:#1565c0 style I3 fill:#fff,stroke:#1565c0 style I4 fill:#fff,stroke:#1565c0 style I5 fill:#fff,stroke:#1565c0,stroke-width:3px style S1 fill:#e3f2fd,stroke:#1565c0 style S2 fill:#e3f2fd,stroke:#1565c0
能力范围 说明
覆盖范围 网络安全、主机安全、应用安全、数据安全、身份安全
智能化水平 完全自主感知→认知→推理→决策,部分场景自动执行
适用规模 中大型企业(1000+ 终端)
集成能力 支持主流安全产品 API 集成

13.3 下一代安全系统演进方向

graph LR subgraph 演进阶段 direction LR E1["当前:AI 辅助\n安全分析师 + AI 工具"] E2["近期:AI Agent\nAI Agent 承担核心执行"] E3["远期:自主安全\n完全自主的 AI 安全运营"] end subgraph 特征 direction LR F1["辅助工具"] F2["核心执行"] F3["持续进化"] end subgraph 目标 direction LR G1["效率提升"] G2["成本降低"] G3["数字安全专家"] end E1 --> F1 --> G1 E2 --> F2 --> G2 E3 --> F3 --> G3 style E1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style E2 fill:#fff3e0,stroke:#e65100,stroke-width:2px style E3 fill:#e8f5e9,stroke:#2e7d32,stroke-width:3px style F1 fill:#fff,stroke:#1565c0 style F2 fill:#fff,stroke:#e65100 style F3 fill:#fff,stroke:#2e7d32,stroke-width:2px style G1 fill:#fff,stroke:#1565c0 style G2 fill:#fff,stroke:#e65100 style G3 fill:#fff,stroke:#2e7d32,stroke-width:2px

演进路径:

当前:AI 辅助安全运营
  → 安全分析师 + AI 工具协作

近期:AI Agent 安全运营
  → AI Agent 承担核心执行,分析师转型监督

远期:自主安全运营
  → 完全自主的 AI 安全运营中心
  → 持续自我优化、自我进化
  → 趋近"数字安全运营专家"目标

13.4 AISOC 价值矩阵

维度 用户价值 商业价值 技术价值
效率 告警处理量提升 100x ROI > 300% 自动化程度提升
效果 误报率 < 10%,漏报率 < 5% 客户满意度提升 检测精度提升
成本 人力成本减少 80% 边际成本递减 资源利用率提升
进化 持续学习新威胁 可持续竞争优势 技术领先性

13.5 总结

AISOC = AI Agent + 安全认知网络 + 自动化响应 + 持续进化

  • AI Agent:从辅助工具到核心执行单元
  • 安全认知网络:从数据到知识到智能
  • 自动化响应:从规则驱动到 AI 驱动
  • 持续进化:从被动响应到主动预防

下一步:Step 1 - 安全数据融合 →