模块 0 - 架构综述
核心定位: 以 AI Agent 为核心,构建具备自主感知、自主认知、自主推理、自主决策、自主执行与持续进化能力的智能安全运营体系。
1. 设计目标
1.1 时间目标
1分钟发现威胁 → 5分钟分析攻击链 → 10分钟处置响应
| 阶段 |
目标 |
AI 自主率 |
| 发现 |
1分钟内发现安全威胁 |
90% |
| 分析 |
5分钟内完成攻击链分析 |
85% |
| 处置 |
10分钟内完成响应处置 |
80% |
1.2 能力目标
| 能力维度 |
目标 |
说明 |
| 自主感知 |
自动化数据采集 + 实时汇聚 |
减少人工介入 |
| 自主认知 |
多模态理解 + 知识关联 |
深度理解安全上下文 |
| 自主推理 |
攻击链还原 + 因果推断 |
智能分析决策 |
| 自主执行 |
SOAR 自动化 + 多系统协同 |
自动处置响应 |
| 持续进化 |
案例学习 + 知识沉淀 |
越战越强 |
2. 整体架构
2.1 架构总览
graph TB
subgraph 数据层
D1["安全数据融合"]
end
subgraph 感知层
D2["安全事件感知"]
end
subgraph 认知层
D3["安全知识网络"]
D4["安全事件研判"]
end
subgraph 推理层
D5["攻击溯源分析"]
D6["安全影响评估"]
end
subgraph 执行层
D7["安全响应处置"]
end
subgraph 报告层
D8["安全态势报告"]
D9["安全知识沉淀"]
D10["安全智能助手"]
end
D1 --> D2 --> D3 --> D4
D4 --> D5 --> D6 --> D7
D7 --> D8 --> D9 --> D10
D9 -.-> D3
D10 -.-> D1
style D1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px
style D10 fill:#fff9c4,stroke:#f57f17,stroke-width:3px
2.2 数据流向
graph LR
I["原始数据\\n日志/流量/告警"] --> F["数据融合层"]
F --> P["感知层"]
P --> C["认知层"]
C --> R["推理层"]
R --> E["执行层"]
E --> O["报告层"]
O --> K["知识沉淀"]
K -.-> C
style I fill:#e3f2fd,stroke:#1565c0
style F fill:#e3f2fd,stroke:#1565c0
style P fill:#fff3e0,stroke:#e65100
style C fill:#fff3e0,stroke:#e65100
style R fill:#e8f5e9,stroke:#2e7d32
style E fill:#e8f5e9,stroke:#2e7d32
style O fill:#fce4ec,stroke:#c62828
style K fill:#fce4ec,stroke:#c62828
3. 十大功能模块
| 序号 |
功能模块 |
文档 |
核心能力 |
量化目标 |
| 01 |
数据融合 |
01-数据融合功能逻辑 |
标准化采集、实时汇聚、智能富化、弹性存储 |
数据完整性 > 99% |
| 02 |
事件感知 |
02-事件感知功能逻辑 |
多维感知网络、智能降噪引擎、上下文补全 |
误报率 < 5% |
| 03 |
知识网络 |
03-知识网络功能逻辑 |
知识获取引擎、知识表示模型、知识推理引擎 |
知识覆盖率 > 90% |
| 04 |
事件研判 |
04-事件研判功能逻辑 |
智能研判引擎、证据推理链、知识赋能 |
研判时间 < 5min |
| 05 |
攻击溯源 |
05-攻击溯源功能逻辑 |
攻击链还原、因果推理、溯源报告 |
还原率 > 95% |
| 06 |
影响评估 |
06-影响评估功能逻辑 |
多维影响建模、风险传播模型、动态评估 |
评估准确率 > 90% |
| 07 |
响应处置 |
07-响应处置功能逻辑 |
SOAR自动化编排、策略引擎决策、多系统协同 |
自动处置率 > 80% |
| 08 |
态势报告 |
08-态势报告功能逻辑 |
智能报告引擎、多维分析引擎、NLG生成 |
生成时间 < 5min |
| 09 |
知识沉淀 |
09-知识沉淀功能逻辑 |
知识抽取引擎、知识组织模型、知识服务引擎 |
沉淀周期实时 |
| 10 |
安全助手 |
10-安全助手功能逻辑 |
对话交互引擎、意图理解引擎、工具编排引擎 |
意图准确率 > 90% |
4. 技术架构
4.1 技术栈总览
| 层级 |
技术组件 |
作用 |
| 数据采集 |
OTEL、FileBeat、Kafka |
标准化采集、实时传输 |
| 流处理 |
Apache Flink |
实时计算、事件处理 |
| 批量处理 |
Apache Spark |
历史数据分析 |
| 知识图谱 |
Neo4j |
图存储、关系推理 |
| 向量检索 |
Milvus |
语义检索、相似度匹配 |
| AI 引擎 |
LLM + BERT + GNN |
语义理解、推理、学习 |
| Agent 框架 |
LangChain |
自主决策、执行编排 |
| 编排引擎 |
Temporal / Airflow |
工作流编排 |
| 安全集成 |
SOAR、SIEM、EDR |
响应、检测、联动 |
4.2 分层架构
graph TB
subgraph 应用层
A1["态势报告"]
A2["安全助手"]
A3["管理门户"]
end
subgraph 智能层
I1["研判引擎"]
I2["推理引擎"]
I3["知识引擎"]
end
subgraph 数据层
D1["实时流处理\\nFlink"]
D2["批量处理\\nSpark"]
D3["图存储\\nNeo4j"]
D4["向量存储\\nMilvus"]
end
subgraph 基础设施
F1["消息队列\\nKafka"]
F2["对象存储\\nS3"]
F3["时序存储\\nTimescaleDB"]
end
D1 & D2 --> I1 & I2 & I3
D3 & D4 --> I1 & I2 & I3
I1 & I2 & I3 --> A1 & A2 & A3
style A1 fill:#f3e5f5,stroke:#7b1fa2
style A2 fill:#f3e5f5,stroke:#7b1fa2
style A3 fill:#f3e5f5,stroke:#7b1fa2
style I1 fill:#fff9c4,stroke:#f57f17
style I2 fill:#fff9c4,stroke:#f57f17
style I3 fill:#fff9c4,stroke:#f57f17
style D1 fill:#e3f2fd,stroke:#1565c0
style F1 fill:#e3f2fd,stroke:#1565c0
5. 核心数据流
5.1 安全事件处理流程
sequenceDiagram
participant SO as 安全事件源
participant DF as 数据融合
participant EP as 事件感知
participant KN as 知识网络
participant EV as 事件研判
participant TR as 攻击溯源
participant IA as 影响评估
participant RD as 响应处置
participant RP as 态势报告
participant KD as 知识沉淀
SO->>DF: 原始事件
DF->>EP: 标准化数据
EP->>KN: 上下文请求
KN-->>EP: 关联知识
EP->>EV: 感知结果
EV->>TR: 研判结论
TR->>IA: 溯源结果
IA->>RD: 影响评估
RD->>RP: 处置结果
RP->>KD: 报告数据
KD->>KN: 沉淀知识
5.2 模块协作关系
| 源模块 |
目标模块 |
协作内容 |
| 数据融合 |
事件感知 |
提供标准化数据 |
| 事件感知 |
知识网络 |
查询上下文知识 |
| 知识网络 |
事件研判 |
提供知识赋能 |
| 事件研判 |
攻击溯源 |
输入研判结论 |
| 攻击溯源 |
影响评估 |
输出攻击链 |
| 影响评估 |
响应处置 |
输入影响范围 |
| 响应处置 |
态势报告 |
输入处置记录 |
| 态势报告 |
知识沉淀 |
输入报告数据 |
| 知识沉淀 |
知识网络 |
回填知识 |
| 安全助手 |
所有模块 |
统一交互入口 |
6. 量化指标体系
6.1 核心能力指标
| 能力域 |
指标 |
目标值 |
当前值 |
| 发现 |
MTTD(平均发现时间) |
< 1min |
30min |
| 分析 |
MTTI(平均分析时间) |
< 5min |
15min |
| 处置 |
MTTR(平均响应时间) |
< 10min |
30min |
| 研判 |
研判准确率 |
> 95% |
70% |
| 溯源 |
攻击链还原率 |
> 95% |
50% |
| 响应 |
自动处置率 |
> 80% |
20% |
6.2 性能指标
| 指标 |
目标值 |
说明 |
| 系统可用性 |
99.9% |
全年停机 < 8.76h |
| 事件处理延迟 |
P95 < 1s |
端到端延迟 |
| 并发处理能力 |
10,000 EPS |
事件/秒 |
| 知识检索延迟 |
P95 < 100ms |
查询响应 |
7. 技术选型原则
7.1 选型标准
| 标准 |
说明 |
权重 |
| 成熟度 |
开源社区活跃度、企业级应用案例 |
25% |
| 性能 |
吞吐量、延迟、扩展性 |
25% |
| 易用性 |
学习曲线、运维成本、文档完善度 |
20% |
| 生态 |
插件丰富度、集成成本 |
15% |
| 成本 |
许可成本、运维成本 |
15% |
7.2 关键技术对比
| 场景 |
选项A |
选项B |
推荐 |
| 流处理 |
Apache Flink |
Apache Spark Streaming |
Flink(低延迟) |
| 图存储 |
Neo4j |
Amazon Neptune |
Neo4j(成熟度) |
| 向量检索 |
Milvus |
Pinecone |
Milvus(开源) |
| 工作流编排 |
Temporal |
Airflow |
Temporal(云原生) |
| AI 框架 |
LangChain |
AutoGPT |
LangChain(生态) |
Last updated: 2026-06-01