0%

模块 00 · 架构综述

模块 0 - 架构综述

核心定位: 以 AI Agent 为核心,构建具备自主感知、自主认知、自主推理、自主决策、自主执行与持续进化能力的智能安全运营体系。


1. 设计目标

1.1 时间目标

1分钟发现威胁 → 5分钟分析攻击链 → 10分钟处置响应

阶段 目标 AI 自主率
发现 1分钟内发现安全威胁 90%
分析 5分钟内完成攻击链分析 85%
处置 10分钟内完成响应处置 80%

1.2 能力目标

能力维度 目标 说明
自主感知 自动化数据采集 + 实时汇聚 减少人工介入
自主认知 多模态理解 + 知识关联 深度理解安全上下文
自主推理 攻击链还原 + 因果推断 智能分析决策
自主执行 SOAR 自动化 + 多系统协同 自动处置响应
持续进化 案例学习 + 知识沉淀 越战越强

2. 整体架构

2.1 架构总览

graph TB subgraph 数据层 D1["安全数据融合"] end subgraph 感知层 D2["安全事件感知"] end subgraph 认知层 D3["安全知识网络"] D4["安全事件研判"] end subgraph 推理层 D5["攻击溯源分析"] D6["安全影响评估"] end subgraph 执行层 D7["安全响应处置"] end subgraph 报告层 D8["安全态势报告"] D9["安全知识沉淀"] D10["安全智能助手"] end D1 --> D2 --> D3 --> D4 D4 --> D5 --> D6 --> D7 D7 --> D8 --> D9 --> D10 D9 -.-> D3 D10 -.-> D1 style D1 fill:#e3f2fd,stroke:#1565c0,stroke-width:2px style D10 fill:#fff9c4,stroke:#f57f17,stroke-width:3px

2.2 数据流向

graph LR I["原始数据\\n日志/流量/告警"] --> F["数据融合层"] F --> P["感知层"] P --> C["认知层"] C --> R["推理层"] R --> E["执行层"] E --> O["报告层"] O --> K["知识沉淀"] K -.-> C style I fill:#e3f2fd,stroke:#1565c0 style F fill:#e3f2fd,stroke:#1565c0 style P fill:#fff3e0,stroke:#e65100 style C fill:#fff3e0,stroke:#e65100 style R fill:#e8f5e9,stroke:#2e7d32 style E fill:#e8f5e9,stroke:#2e7d32 style O fill:#fce4ec,stroke:#c62828 style K fill:#fce4ec,stroke:#c62828

3. 十大功能模块

序号 功能模块 文档 核心能力 量化目标
01 数据融合 01-数据融合功能逻辑 标准化采集、实时汇聚、智能富化、弹性存储 数据完整性 > 99%
02 事件感知 02-事件感知功能逻辑 多维感知网络、智能降噪引擎、上下文补全 误报率 < 5%
03 知识网络 03-知识网络功能逻辑 知识获取引擎、知识表示模型、知识推理引擎 知识覆盖率 > 90%
04 事件研判 04-事件研判功能逻辑 智能研判引擎、证据推理链、知识赋能 研判时间 < 5min
05 攻击溯源 05-攻击溯源功能逻辑 攻击链还原、因果推理、溯源报告 还原率 > 95%
06 影响评估 06-影响评估功能逻辑 多维影响建模、风险传播模型、动态评估 评估准确率 > 90%
07 响应处置 07-响应处置功能逻辑 SOAR自动化编排、策略引擎决策、多系统协同 自动处置率 > 80%
08 态势报告 08-态势报告功能逻辑 智能报告引擎、多维分析引擎、NLG生成 生成时间 < 5min
09 知识沉淀 09-知识沉淀功能逻辑 知识抽取引擎、知识组织模型、知识服务引擎 沉淀周期实时
10 安全助手 10-安全助手功能逻辑 对话交互引擎、意图理解引擎、工具编排引擎 意图准确率 > 90%

4. 技术架构

4.1 技术栈总览

层级 技术组件 作用
数据采集 OTEL、FileBeat、Kafka 标准化采集、实时传输
流处理 Apache Flink 实时计算、事件处理
批量处理 Apache Spark 历史数据分析
知识图谱 Neo4j 图存储、关系推理
向量检索 Milvus 语义检索、相似度匹配
AI 引擎 LLM + BERT + GNN 语义理解、推理、学习
Agent 框架 LangChain 自主决策、执行编排
编排引擎 Temporal / Airflow 工作流编排
安全集成 SOAR、SIEM、EDR 响应、检测、联动

4.2 分层架构

graph TB subgraph 应用层 A1["态势报告"] A2["安全助手"] A3["管理门户"] end subgraph 智能层 I1["研判引擎"] I2["推理引擎"] I3["知识引擎"] end subgraph 数据层 D1["实时流处理\\nFlink"] D2["批量处理\\nSpark"] D3["图存储\\nNeo4j"] D4["向量存储\\nMilvus"] end subgraph 基础设施 F1["消息队列\\nKafka"] F2["对象存储\\nS3"] F3["时序存储\\nTimescaleDB"] end D1 & D2 --> I1 & I2 & I3 D3 & D4 --> I1 & I2 & I3 I1 & I2 & I3 --> A1 & A2 & A3 style A1 fill:#f3e5f5,stroke:#7b1fa2 style A2 fill:#f3e5f5,stroke:#7b1fa2 style A3 fill:#f3e5f5,stroke:#7b1fa2 style I1 fill:#fff9c4,stroke:#f57f17 style I2 fill:#fff9c4,stroke:#f57f17 style I3 fill:#fff9c4,stroke:#f57f17 style D1 fill:#e3f2fd,stroke:#1565c0 style F1 fill:#e3f2fd,stroke:#1565c0

5. 核心数据流

5.1 安全事件处理流程

sequenceDiagram participant SO as 安全事件源 participant DF as 数据融合 participant EP as 事件感知 participant KN as 知识网络 participant EV as 事件研判 participant TR as 攻击溯源 participant IA as 影响评估 participant RD as 响应处置 participant RP as 态势报告 participant KD as 知识沉淀 SO->>DF: 原始事件 DF->>EP: 标准化数据 EP->>KN: 上下文请求 KN-->>EP: 关联知识 EP->>EV: 感知结果 EV->>TR: 研判结论 TR->>IA: 溯源结果 IA->>RD: 影响评估 RD->>RP: 处置结果 RP->>KD: 报告数据 KD->>KN: 沉淀知识

5.2 模块协作关系

源模块 目标模块 协作内容
数据融合 事件感知 提供标准化数据
事件感知 知识网络 查询上下文知识
知识网络 事件研判 提供知识赋能
事件研判 攻击溯源 输入研判结论
攻击溯源 影响评估 输出攻击链
影响评估 响应处置 输入影响范围
响应处置 态势报告 输入处置记录
态势报告 知识沉淀 输入报告数据
知识沉淀 知识网络 回填知识
安全助手 所有模块 统一交互入口

6. 量化指标体系

6.1 核心能力指标

能力域 指标 目标值 当前值
发现 MTTD(平均发现时间) < 1min 30min
分析 MTTI(平均分析时间) < 5min 15min
处置 MTTR(平均响应时间) < 10min 30min
研判 研判准确率 > 95% 70%
溯源 攻击链还原率 > 95% 50%
响应 自动处置率 > 80% 20%

6.2 性能指标

指标 目标值 说明
系统可用性 99.9% 全年停机 < 8.76h
事件处理延迟 P95 < 1s 端到端延迟
并发处理能力 10,000 EPS 事件/秒
知识检索延迟 P95 < 100ms 查询响应

7. 技术选型原则

7.1 选型标准

标准 说明 权重
成熟度 开源社区活跃度、企业级应用案例 25%
性能 吞吐量、延迟、扩展性 25%
易用性 学习曲线、运维成本、文档完善度 20%
生态 插件丰富度、集成成本 15%
成本 许可成本、运维成本 15%

7.2 关键技术对比

场景 选项A 选项B 推荐
流处理 Apache Flink Apache Spark Streaming Flink(低延迟)
图存储 Neo4j Amazon Neptune Neo4j(成熟度)
向量检索 Milvus Pinecone Milvus(开源)
工作流编排 Temporal Airflow Temporal(云原生)
AI 框架 LangChain AutoGPT LangChain(生态)

Last updated: 2026-06-01