模块 4 - 事件研判
核心定位: 安全事件研判是整个可观测性体系的"决策中枢",通过智能研判引擎 + 证据推理 + 知识赋能,让每个分析师都能做出专家级研判。
1. 功能概述
1.1 业务背景
当 SOC 分析师收到告警开始研判时,传统模式下面临重重困境:需打开多个系统收集信息,研判一个事件需要 30 分钟以上;缺乏攻击链视角,无法全面评估影响;依赖专家经验,水平参差不齐;靠经验判断,缺乏数据支撑,决策风险高。
核心问题矩阵:
| 问题 |
现状 |
影响 |
| 依赖专家经验 |
事件研判依赖个人能力 |
水平参差不齐,漏报误报 |
| 信息碎片化 |
需打开多个系统收集信息 |
研判时间 30min+ |
| 推理链路断裂 |
缺乏攻击链视角 |
无法全面评估影响 |
| 决策依据少 |
靠经验判断,缺乏数据支撑 |
决策风险高 |
1.2 设计目标
| 目标 |
量化指标 |
价值 |
| 分钟级研判 |
研判时间从 30min → < 5min |
6x 提速 |
| 高准确率 |
准确率从 70% → > 95% |
+25% |
| 证据链完整 |
证据关联从 3 个 → 20+ 个 |
6.7x |
| 知识赋能 |
知识引用从 20% → 90% |
+70% |
1.3 设计原则
- 自动化优先 — 研判流程自动执行,分析师只需确认结论
- 证据驱动 — 每个结论必须有完整证据链支撑
- 可解释透明 — AI 推理链路可视化,随时可追溯
- 置信度量化 — 每个结论附带置信度评分
- 知识贯穿 — 研判全过程知识网络实时赋能
2. 功能架构
2.1 整体架构
graph TB
I["告警事件\\n多源输入"]
E1["上下文收集\\n自动补全"]
E2["知识匹配\\n实时推荐"]
E3["推理计算\\n攻击链推断"]
E4["置信评估\\n不确定性量化"]
O1["事件定性\\n类型+阶段"]
O2["影响评估\\n范围+程度"]
O3["置信评分\\n0-1之间"]
O4["处置建议\\n推荐行动"]
I --> E1 --> E2 --> E3 --> E4 --> O1 & O2 & O3 & O4
style I fill:#e3f2fd,stroke:#1565c0
style E1 fill:#fff,stroke:#1565c0,stroke-width:2px
style E4 fill:#fff,stroke:#c62828,stroke-width:2px
2.2 数据流设计
sequenceDiagram
participant EV as 告警事件
participant CT as 上下文收集
participant KG as 知识网络
participant RE as 推理引擎
participant BA as 贝叶斯推理
participant RP as 研判报告
EV->>CT: 原始事件
CT->>KG: 查询上下文
KG-->>CT: 关联知识
CT->>RE: 上下文字段
RE->>BA: 推理结果
BA->>RP: 置信度评估
3. 核心功能模块
3.1 四阶段研判流程
| 阶段 |
核心功能 |
技术方案 |
输出 |
时长 |
| ①上下文收集 |
自动补全事件相关上下文 |
数据融合引擎 |
20+ 上下文字段 |
< 30s |
| ②知识匹配 |
实时推荐相关知识 |
知识网络检索 |
3-5 条相关知识 |
< 10s |
| ③推理计算 |
推断完整攻击链 |
大模型 + 图计算 |
攻击链 + 置信度 |
< 3min |
| ④置信评估 |
量化结论可靠性 |
贝叶斯推理 |
置信度评分 |
< 30s |
3.2 研判能力矩阵
| 维度 |
技术实现 |
输出 |
准确率 |
| 事件定性 |
大模型 + 知识网络 |
事件类型、攻击阶段 |
95% |
| 影响评估 |
图计算 + 资产关联 |
影响范围、严重程度 |
92% |
| 趋势分析 |
时序分析 + 异常检测 |
攻击趋势、演变预测 |
88% |
| 置信评估 |
贝叶斯推理 |
置信度、置信区间 |
90% |
3.3 研判报告结构
{
"analysis_report": {
"event_id": "EVT-2026-0601-001",
"timestamp": "2026-06-01T12:00:00Z",
"event_type": "Lateral Movement",
"confidence": 0.92,
"confidence_interval": [0.88, 0.96],
"attack_chain": [
{ "phase": "Reconnaissance", "evidence": ["端口扫描痕迹"], "tactic": "TA0007" },
{ "phase": "Initial Access", "evidence": ["钓鱼邮件点击"], "tactic": "TA0001" },
{ "phase": "Execution", "evidence": ["恶意脚本执行"], "tactic": "TA0002" },
{ "phase": "Lateral Movement", "evidence": ["Pass-the-Hash"], "tactic": "TA0008" }
],
"affected_assets": [
{ "asset_id": "HOST-A", "role": "域控", "severity": "high" }
],
"recommended_actions": ["隔离受影响主机", "重置泄露凭证"],
"evidence_refs": [
{ "id": "E001", "desc": "异常登录", "source": "Windows Event Log" }
]
}
}
4. 技术实现
4.1 大模型研判架构
| 模型 |
能力 |
应用场景 |
| 领域大模型 |
安全语义理解 |
事件定性、攻击阶段判断 |
| 知识图谱嵌入 |
结构化推理 |
关系推理、路径发现 |
| 检索增强(RAG) |
知识库检索 |
知识推荐、案例匹配 |
| Chain-of-Thought |
显式推理链路 |
可解释性要求 |
4.2 研判算法
| 算法 |
原理 |
应用场景 |
输出 |
| 证据网络构建 |
基于时序和因果关系构建证据网络 |
攻击链还原 |
证据图谱 |
| 贝叶斯推理 |
计算各假设后验概率 |
置信度评估 |
后验概率 |
| 图神经网络 |
图结构上的深度学习 |
路径推理、影响评估 |
推理结果 |
| Chain-of-Thought |
显式推理链路 |
可解释性要求 |
推理步骤 |
4.3 技术选型
| 组件 |
选型 |
作用 |
关键配置 |
| 工作流引擎 |
Temporal / Airflow |
研判流程编排 |
DAG 支持 |
| 状态管理 |
Redis / PostgreSQL |
研判状态跟踪 |
状态持久化 |
| 多模型协作 |
LangChain |
多个模型协同 |
模型调度 |
| 结果存储 |
Elasticsearch |
研判结果检索 |
全文索引 |
| 大模型 |
Qwen-Max |
语义理解 |
知识增强 |
4.4 容灾设计
| 故障场景 |
影响 |
应对策略 |
恢复时间 |
| 研判节点宕机 |
单节点中断 |
自动切换其他节点 |
< 30s |
| 工作流引擎故障 |
流程中断 |
切换备用引擎 |
< 10s |
| 模型服务故障 |
研判无法完成 |
切换备用模型 |
< 1min |
5. 接口设计
5.1 研判启动接口
POST /api/v1/analysis/start
{
"event_id": "evt_20260601_abc123",
"trigger": "auto",
"priority": "high"
}
5.2 研判状态查询接口
GET /api/v1/analysis/{analysis_id}/status
{
"analysis_id": "ana_20260601_001",
"status": "in_progress",
"stage": "推理计算",
"progress": 75,
"elapsed_time": "3m 20s"
}
5.3 研判结论查询接口
GET /api/v1/analysis/{analysis_id}/result
{
"analysis_id": "ana_20260601_001",
"event_type": "Lateral Movement",
"confidence": 0.92,
"attack_chain": [...],
"affected_assets": [...],
"recommended_actions": [...],
"evidence_refs": [...]
}
6. 量化指标
6.1 核心指标达成
| 指标 |
当前值 |
目标值 |
提升 |
状态 |
| 研判时间 |
30min |
< 5min |
6x |
🚧 进行中 |
| 研判准确率 |
70% |
> 95% |
+25% |
🚧 进行中 |
| 证据关联数 |
3个 |
20+个 |
6.7x |
🚧 进行中 |
| 知识引用率 |
20% |
90% |
+70% |
🚧 进行中 |
6.2 性能指标
| 指标 |
目标值 |
峰值能力 |
状态 |
| 单次研判延迟 |
< 5min |
P95=4.8min |
✅ |
| 并发研判能力 |
100 events |
105 events |
✅ |
| 系统可用性 |
99.9% |
99.95% |
✅ |
6.3 业务价值
| 价值维度 |
传统方案 |
智能研判 |
提升 |
| 研判效率 |
30min/事件 |
5min/事件 |
6x |
| 人力投入 |
专家依赖 |
AI辅助 |
-70% |
| 决策质量 |
70%准确率 |
> 95%准确率 |
+25% |
| 案例沉淀 |
人工记录 |
自动沉淀 |
+500% |
7. 用户体验
7.1 安全分析师视角
| 阶段 |
用户行为 |
系统响应 |
效率提升 |
| 启动 |
选中事件,一键启动研判 |
自动触发研判流程 |
< 1s |
| 研判 |
查看实时进度 |
研判过程可视化 |
秒级刷新 |
| 确认 |
查看结论和依据 |
点击查看推理链路 |
< 100ms |
| 记录 |
确认结论,补充备注 |
自动沉淀案例 |
< 10s |
7.2 团队 Leader 视角
| 功能 |
说明 |
用户价值 |
| 研判统计 |
团队研判效率和质量仪表盘 |
全面掌控 |
| 案例沉淀 |
优秀案例自动沉淀 |
经验积累 |
| 培训素材 |
研判过程作为教学素材 |
高效培训 |
| 模型优化 |
基于反馈持续优化 |
持续改进 |