模块 10 - 安全助手
核心定位: 安全智能助手是整个可观测性体系的"指挥官",通过自然语言交互 + 任务自动编排 + 知识融合 + 主动服务,让 AI 成为真正的安全专家伙伴。
1. 功能概述
1.1 业务背景
当安全分析师需要完成一个复杂任务时,传统模式面临重重困境:告警、事件、知识分散在多个系统,查找困难效率低;每个操作都需要手工执行,重复操作耗时;在多个工具间切换上下午丢失,学习成本高上手慢。
核心问题矩阵:
| 问题 |
现状 |
影响 |
| 信息碎片 |
告警、事件、知识分散在多个系统 |
查找困难,效率低 |
| 操作繁琐 |
每个操作都需要手工执行 |
重复操作,耗时 |
| 切换频繁 |
需要在多个工具间切换 |
上下文丢失,效率低 |
| 学习成本高 |
每个工具都有独立的学习曲线 |
上手慢,效率低 |
1.2 设计目标
| 目标 |
量化指标 |
价值 |
| 分钟级完成 |
任务完成从 30分钟+ → < 5min |
6x 提速 |
| 单次交互 |
系统切换从 5+ 次 → 1 次 |
-80% |
| 意图准确率 |
意图理解准确率 > 90% |
新能力 |
| 主动服务 |
主动发现威胁、主动建议 |
从被动到主动 |
1.3 设计原则
- 自然语言交互 — 用自然语言操作所有功能,零学习成本
- 任务自动编排 — 将复杂任务分解并自动调用工具执行
- 上下文保持 — 多轮对话中保持完整上下文
- 知识融合 — 融合多源知识,提供准确全面的答案
- 主动服务 — 主动发现威胁,主动提出建议
2. 功能架构
2.1 整体架构
graph TB
U["用户\\n自然语言输入"]
--> NLU["意图理解\\nNLU"]
--> TD["任务分解\\nTask Decomposition"]
--> TE["工具编排\\nTool Orchestration"]
--> KG["知识融合\\nKnowledge Fusion"]
--> NLG["回复生成\\nNLG"]
--> U
TD --> E1["数据融合Agent"] & E2["事件感知Agent"] & E3["研判Agent"]
E4["响应处置Agent"] & E5["知识沉淀Agent"] & E6["报告生成Agent"]
style U fill:#e3f2fd,stroke:#1565c0
style NLU fill:#fff,stroke:#1565c0,stroke-width:2px
style KG fill:#fff,stroke:#c62828,stroke-width:2px
2.2 数据流设计
sequenceDiagram
participant U as 用户
participant NLU as 意图理解
participant TD as 任务分解
participant KG as 知识融合
participant EX as 工具执行
participant NLG as 回复生成
U->>NLU: 自然语言输入
NLU->>TD: 结构化意图
TD->>KG: 子任务列表
KG-->>TD: 相关知识
TD->>EX: 执行计划
EX->>NLG: 执行结果
NLG->>U: 自然语言回复
3. 核心功能模块
3.1 核心能力矩阵
| 能力 |
技术实现 |
输入 |
输出 |
准确率 |
| 意图理解 |
LLM + 安全语义微调 |
自然语言 |
结构化意图 |
92% |
| 任务分解 |
思维链 + 规划算法 |
复杂任务 |
执行计划 |
90% |
| 工具编排 |
工作流引擎 + API |
执行计划 |
执行结果 |
95% |
| 知识问答 |
RAG + 知识图谱 |
用户问题 |
答案 |
90% |
| 主动服务 |
异常检测 + 预测 |
系统数据 |
主动建议 |
85% |
3.2 对话交互模式
| 交互模式 |
说明 |
应用场景 |
示例 |
| 问答模式 |
用户问,助手答 |
知识查询、概念解释 |
"勒索软件如何处置?" |
| 任务模式 |
助手自动执行任务 |
事件分析、报告生成 |
"帮我分析这个告警" |
| 主动模式 |
助手主动推送 |
威胁预警、异常告警 |
"检测到可疑行为" |
| 协同模式 |
多Agent协作 |
复杂任务分解 |
"完成完整事件分析" |
3.3 典型对话场景
{
"conversation": {
"scenario": "事件分析",
"turns": [
{
"user": "帮我分析最近有哪些高危告警",
"intent": "query_high_risk_alerts",
"assistant": "过去24小时共发现23个高危告警,主要类型为:勒索软件(5)、钓鱼攻击(12)、异常登录(6)。需要我详细分析哪个?",
"action": null
},
{
"user": "分析那个勒索软件告警",
"intent": "analyze_event",
"context": { "event_id": "evt_xxx" },
"assistant": "已自动启动事件分析,攻击链正在还原中...",
"action": {
"agent": "event_analysis",
"steps": ["数据融合", "上下文收集", "推理计算", "置信评估"]
}
}
]
}
}
4. 技术实现
4.1 助手技术栈
| 组件 |
选型 |
作用 |
关键配置 |
| 对话引擎 |
LangChain / RAG |
对话管理 + RAG |
上下文管理 |
| 意图识别 |
LLM + Prompt |
自然语言理解 |
安全微调 |
| 任务编排 |
Temporal / Airflow |
复杂任务分解执行 |
DAG 支持 |
| 知识检索 |
Neo4j + ES |
知识图谱 + 全文检索 |
混合检索 |
| 多Agent协作 |
自研框架 |
多Agent协调 |
状态同步 |
4.2 意图理解算法
| 算法 |
原理 |
应用场景 |
输出 |
| 意图分类 |
文本分类 + 安全领域微调 |
判断用户意图 |
意图类别 |
| 槽位填充 |
命名实体识别 |
提取关键参数 |
参数列表 |
| 上下文追踪 |
状态机 + 记忆网络 |
保持对话上下文 |
上下文状态 |
| 意图澄清 |
主动询问 + 规则匹配 |
不明确时主动澄清 |
澄清问题 |
4.3 任务编排架构
graph TB
T["用户任务\\n自然语言"]
--> D["任务分解器"]
D --> S1["子任务1"] & S2["子任务2"] & S3["子任务3"]
S1 --> E1["数据融合API"]
S2 --> E2["研判API"]
S3 --> E3["报告API"]
E1 & E2 & E3 --> M["结果聚合"]
M --> O["执行报告"]
style T fill:#e3f2fd,stroke:#1565c0
style D fill:#fff,stroke:#1565c0,stroke-width:2px
style M fill:#fff,stroke:#c62828,stroke-width:2px
4.4 容灾设计
| 故障场景 |
影响 |
应对策略 |
恢复时间 |
| 对话引擎故障 |
对话中断 |
切换备用引擎 |
< 30s |
| 意图识别故障 |
无法理解意图 |
回退到关键字匹配 |
< 10s |
| 任务编排故障 |
任务无法执行 |
切换人工处理 |
< 1min |
| 知识检索故障 |
知识查询失败 |
ES 备份查询 |
< 5min |
5. 接口设计
5.1 对话交互接口
POST /api/v1/assistant/chat
{
"session_id": "sess_20260601_001",
"message": "帮我分析最近的高危告警",
"context": {
"user_id": "user_001",
"role": "analyst"
}
}
5.2 任务执行接口
POST /api/v1/assistant/execute
{
"task_type": "event_analysis",
"params": {
"event_id": "evt_20260601_abc123",
"depth": "detailed"
},
"callback_url": "/api/v1/assistant/callback"
}
5.3 主动推送接口
POST /api/v1/assistant/notify
{
"type": "threat_alert",
"content": "检测到可疑横向移动行为,建议立即核查",
"severity": "high",
"targets": ["security_team", "manager"]
}
6. 量化指标
6.1 核心指标达成
| 指标 |
当前值 |
目标值 |
提升 |
状态 |
| 任务完成时间 |
30min+ |
< 5min |
6x |
🚧 进行中 |
| 系统切换次数 |
5+ 次 |
1 次 |
-80% |
🚧 进行中 |
| 意图准确率 |
N/A |
> 90% |
新能力 |
🚧 进行中 |
| 用户满意度 |
60% |
> 90% |
+50% |
🚧 进行中 |
6.2 性能指标
| 指标 |
目标值 |
峰值能力 |
状态 |
| 首次响应延迟 |
< 1s |
P95=850ms |
✅ |
| 意图识别延迟 |
< 500ms |
P95=450ms |
✅ |
| 并发会话数 |
100 |
120 |
✅ |
| 系统可用性 |
99.9% |
99.95% |
✅ |
6.3 业务价值
| 价值维度 |
传统方案 |
智能助手 |
提升 |
| 操作效率 |
多系统切换 |
单次交互 |
-80% |
| 任务完成时间 |
30min+ |
< 5min |
6x |
| 知识获取 |
分散查找 |
统一问答 |
+300% |
| 学习成本 |
高(多工具) |
零(自然语言) |
-100% |
7. 用户体验
7.1 安全分析师视角
| 阶段 |
用户行为 |
系统响应 |
效率提升 |
| 提问 |
自然语言提问 |
即时理解意图 |
< 500ms |
| 执行 |
助手自动执行 |
多Agent协作 |
< 5min |
| 反馈 |
确认结果、补充信息 |
上下文保持 |
无缝 |
| 学习 |
助手主动推荐知识 |
个性化学习路径 |
自适应 |
7.2 管理层视角
| 功能 |
说明 |
用户价值 |
| 全局掌控 |
一个界面了解全局态势 |
一目了然 |
| 智能问答 |
自然语言查询各类数据 |
零学习成本 |
| 主动预警 |
异常时主动推送通知 |
及时响应 |
| 决策支持 |
数据驱动的决策建议 |
科学决策 |
Last updated: 2026-06-01