正文

TechWorld黑客马拉松SHOW——AI自主威胁狩猎智能体

admin
admin V管理员 /0 评论 /16 阅读
1112
文章最后更新时间2025年11月12日,若文章内容或图片失效,请留言反馈!

编者按: 本项目《AI自主威胁狩猎智能体》在公司黑客马拉松比赛中荣获一等奖,充分展现了团队在人工智能安全领域的创新实力与工程落地能力。

一.  项目简介

随着攻击手段的不断复杂化与自动化,单靠人工主导的狩猎流程已难以满足企业在速度、覆盖面、持续性和安全加固上的防护需求,其主要问题包括:高度依赖安全专家的经验、面对海量跨域数据时难以高效关联、狩猎与响应周期长且对隐蔽性强的APT与零日攻击检测能力有限等。

对此,本项目开发出AI自主威胁狩猎智能体:一个由大模型驱动的多智能体系统,具备自然语言理解能力,擅长从日志、告警中主动挖掘可疑行为。对用户输入的狩猎需求,能自主识别用户意图、自主规划狩猎任务、搜索日志、分析证据并生成防御规则,让安全防御更主动、更高效、更智能。

二.  创新亮点

我们项目中为了达到AI像安全专家一样进行威胁狩猎的目标,实现了如下多项创新:

  1. 狩猎流程体系化: 细粒度拆解和规范狩猎流程,让小模型组成的多智能体也能协作完成复杂的狩猎任务;

  2. AI安全侦探:通过灵活使用大模型思维框架,使得AI具备类人思考与反思能力,能自主规划、提问、分析、迭代推理,像资深安全专家一样工作;

  3. AI自主制造工具:实现了AI在沙箱中按需编写代码进行数据分析、绘图、写报告;

  4. AI自生成规则:狩猎即免疫,实现AI自主依据检测盲点生成防御规则;

  5. 安全闭环:精准识别用户意图,实现“自主发现 → 分析 → 响应 → 防御加固“全流程闭环。

最终相比传统狩猎具备如下优势:

三.  方案介绍

3.1

系统架构

项目采用多层协同的智能架构设计,每个AI智能体都能独立思考、协同工作,实现真正的自主威胁狩猎。具体分为 API层、任务调度层、智能体协作层、底层基础设施(Runtime) 四大部分,配合工具集、知识库和记忆模块,构成完整的自主威胁狩猎生态。

  1. API层(对外接口层):提供统一的接口入口,支持自然语言指令输入、任务触发、结果查询与规则同步。这一层是人与AI系统交互的窗口,使用户只需输入“我想分析某告警是否异常”,系统即可自动启动整个狩猎流程。

  2. 任务调度层:作为系统的“大脑中枢”,负责智能体的任务拆解、并行调度与结果汇总。它会根据意图识别结果,动态决定由哪些智能体协作完成狩猎任务,并跟踪每个子任务的执行状态。

  3. 智能体协作层:系统的核心组成部分,由多个功能型智能体组成,每个智能体负责特定阶段的分析任务,形成可扩展的AI协作网络:

    a. 意图识别智能体:理解用户输入,抽取狩猎目标与任务意图。

    b. 狩猎规划智能体:将目标拆解为可执行子问题,生成狩猎计划。

    c. 日志搜索智能体:自动编写查询语句并从数据源检索相关日志。

    d. 数据分析规划智能体:基于日志搜索结果制定数据分析计划

    e. 批量数据分析智能体:执行聚合、统计、异常检测分析与可视化。

    f. 深入数据分析智能体:从语义层面深入分析每一条关键日志。

    g. 狩猎报告智能体:汇总分析结论并生成可读性报告。

    h. 规则生成智能体:从分析结果中提取攻击特征,生成检测规则。

    i. 反思智能体:对狩猎过程进行自我总结与优化,持续改进策略。

  1. Runtime(基础设施):统一的运行基础设施,用于支持交互式打断、并发执行、安全沙箱控制及资源调度。保证每个AI任务安全可控地执行。

3.2

运行流程

总体流程包括如下:

  1. 用户输入:提出威胁狩猎需求;

  2. 意图识别:基于狩猎需求,AI识别用户意图;

  3. 狩猎规划:针对意图,AI自主规划并提出值得调查的问题;

  4. 日志搜索:根据每个问题需要的日志,AI自主编搜索条件,查询日志;

  5. 数据分析:

    1)批量分析:通过编写python代码进行统计学分析,聚合、筛选、异常检测和特征分析筛选出重点日志,并输出分析报告;

    2)深入分析:AI自主“细看”分析重点日志,并输出分析报告;

  1. 狩猎任务再规划: 基于已分析的问题上下文,概括并重新规划,继续提问和解决问题,直至狩猎意图相关的问题都已调查完毕才结束;

  2. 报告总结:基于上述所有问题和答案进行总结,输出狩猎总结报告;

  3. 规则生成:基于狩猎过程中的检测盲点,实时生成谛听引擎规则。

四.  实战演示

4.1

基于用户输入进行意图识别

某天值班同事在平台上看到一条告警——内网主机 10.67.3.130 对外发起了 FTP 匿名登录。他有个疑问:这台主机是否已经被入侵?于是,他在平台输入一句话,启动了我们的自主威胁狩猎智能体。

“我在平台上发现了 10.67.3.130 主动发起了 FTP 匿名用户认证,请帮我分析其是否存在异常?”

意图识别智能体会把自然语言转成狩猎目标与初步分析方向:目标主机、事件类型(FTP匿名登录)、分析目的(是否失陷)。

4.2

狩猎问题规划

狩猎规划智能体像安全专家一样,把“是否失陷”拆成一系列可调查的问题:主机是否有相关告警,是否存在对外心跳连接、是否对外发起攻击。

等第一轮调查完后,狩猎规划智能体还会基于第一轮的问题和答案,持续迭代提出新的调查问题。

4.3

日志搜索

日志搜索智能体依据规划的问题自主编写搜索条件。由于问题与网络连接相关它会先搜索会话连接日志,在得到一些新的线索之后,递进搜索搜索web访问日志,并根据搜索结果自主调整搜索条件。

4.4

数据分析

4.4.1

制定计划

数据分析规划智能体根据搜索结果自主拟定分析计划。面对大量日志, 它“初略扫一遍”,围绕问题制定分析计划。由于搜索结果的日志量较大,它首先考虑进行统计类的行为分析,从中找到了可疑日志后再进行逐条深入“研究”。

4.4.2

执行计划

分析计划会由两个智能体协作执行:

批量分析智能体:自主编写python数据分析代码进行数据分析及图表绘制

深入分析智能体:基于语义理解详细分析某几条关键日志

围绕问题主机是否与外部ip存在心跳连接,分析智能体会编写python代码围绕日志的发生时间进行统计维度的分析,判断其是否有周期性规律,并对一些关键发现绘制图表进行展示。同时也筛选一些关键的可疑日志进行一一“细看”,最终输出分析报告。

智能体们不断地迭代上述过程,基本上就拿到了问题的答案。即主机确实存在对外的心跳连接。

基于上一轮次的问题和答案,狩猎规划智能体会围绕用户的狩猎意图持续规划新的狩猎问题。

4.5

狩猎报告

所有相关的问题都已调查完毕后,狩猎报告智能体基于所有的问题答案输出一份总体的狩猎报告。该狩猎报告图文并茂地描述了狩猎摘要、狩猎目标,分析方法,相关的发现,攻击链还原等信息。

4.6

规则生成

规则生成智能体会针对狩猎过程中发现的检测盲点(例如 Cobalt Strike 类 C2 通信模式),自主生成规则并同步到谛听引擎上形成新的防护能力,实现“狩猎即免疫”的闭环。

五.  团队与故事

我们团队成员均来自安全平台技术部安全建模组,我们黑客马拉松期间,大家密切协作:有人负责多智能体架构和底层设施,有人负责调整提示词,有人攻坚智能体可调用工具封装,有人构建前端可视化界面。每天大家都加班到1点多,不断地进行开发、调试、修复bug。最终以较高的完成度完成了该项目。

六.  展望与期待

后续我们会不断地进行优化我们的项目,探索更复杂的场景,并让AI具备从实战中学习进化的能力。同时,我们也开始规划将其落地到绿盟智能安全运营管理平台(ISOP),使其成为每一个安全团队里最可靠、永不疲倦的安全专家,为安全运营提供持续支持。

内容编辑:谢剑明、刘辉、李景、杨航

责任编辑:舒展 


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒zhousa.om