立项原因:响应国家总体国家安全观(2014年提出)和2024年“人工智能+”国家战略,解决传统网络安全被动防御的不足。传统方式依赖规则引擎,难以应对高级持续性威胁(APT),如震网攻击和SolarWinds事件,导致智能化水平低、态势感知有限。
行业场景:企业和国防领域的网络安全防护,针对云计算、大数据、物联网环境下的泛化边界威胁。业务背景包括云服务商(如移动云、阿里云)的安全中心数据整合,应对APT攻击的多阶段渗透(信息收集、命令控制、数据泄露)。
核心需求:通过AI技术实现主动防御,降低人工干预,提升威胁响应速度和准确性。
数据采集与上报:通过API订阅多家云服务商(移动云、腾讯云、阿里云)的安全中心,实时采集告警和威胁数据,并进行规范化处理。支持多源异构数据融合,包括网络流量、系统日志和恶意文件样本。
数据处理与预测:基于自主开发的Lite ETL框架实现数据提取、转换和加载(ETL流程),使用大语言模型(GPT-3.5 Turbo)和机器学习算法(GRU、AdaBoost、XLNet)进行特征提取和威胁分类。
攻击源溯查:智能端利用ReAct智能体架构,结合微步威胁情报API,对关键IP和域名进行多轮关联分析,生成攻击路径溯源报告。
安全威胁情报生成:自动生成详细报告,包括攻击者画像、攻击手段和影响评估,辅助用户决策。
可视化展示:前端提供交互式图表(如溯源路线图、威胁等级分布),展示模型研判指标(如准确率、响应时延)。
安全策略建议:根据溯源结果提供反制措施,如IP定位、URL监控和自动化响应策略(如隔离资源、阻断恶意流量)。
负责任务:作为核心开发成员,主要负责智能端和部分核心端模块的实现。具体包括:
智能端AI模型集成:使用Python开发,集成XLNet、GRU和AdaBoost模型,对威胁数据进行分类和等级预测;实现ReAct智能体提示词系统,赋予智能体函数调用、长短期记忆和主动响应能力。
核心端数据处理:主导Java Spring Boot后端开发,设计ETL管道(基于Lite ETL框架),实现多源数据清洗和转换;支持分布式RPC通信(与智能端通过TCP协议交互)。
架构设计贡献:主导三层架构(应用层、领域层、基建层)的模块化设计,确保系统松耦合和高可扩展性。
技术栈:
前端:Vue3 + TypeScript + Vite + SCSS
核心端:Spring Boot + Spring Data JPA + MySQL/PostgreSQL + Redis
智能端:Python + TensorFlow + transformers库(XLNet) + Neo4j图数据库 + Chroma向量数据库
工具链:Docker(部署支持)、SaToken(权限管理)
评论