我花了 3 个月搭建了 AI 安全防御系统:多层拦截、自我进化、实时响应

我花了 3 个月搭建了 AI 安全防御系统:多层拦截、自我进化、实时响应 # 我花了 3 个月搭建了 AI 安全防御系统多层拦截、自我进化、实时响应 当攻击者开始用 AI 写攻击脚本的时候你还在靠人工配 WAF 规则——这已经不是代差是降维打击。 --- ## 2026 年攻击变了 去年底挖矿木马还流行把 C2 地址硬编码在二进制里安全研究员写几条 YARA 规则就能抓到一批。今年的样本已经开始用本地大模型动态生成通信协议了 - 每个被感染节点自动变异出唯一的网络特征 - 横向移动时用 LLM 分析内网拓扑选择最优传播路径 - 恶意载荷按目标环境实时编译杀软签名完全失效 传统安全工具的检测逻辑是见过的东西才能识别。但 AI 驱动的攻击天生就是你没见过的东西。 这就是我搭 V19 的原因。一个**用 AI 对抗 AI** 的多 Agent 防御系统——不是替代传统的 WAF 或 EDR而是在它们上面架一层认知层专门处理那些没见过的攻击模式。 --- ## V19 总体架构 先看一张全局图 ┌──────────────────────────────────────────┐ │ 因果认知层 (Causal Layer) │ │ ┌─────────┐ ┌─────────┐ ┌─────────┐ │ │ │ 攻击链 │ │ 策略 │ │ 防御 │ │ │ │ 溯源推理 │──│ 生成器 │──│ 方案验证 │ │ │ └─────────┘ └─────────┘ └─────────┘ │ └──────────┬──────────────┬────────────────┘ │ │ ┌─────────────────▼──┐ ┌──────▼─────────────────┐ │ EPA 吞噬引擎 │ │ IFE 觅食引擎 │ │ (Entry Point │ │ (Inference │ │ Analyzer) │ │ Foraging Engine) │ │ │ │ │ │ · 入口点特征提取 │ │ · 行为模式推理 │ │ · 多模态攻击识别 │ │ · 异常觅食路径检测 │ │ · 实时流量镜像分析 │ │ · 对抗样本生成 │ └──────────┬─────────┘ └──────────┬─────────────┘ │ │ └──────────┬──────────────┘ │ ┌──────────▼──────────┐ │ 数据总线 (NATS) │ │ ┌────────────────┐ │ │ │ Agent 注册中心 │ │ │ │ 消息队列 │ │ │ │ 状态同步 │ │ │ └────────────────┘ │ └──────────┬───────────┘ │ ┌───────────────┼───────────────┐ │ │ │ ┌─────▼─────┐ ┌──────▼──────┐ ┌────▼─────┐ │ 沙箱执行器 │ │ 威胁情报模块 │ │ 响应执行器 │ │ (Firecrack │ │ (Mandiant │ │ (阻断/ │ │ er) │ │ VirusTot │ │ 隔离/ │ │ │ │ al) │ │ 取证) │ └────────────┘ └──────────────┘ └──────────┘ 三层核心引擎各司其职通过 NATS 消息总线松耦合通信。下面逐层拆解。 --- ## 第一层EPA 吞噬引擎 —— 不放过任何一个入口点 EPAEntry Point Analyzer的名字来源于一个设计理念**所有攻击都必须经过一个入口点入口点是攻击者唯一无法伪造的东西**。 EPA 部署在流量镜像层对所有进入内网的流量做实时分析。它不在乎载荷长什么样它关心的是 1. **入口点特征**这个请求经过了哪些中间件协议升级链路是什么TLS 握手特征是否异常 2. **时序行为**同一来源在 100ms 内发起了多少次请求请求间隔的分布是否呈现自动化特征 3. **多模态载荷**载荷里是否同时包含 JSON 结构体、Base64 编码块和 Shell 命令片段 举个例子。我们做对抗测试时模拟了一个用 GPT-4 生成的 Webshell 变种——传统的 WAF 完全没反应因为它的代码结构和任何已知 Webshell 都不一样。 但 EPA 抓住了三点 - 请求的 Content-Type 是 multipart/form-data但 body 只有一段连续的 Base64 - 源 IP 在 5 秒内向 12 个不同端点发送了结构相似的请求 - Base64 解码后的内容里包含 eval 动态变量名组合 EPA 不判断这是什么攻击它只判断这个入口行为不符合正常模式——然后把异常流量打标扔给下一层。 --- ## 第二层IFE 觅食引擎 —— 在行为空间里找到攻击者 IFEInference Foraging Engine的工作是**EPA 说这个入口异常IFE 来回答它到底想干什么**。 IFE 的核心是一个经过安全领域 Fine-tune 的推理模型Qwen2.5-14B-Instruct本地部署Zero Data Leak。它接收 EPA 传来的异常载荷和元数据执行三步推理 Step 1: 载荷语义解析 → 识别载荷中的代码片段 / 命令序列 / 文件路径 / 网络地址 → 输出载荷原子操作列表 Step 2: 攻击意图推断 → 将原子操作组合成攻击链假设 → 例如[文件上传] → [eval 执行] → [反弹 Shell] 构成一条完整的 RCE 链 Step 3: 觅食路径规划 → 根据攻击链假设在内网中搜索可能的下一跳目标 → 如果攻击者试图横向移动IFE 会预判 3 个最可能的目标节点 觅食Foraging的概念很有意思。在生物学里觅食行为是指动物在未知环境中搜索食物的策略。IFE 借用这个隐喻攻击者是在你的内网里觅食的捕食者而 IFE 通过推理攻击者的行为模式提前跑到他的下一个目标点去布防。 我们测过一个场景攻击者通过一个被入侵的 Jenkins 节点进入内网扫描 SMB 端口试图用 EternalBlue 横向移动。IFE 在攻击者扫描到第二台主机时就已经预判了他的 5 步攻击链提前在目标主机上触发了端口隔离。 --- ## 第三层因果认知层 —— 防守方的上帝视角 EPA 做检测IFE 做推理但真正让 V19 区别于传统 IDS 的是第三层**因果认知层**。 因果认知层不处理单次告警。它维护一个全网的**攻击因果图Causal Attack Graph**把每一条告警、每一次异常、每一个 Agent 的判断都作为节点加入图中然后运行因果推理算法基于 Pearl 的 do-calculus做了离散化近似回答三个问题 1. **溯源**这次攻击的真正起点是哪个节点不是被攻破的那个是攻击者第一次立足的那个。 2. **影响面评估**如果现在不做任何干预30 分钟内哪些资产会受影响 3. **最优响应策略**在所有可能的防御动作中哪个能以最小业务损失换取最大安全收益 第三点尤其关键。传统安全工具只会告诉你有攻击至于怎么处理——要么全量阻断影响业务要么只告警不响应等于没防。因果认知层的策略生成器会推演多种响应方案的后果选一个最温和但最有效的。 例如上个月的对抗测试中我们模拟了一个 API 滥用攻击。认知层生成的策略不是直接封 IP——因为它推演出攻击者可能换了 IP 再来——而是对目标 API 自动注入速率限制 返回虚假成功响应蜜罐思维让攻击者在 40 分钟内误以为攻击有效而真实数据零泄露。 --- ## 自我进化系统会自己变强 三层架构的最后一环是**反馈闭环**。 每处理一次攻击事件因果认知层会把完整的攻击链、IFE 的推理过程、最终采纳的防御策略以及策略执行后的效果打包成一个经验单元存入经验池Experience Pool。经验池每周做一次离线评估 1. **IFE 校准**IFE 的推理模型在三轮评估数据上做 LoRA 微调提升攻击意图推断的准确率 2. **策略迭代**回顾过去一周所有响应策略的效果数据淘汰低效策略、推广高效策略 3. **规则进化**EPA 的模式库自动从经验池中提取新的入口点特征不需要人工写规则 这意味着 V19 部署得越久防御能力就越强——不需要安全团队手动更新规则库系统自己从实战中学习。 我们对比过V19 部署后的第 1 周对未知攻击的检出率是 78.3%。到第 12 周这个数字升到了 94.7%。同一批攻击样本传统 WAF 的检出率始终在 55% 左右波动——因为它的规则是死的。 --- ## 这不是科幻已经在跑 V19 的多 Agent 协作模型用 Go 实现核心引擎Python 做认知层推理NATS 做 Agent 间通信。所有 AI 推理组件全部本地化部署——Qwen2.5 做安全推理因果图引擎用 NetworkX 自研的 do-calculus 离散近似算法。不需要联网不需要上传流量到任何云端平台。 目前 V19 已经在我的实验环境中稳定运行 3 个月日均处理 50 万条网络事件平均响应延迟低于 300ms误报率控制在 2% 以内。 防御这件事光靠人已经不够了。当对面的攻击者开始用 AI 试你的防线你的防线也得有 AI 来守。 **访问 [https://sixu-ai.net.cn](https://sixu-ai.net.cn)了解 V19 多 Agent 防御系统的完整架构申请体验防御 Demo。** --- *V19 多 Agent 防御系统EPA 吞噬引擎 IFE 觅食引擎 因果认知层三层架构实现 AI 对抗 AI。本地部署流量不出网自我进化持续学习。*