Finnete-20/agentic-soc-runtime

# Agentic SOC 钓鱼检测系统 ## 概述 Agentic SOC 钓鱼检测系统是一款基于人工智能的网络安全运营中心（SOC）助手，旨在通过多代理架构检测钓鱼邮件。 该系统使用 LangGraph、LLM 驱动的推理、实时威胁情报（VirusTotal API）、基于内存的推理和结构化报告来模拟真实的 SOC 调查工作流程。 目标是解释性、结构化决策和 SOC 风格的推理，而不仅仅是分类准确性。 ## 关键特性 ### 多代理 SOC 管道 系统使用结构化的 SOC 风格工作流程，模拟真实的安全分析师推理。 管道被分解为五个专业代理： ### 1. IOC 代理 从电子邮件内容中提取与安全相关的工件。 它识别： - 电子邮件地址 - 网址 - 域名 - 基本可疑指标 目的： 从原始电子邮件输入中构建结构化情报。 ### 2. 威胁代理 评估提取的指标并分配初始威胁信号。 它分析： - 伪装尝试（伪造组织或域名） - 社会工程模式 - 紧迫性操纵（“立即行动”，“限时”） - 外部电子邮件域名 - 数据收集指标（Google 表单，调查） 目的： 模拟攻击者的意图和行为模式。 ### 3. VirusTotal 代理（威胁情报层） 使用 VirusTotal API 进行实时 URL 声誉分析。 它提供： - 恶意分数 - 可疑分数 - 无害分数 - 未检测分类 目的： 使用外部威胁情报源验证提取的 URL。 ### 4. 内存代理 维护已知攻击模式的历史上下文。 它可以匹配： - 以前看到的钓鱼模式 - 重复的诈骗结构 - 已知的恶意域名和行为 目的： 提高重复攻击风格下的检测一致性。 ### 5. 推理代理（LLM 驱动的 SOC 分析师） 聚合所有先前代理的信号并计算最终分类。 此节点使用 LLM（GPT-4.1-mini）来解释： - IOC 信号 - 威胁情报结果 - VirusTotal API 输出 - 内存匹配 它产生： - 风险分数（0–100） - 最终分类（合法/可疑/钓鱼） - 结构化 SOC 推理 目的： 作为 AI SOC 分析师，取代基于规则的分类。 ### 6. 报告代理 生成最终的 SOC 风格结构化输出。 它返回： - 最终裁决 - 风险分数 - 提取的指标 - SOC 解释摘要 目的： 为分析师提供可解释的安全输出。 ## 基于工具的架构 使用模块化工具层进行威胁情报丰富。 功能： - URL 声誉检查 - 真实 VirusTotal API 集成 - 工具抽象层 - 可扩展的 SOC 智能设计 未来集成： - AbuseIPDB - URLScan.io - OpenCTI ## 内存系统 系统维护历史安全上下文： - 存储已知的钓鱼模式 - 检测重复的攻击结构 - 提高上下文推理 - 增强风险评分的一致性 ## 风险评分 风险评分范围：0–100 - 0–30 → 合法 - 31–60 → 可疑 - 61–100 → 钓鱼 ## 架构 ### 系统流程 ``` Email Input ↓ IOC Agent ↓ Threat Agent ↓ VirusTotal Agent ↓ Memory Agent ↓ Reasoning Agent (LLM) ↓ Reporting Agent ↓ Final Classification Output ``` ### LangGraph 工作流程 workflow = StateGraph(AgentState) workflow.add_node("ioc", extract_iocs) workflow.add_node("threat", threat_analysis) workflow.add_node("virustotal", virustotal_agent) workflow.add_node("memory", memory_agent) workflow.add_node("reasoning", reasoning_agent) workflow.add_node("report", reporting_agent) workflow.set_entry_point("ioc") workflow.add_edge("ioc", "threat") workflow.add_edge("threat", "virustotal") workflow.add_edge("virustotal", "memory") workflow.add_edge("memory", "reasoning") workflow.add_edge("reasoning", "report") ## app = workflow.compile() ### 技术栈 - Python - FastAPI - LangGraph - OpenAI GPT-4.1-mini（LLM 推理层） - VirusTotal API（实时威胁情报） - React - TailwindCSS ### 如何运行 - 后端 cd backend pip install -r requirements.txt uvicorn main:api --reload - 前端 cd frontend npm install npm run dev ### 评估 运行评估管道： python evaluate.py - 输出： ## evaluation_result.json -> app = workflow 编译() evaluation_report.json SOC 指标（准确率、精确率、召回率） 混淆矩阵 ### 数据集 位置： backend/soc_dataset.py 包括： 钓鱼电子邮件 合法电子邮件 边缘案例钓鱼（Google 表单，欺骗，HR 诈骗） ## 总样本数：~40 ### 目的 该系统演示了： - 多代理 SOC 推理（LangGraph 工作流程执行） - LLM 辅助的安全决策 - 实时威胁情报集成（VirusTotal API） - 内存增强的检测系统 - 可解释的钓鱼检测 - 评估驱动的 AI 安全系统

标签：Apex, AV绕过, BSD, ESC8, FastAPI, Google表单, LangGraph, LLM驱动, React, Sigma 规则, Syscalls, URL分析, 人工智能, 决策支持系统, 历史攻击模式, 可解释性, 域名分析, 外部电子邮件域名, 多代理系统, 威胁情报, 安全运营中心, 开发者工具, 推理分析, 攻击模式识别, 数据挖掘, 数据收集指标, 机器学习, 用户模式Hook绕过, 电子邮件安全, 病毒总汇API, 社会工程学, 紧急操纵, 结构化决策, 网络安全, 网络映射, 调查问卷, 逆向工具, 钓鱼检测, 隐私保护