sankeerthana0/CSI
GitHub: sankeerthana0/CSI
基于 LangGraph 多智能体编排与 RAG 检索的企业级网络威胁情报自动化分析平台,旨在减少安全团队手动分类与情报关联的工作量。
Stars: 0 | Forks: 0
# 企业级 Multi-Agent 网络威胁情报 Agent
一个企业级的**多智能体网络威胁情报平台**,结合了 **LangGraph 编排、基于 FAISS 的 Retrieval-Augmented Generation (RAG)、FastAPI 服务和专门的 AI agents**,用于分析网络威胁、丰富情报并自动化安全工作流。
该系统接收威胁报告、可疑日志和对抗性指标,通过向量搜索检索上下文情报,在专门的 agents 之间路由分析结果,并生成可操作的安全建议。
## 预览
## 问题陈述
安全团队正疲于应对:
- 海量的传入威胁情报源
- 人工威胁关联
- 缓慢的事件分类
- 碎片化的检测系统
- 有限的上下文补充
传统工作流需要分析师手动执行以下操作:
1. 调查日志
2. 搜索威胁数据库
3. 关联 MITRE ATT&CK 映射
4. 总结调查结果
5. 生成警报
该平台使用 **AI 驱动的 multi-agent 编排**将该流水线自动化。
## 核心功能
### Multi-Agent 威胁情报流水线
专门的 agents 协同执行以下操作:
- 分析可疑活动
- 丰富威胁情报
- 总结事件调查结果
- 生成警报
- 验证推理质量
### 检索增强生成 (RAG)
威胁情报检索使用:
- **FAISS 向量数据库**
- **ChromaDB**
- 嵌入的威胁文档
- MITRE ATT&CK 映射
### LangGraph Agent 编排
agents 之间基于状态的动态编排:
- 摄取 Agent
- 情报分析 Agent
- 执行摘要 Agent
- SIEM 警报 Agent
- 评估审查 Agent
### FastAPI 安全层
用于以下场景的生产级 API endpoints:
- 威胁摄取
- 监控集成
- 安全编排
- 事件流水线
### 评估与验证流水线
自动对 agents 的输出进行评分,评估维度包括:
- 准确性
- 上下文相关性
- 威胁一致性
- 响应质量
## 系统工作流
```
Threat Logs / Threat Reports
↓
Threat Ingestion Layer
↓
FAISS + ChromaDB Retrieval
↓
LangGraph Agent Router
↓
┌─────────────────────────────┐
│ Intelligence Analyst Agent │
│ Executive Summarizer │
│ SIEM Alerting Agent │
│ Critic Evaluation Agent │
└─────────────────────────────┘
↓
Security Recommendations
↓
FastAPI Endpoints
```
## 技术栈
| 类别 | 技术 |
|----------|--------------|
| 语言 | Python |
| Agent 框架 | LangGraph |
| RAG | FAISS, ChromaDB |
| API | FastAPI |
| LLM | Gemini / OpenAI Compatible Models |
| 编排 | Multi-Agent Routing |
| 安全 | MITRE ATT&CK |
| 后端 | REST APIs |
| 评估 | Custom Scoring Pipeline |
# 系统演示
## 1. Multi-Agent 威胁编排流水线
该模块作为核心情报中枢。
它负责:
- 摄取可疑威胁日志
- 在 agents 之间路由执行
- 跟踪状态流转
- 执行自主威胁分析
## 2. 使用 RAG + FAISS 进行威胁情报检索
通过向量情报层检索威胁报告。
功能包括:
- 语义搜索
- 威胁行为体关联
- MITRE ATT&CK 补充
- 恶意软件情报检索
- 上下文基础支撑
## 3. FastAPI 威胁情报 API 沙盒
生产级 API 接口使平台能够集成至:
- SIEM 系统
- 监控流水线
- 检测系统
- 安全自动化工作流
支持的 endpoints 包括:
```
POST /api/agents/run
POST /api/ingest
GET /api/health
GET /api/evaluation/history
```
## Multi-Agent 架构
```
┌─────────────────────┐
│ Threat Logs / IOC │
└──────────┬──────────┘
│
Threat Ingestion Agent
│
FAISS / ChromaDB RAG
│
LangGraph Router Engine
│
┌──────────────┬──────────────┬──────────────┐
│ │ │ │
Intel Analyst Executive SIEM Alert Critic
Agent Summarizer Generator Evaluator
│ │ │ │
└──────────────┴──────────────┴──────────────┘
│
Final Threat Intelligence
│
FastAPI Endpoints
```
## 安全能力
- 威胁情报补充
- MITRE ATT&CK 映射
- IOC 关联
- 恶意软件行为分析
- 自动化威胁摘要
- Multi-Agent 决策路由
- 安全警报生成
## 结果与影响
该系统使安全团队能够:
- 减少人工威胁分类的工作量
- 自动化情报补充
- 提高事件响应速度
- 生成可解释的威胁报告
- 扩展网络情报工作流
## 未来改进
- 实时 SIEM 集成
- Kafka 事件流
- 威胁行为体归因图
- 恶意软件相似性搜索
- 自主 SOC 分析师 agent
- Kubernetes 部署
标签:AV绕过, FastAPI, LangGraph, RAG, 多智能体, 威胁情报, 开发者工具, 网络安全, 自动化响应, 自动化攻击, 逆向工具, 隐私保护