2025-12-27 01:52:23 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 奇安信电网应用系统网络安全巡检智能体系统，融合安全大模型与AgenticAI技术，解决电力巡检数据孤岛及协同低效痛点。系统通过感知规划执行反思闭环，实现跨域数据融合与主动风险发现。实测单机3小时完成4000台主机巡检，人力成本降低超80%，实现了从工具辅助到智能体主导的变革。 综合评分： 88 文章分类： AI安全,解决方案,安全运营,安全建设

cover_image

案例展示|奇安信——电网应用系统网络安全巡检智能体系统

奇安信集团

2025年12月26日 18:08 北京

以下文章来源于关键信息基础设施安全保护联盟，作者关小宝

关键信息基础设施安全保护联盟 .

在国家监管部门的协调指导下，汇集我国关键信息基础设施保护工作部门、运营者、服务机构、科研机构及网络安全产业，基于平等自愿、资源共享、共同发展的原则，构建跨行业、开放式、创新型、实战化的运营平台，助力推进我国关基的重点保护。

为赋能行业发展，关保联盟将陆续发布《关键信息基础设施安全保护支撑能力白皮书——以新质战斗力引领“AI+”时代网络安全（2025年）》优秀案例，供行业同仁引用参考、交流借鉴。

奇安信——电网应用系统网络安全巡检智能体系统

一、背景与场景

为确保符合网络安全重保等长周期保障值守巡检要求，针对值守人数众多、技能素质不一、巡检效果难以保证等问题，本方案聚焦于提升企业应用系统的安全巡检效率与研判水平，围绕安全巡检执行、汇聚、分析、决策的全过程，实施智能化能力的融入和升级。

二、融入AI要解决的问题

本方案通过在当前电力系统巡检流程中引入安全垂域大模型与Agentic AI智能体技术，系统性解决当前电力系统网络安全巡检中长期存在的核心痛点：

信息割裂与数据孤岛

安全运营与IT运维之间缺乏有效的数据联通，导致安全告警脱离业务背景、溯源调查缺少IT侧信息，形成“安全”与“运维”两套独立的资产账目，无法全面评估风险。

工具功能局限与业务脱节

现有安全工具（如SOC平台）局限于安全日志分析，缺乏对应用运维数据的整合，无法关联业务异常或评估真实业务影响，导致风险研判和应急处置效率低下。

协同效率低下与手动依赖

安全团队与运维团队之间依赖人工沟通和手动操作（如应急处置），联动范围有限，缺乏自动化协同机制，拖慢风险响应速度，增加操作成本与误差风险。

三、电力系统网络安全智能巡检解决方案架构、方案和工作原理

本方案采用“安全大模型为认知中枢，AgenticAI为执行引擎，工具化封装为能力延伸”的一体化技术架构，构建具备自主感知、规划、执行与反思能力的智能巡检系统。其核心原理在于通过大语言模型的理解与推理能力，驱动智能体在真实业务环境中完成复杂任务闭环。

总体架构设计

总体设计思路下图所示：

应用巡检智能体总体设计思路

（1）智能底座

构成过程基于国产化大模型，通过海量网络安全专业知识（漏洞库、攻击手法、安全配置规范等）进行持续预训练和后训练（SFT），并利用RLHF（人类反馈强化学习）进行对齐优化。核心能力是系统运维和安全运营知识的融合应用。

（2）智能体引擎

运行机制严格遵循“感知-规划-执行-反思”的闭环逻辑（PPAR循环）。

感知：接收用户自然语言指令，并调用工具获取目标环境的初始数据（如资产列表、近期告警）。

规划：基于任务目标和当前感知信息，进行任务分解和路径规划。

执行：根据规划结果，自主调度和调用下层封装好的各类工具（如通过SSH执行命令、调用API获取日志），完成数据采集和初步处理。

反思：对执行结果进行多源校验、关联分析和质量评估。若数据不完整或发现新线索，可触发新一轮的“规划-执行”循环。

（3）工具能力封装

采用MCP协议，对现有异构系统进行轻量级、声明式的封装。封装对象包括以下平台/系统，智能体无需理解各平台/系统底层实现细节，只需通过MCP发出标准化指令，即可无缝调用跨系统能力，真正打破数据孤岛。

运维平台（如蓝鲸）：封装主机资产查询、脚本远程执行、进程状态检查等能力。

安全平台（NGSOC态势感知）：封装告警查询、威胁链生成、资产风险等级调用等接口。

审计系统（如账号行为审计系统）：封装用户行为日志检索、异常行为识别等模块。

（4）应用交互界面

提供巡检目标管理、巡检模板配置（支持自然语言生成）、任务定时调度、巡检报告可视化展示等功能，支持交互式调试。

核心方案与工作原理

（1）安全垂域大模型训练

持续预训练，注入电力行业术语、安全标准等领域知识。有监督微调，使用高质量的指令-应答对数据，训练模型遵循复杂巡检指令的能力。强化学习对齐，采用RLHF/DPO等算法，基于专家反馈优化模型的输出质量和安全性，确保其判断符合行业规范。

（2）AgenticAI智能体实现

在规划阶段，模型利用内部知识将宏观目标分解为具体、可执行的子步骤序列。在执行与反思阶段，作为一个动态调整的过程，智能体不是机械执行预设计划，而是会根据执行反馈实时优化。在反思阶段，智能体会判断是否需要增强巡检深度，从而动态调整计划。

（3）工具化封装与RAG增强原理

工具封装：基于MCP协议，为每个外部系统（如蓝鲸、NGSOC）定义一个工具说明书，明确其功能、输入参数格式和输出数据结构。智能体在规划时，可以准确选择并调用合适的工具。

RAG增强：为解决大模型知识滞后和内部记忆有限的问题，系统外挂了可更新的安全知识库（如最新的漏洞公告、应急响应预案）。在反思阶段，智能体会自动检索相关知识片段，将其作为额外上下文输入模型，从而生成更准确、更及时的分析结论。

四、智能化效果/成果

本方案的核心成果是通过人工智能技术的深度融入构建了一套具备自主感知、规划、执行与反思能力的应用巡检智能体系统。

巡检效率的跨越式提升

传统人工巡检模式在应对大规模、高频次任务时效率瓶颈突出，而智能体系统实现了数量级的效率提升。

批量巡检性能突破：在单台华为昇腾910B（8卡NPU）服务器的算力支撑下，系统可实现4000台主机在3小时内完成全量巡检与多源数据综合分析。折算后，每千台主机的联合巡检时间稳定在1小时以内，远超人工巡检（通常需数天至数周）的效率。

实现网络安全重保场景下的“以机助人”，由智能体承接长周期、高强度的值守巡检任务，大幅节省巡维人力成本。

即时响应能力增强：针对突发安全事件或临时巡检需求，智能体可根据自然语言指令启动并完成定向深度巡检，形成拟人化交互式巡检，极大缩短了风险处置窗口。

巡检质量与标准化水平显著增强

智能体系统通过固化专家知识和统一执行标准，从根本上解决了人工巡检质量不稳定的问题。基于同一套知识体系和推理逻辑，智能体对相同风险项的判定结果保持一致，避免了因人员主观因素导致的误判或漏判，输出报告的标准化与可信度大幅提高。

跨域数据融合与主动风险发现能力实现从0到1的突破

这是本方案相较于传统自动化工具最核心的智能化成果。智能体不再是被动执行脚本，而是具备了主动思考和关联分析的能力。

实现多源数据自动关联：系统成功打通了IT运维平台（蓝鲸）、安全态势平台（NGSOC）和账号行为审计系统之间的数据壁垒。在一次巡检任务中，智能体能够自动关联主动采集的主机配置信息、安全平台的实时告警数据以及审计系统的用户行为日志。

生成系统性风险洞察：智能体具备从主机级别到业务系统级别的聚合分析能力。如它能从单台主机的异常日志出发，自动关联同一业务系统下的其他主机，识别出共性的配置弱点或潜在的攻击横向移动路径，并生成包含风险等级、影响范围、处置建议的结构化报告。

主动发现潜在威胁：通过反思机制和RAG增强的知识库，智能体能够识别出人工难以发现的潜在风险。如在连续巡检中，若发现某类低风险告警反复出现但未被处理，智能体会自动提升其风险权重并提示关注，实现了“从被动响应告警”到“主动发现隐患”的转变。

知识沉淀与系统自进化机制初步形成

系统不仅执行任务，更在过程中持续学习和优化，形成了良性循环。

专家经验有效数字化：通过方案的实施，将资深安全运维专家的巡检策略、分析逻辑和处置经验沉淀到垂域大模型和RAG知识库中，形成了可复制、可传承的“数字资产”。

智能体具备持续学习能力：基于数据飞轮机制，智能体在任务执行过程中的成功经验与反馈数据可以被记录，用于后续的模型微调或RAG知识库更新，使系统能够持续优化其巡检策略和分析准确性，实现“越用越聪明”的效果。

培养复合型技术团队：通过方案的研发与落地实践，成功培养了一批掌握“AI+安全运维”核心技术的复合型人才，包括多名技术骨干和领域专家，为后续技术迭代和应用推广储备了关键力量。

五、价值与亮点

本方案的核心价值在于将AgenticAI范式系统性应用于工业级安全巡检场景，实现了从“工具辅助”到“智能体主导”的根本性转变。其核心优势体现在三个层面：

架构领先性

真智能体架构：采用“感知-规划-执行-反思”的完整AgenticAI闭环，使系统具备任务理解、动态规划和自主决策能力，而非依赖预设脚本的静态自动化。

模型与工具解耦：通过MCP协议标准化工具接口，实现智能体能力与后端系统的松耦合，具备无限扩展性，可快速接入新数据源或业务系统。

持续进化机制：内置RAG和数据飞轮，使智能体能在运营中持续积累经验、优化策略，成为可成长的“数字员工”。

业务变革性

自然语言交互：用户可通过自然语言下达复杂巡检指令，大幅降低使用门槛，实现“所思即所得”。

全局关联分析：首次在巡检中实现安全、运维、审计数据的自动关联，从“单点风险检测”升级为“系统性风险洞察”。

知识资产化：将专家经验固化于模型中，形成可复用的组织知识资产，有效解决人才依赖和知识流失问题。

落地实效性

零侵入式集成：无需改造现有业务系统，通过标准接口（SSH、API）对接，部署快捷，风险可控。

行业模板库：内置电力等行业合规性检查模板，支持开箱即用与灵活定制，加速价值兑现。

规模化效益：单服务器即可支撑数千节点巡检，显著降低人均运维成本，在已落地案例中实现人力投入降低超80%。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信集团《案例展示|奇安信——电网应用系统网络安全巡检智能体系统》