文章总结: 本文提出基于大模型长上下文的威胁猎手智能体解决方案,通过UEL统一实体层对齐异构数据源,采用端侧与网侧双塔图谱融合建模,结合L1-L4分层证据策展机制生成可解释威胁评分,最终通过LLM网关生成溯源报告并回填检测规则,实现从被动告警到主动狩猎的运营闭环。 综合评分: 87 文章分类: 威胁情报,安全运营,安全工具,解决方案,安全建设
速度与激情4,威胁猎手【深狩】:静默不是清白,是我在翻你的上一页
dimu dimu
AI简化安全
2026年5月4日 16:51 广东
在小说阅读器读本章
去阅读
编者按|背景、内容与读者
大模型侧 DeepSeek V4 级别能力带来约 1M token 长上下文,使”跨周、多块证据一次性共读”在工程上成为可能;同时 Flash 等档位在批量狩猎场景下更具价格友好性,适合作为常态化运营的推理入口,复杂个案再路由至更强模型。
本文在此基础上展开 威胁猎手智能体(Deep Fusion):先交代传统威胁狩猎究竟难在哪里——为什么SOC”有数据、无结论”是常态;再以 UEL / 关系图谱 打通异构源,以 端侧与网侧图模型 + 融合层 产出可解释打分与证据指针,通过三路消融实验(端侧图→LLM / 网侧图→LLM / 双塔融合→LLM)验证融合层的不可替代性;最后以 L1–L4 策展包控制噪声与成本,经 LLM 网关编排生成可追溯溯源报告,支持 工单回写与 KQL/Sigma 规则回填,形成从被动告警到主动狩猎的运营闭环。
读者对象:甲方安全负责人、SOC/Tier2 威胁猎手与数据工程、乙方产品与交付架构师。
一、传统威胁狩猎的真实困境:为什么 SOC 长期”有数据、无结论”
1.1 过去怎么做威胁狩猎
在绝大多数 SOC 现场,威胁狩猎的实际形态是:
- • 事件驱动:出了告警才查,没告警就当没出事;
- • 单源回溯:在 SIEM 里手动下 KQL/SPL,围绕一个 IP 或一个 hostname 翻日志;
- • 人工拼图:EDR 进程树、FW 会话流、AD 审计、NDR 元数据散落在不同控制台,分析师靠脑记和 Excel 做关联;
- • 经验密集:一个能独立完成 30 天回溯的高级猎手,培养周期通常 >18 个月。
这套流程有两个致命缺陷:一是查什么取决于”想到了什么”——没有想到的攻击模式永远不会被搜索;二是跨 30 天的证据散布在多套系统中,单靠人脑根本拼不出完整故事线。
1.2 核心矛盾:SOC”安静” ≠ 没有攻击者
SOC 安静,往往只能证明两件事:你的规则在工作,但未必证明你的对手没有工作。真正危险的攻击,不是”没进来”,而是”进来了但不吵”——每一个信号都很小,但整条链路很长。
| 传统狩猎的瓶颈 | 根因 | 造成的后果 | | — | — | — | | 跨源割裂 | 用户名、NAT、会话与主机别名难以对齐 | 同一实体在 EDR/FW/NDR/AD 中有四种身份,人工拼图以小时计 | | 阈值与白名单膨胀 | 慢速渗出、Living-off-the-land、服务账号滥用被降噪压住 | 攻击链每个环节都”低于规则线” | | 保留策略不一致 | 热点索引、冷存储、跳板录像保留窗口错位 | 回溯时”看得见 SIEM,看不见全貌” | | 经验不可复制 | 高级猎手的判断力难以标准化 | 人走经验走,团队没有沉淀机制 |
1.3 从”被动响应”到”主动防御”的价值跃迁
传统 SOC 流程:日志进来 → 规则匹配 → 出告警 → 人工研判 → 关工单。这个闭环处理的是”已知的坏”,对”未知的坏”和”潜伏中的坏”几乎无能为力。
威胁猎手 Deep Fusion 要做的,是把安全运营从”告警处理中心”升级为”攻击链理解中心”:
- • 从查”一个事件”到还原”一条故事线”;
- • 从依赖个人经验到沉淀可复用规则;
- • 从事件驱动到假设驱动——主动验证”攻击者可能在哪里”,而不是等告警报”哪里着火了”。
这个价值不是”省了几个分析师工时”,而是让组织具备了主动发现潜伏攻击的系统性能力——此前这项能力完全绑定在少数高级猎手的个人经验上。
二、案例背景:制造企业网络拓扑与”安静 SOC”困局
下文对标合成企业 “华枢智造科技(FabricTech)”:
- • 行业:工业控制器、精密传感器研发与代工;图纸与 BOM 存放在 PLM/DMS
- • 布局:上海总部 + 深圳(研发副中心)+ 苏州(工场与仓储)+ 西安(国产化替代测试)
- • 域环境:全员 Windows 域终端 + 研发 macOS/Linux 混合接入零信任网关
- • 网络分区:INET / DMZ / DC‑CORE / DC‑DATA / SEC‑MGMT / OFC‑TERM / OT‑EDGE
- • 探针覆盖:EDR(MDE + SentinelOne)、NDR(Darktrace / ExtraHop / Cisco SNA)、边界防火墙(PA + FortiGate)+ IPS、DMZ WAF、AD 审计、SIEM 与 ServiceNow
2.1 事件表象:SIEM 安静,但现场”觉得不对”
约 3~4 周内:
- • PLM/DMS 偶发卡顿,IT 归因存储与巡检窗口;
- • 有人看到 EDR”已处理”类提示(钓鱼宏)但未建单;
- • 工场 MES 网关 单次短连接异常,记在运维笔记,未升级安全。
但在技术侧,多个信号分散在各自系统里:
| 来源 | 现象 | 为何未告警 |
| — | — | — |
| EDR | Excel → PowerShell → update.microsoft-pki.com(仿冒) | 归并到管理员例外或低风险 |
| 防火墙 | 持续 443 至云 OSS、上行小包多频 | 无”慢渗漏”专项策略;与备份场景混淆 |
| NDR | JA3 与常见云客户端撞脸 | 未开强基线模型(怕误报) |
| JMPT | 服务账号 srv-backup 非窗登录、PS -enc | 在变更白名单,规则压制 |
| AD | 无 DCSync 等大声事件 | 攻击者慢速、合法路径优先 |
这就是传统狩猎最典型的困局:每一条日志都”看起来没什么”,每种工具都”单独看不值得升级”。但把它们拼在一起——有人进来了,一直没走。
三、威胁猎手智能体整体设计
3.1 设计原则(四不四要)
四不:
- 1. 不替代现网 SIEM:检测、降噪、SOAR、工单主链路保留
- 2. 不把全量原始日志喂模型:成本、泄露、上下文浪费三道红线
- 3. 不自动封网:模型结论打 ★ 标记,处置走工单与人审
- 4. 不依赖单一数据源做判断:端侧证据与网侧证据必须融合互验
四要:
- 1. 要先做实体对齐再建模:UEL 统一实体层是地基
- 2. 要端侧 + 网侧双塔独立建模再跨域融合
- 3. 要 L1–L4 分层策展充当长上下文的节流阀
- 4. 要证据可回链:每条结论带
evidence_refs,每条输出配 SIEM 复核 KQL
3.2 数据价值链:从”数据过载”到”证据驱动”
传统 SOC:多源日志 → SIEM 索引 → 规则/ML Job → 降噪 → 告警。这条链路对弱信号不友好。
Deep Fusion 在旁路新增一条证据价值链:
多源日志 ──→ UEL 实体对齐 ──→ 端侧图 + 网侧图 ──→ 双塔融合打分
│
┌───────┘
▼
L1–L4 分层策展
│
▼
LLM 长上下文推理
│
▼
溯源报告 + KQL复核 + 规则回填
本质变化:从”等告警→查日志→靠经验拼图”变成”假设→图谱检测→融合打分→长上下文叙事→回填规则”。
3.3 分层总体架构
┌─────────────────────────────────────────────────────┐
│ 数据源层 │
│ EDR/XDR │ NDR/流 │ NGFW/WAF/IPS │ AD/IAM │ CMDB │
└─────────────────────┬───────────────────────────────┘
▼
┌─────────────────────────────────────────────────────┐
│ 数据工程层(规范化/去重/PII策略/血缘) │
└─────────────────────┬───────────────────────────────┘
▼
┌─────────────────────────────────────────────────────┐
│ UEL 统一实体 + 端侧图(HGT/RGCN) + 网侧图(TGN) │
│ │ │ │
│ └── 融合层 ────────┘ │
│ Cross-Attention / MLP │
└─────────────────────┬───────────────────────────────┘
▼
┌─────────────────────────────────────────────────────┐
│ L1–L4 证据策展(节流阀 + 合规最小化) │
└─────────────────────┬───────────────────────────────┘
▼
┌─────────────────────────────────────────────────────┐
│ LLM 推理网关(配额/审计/路由)→ DeepSeek V4 API │
└─────────────────────┬───────────────────────────────┘
▼
┌─────────────────────────────────────────────────────┐
│ 溯源报告 · KQL复核草案 · Sigma规则 · ITSM工单回写 │
└─────────────────────────────────────────────────────┘
治理横切:RBAC · 脱敏 · RACI · 回归
四、详细设计:逐模块拆解
4.1 数据源与接入层
| 类别 | 典型来源 | 接入要求 | | — | — | — | | 终端 | EDR (MDE / SentinelOne) | 进程树、脚本块、网络 connect 事件 | | 网络 | NGFW (PA / FortiGate) + NDR (Darktrace / ExtraHop / Cisco) | 会话流、JA3/JARM、DNS 解析链 | | 边界 | WAF (F5 ASM)、IPS | 攻击特征、误报标记 | | 身份 | AD Security / IAM | 登录、权限变更、服务账号行为 | | 运营上下文 | SIEM 告警、ITSM Case、CMDB | 告警生命周期、资产归属、处置状态 |
4.2 UEL 统一实体层
UEL 解决的核心问题:同一个实体在不同系统中的身份不一样。
| 实体 | UEL 主键 | 关键对齐逻辑 |
| — | — | — |
| Host | hostname + mac | EDR ↔ FW ↔ NDR 资产视图对齐 |
| User | tenant + account_id + account_type | 区分服务账号与人工账号 |
| Process | host_id + pid + process_start_ts | 避免 PID 复用造成误关联 |
| IP | ip + scope(internal/external) | NAT 场景保留 pre_nat/post_nat |
| Network Flow | 5-tuple + window_id | 终端 connect 与网络 flow 的 join 键 |
NAT 还原是 UEL 落地第一道坎:若不做 pre_nat/post_nat 还原,终端 connect 的 src_ip 与防火墙 flow 的 src_ip 就是两个不同实体,后续所有跨域关联全部断裂。
4.3 端侧知识图谱(终端异构行为图)
- • 节点:
Process、File、Network、Registry、User - • 边:
spawn、read/write、connect、load、login - • 每条边必带:
event_ts、host_id、confidence、source_ref - • GNN 选型:HGT(异构图表征) 或 RGCN,用于异常子图/节点评分
- • 核心要求:完整恢复 PPID 链路(进程树是终端证据的物质基础),syscall 序列以”边特征”存储而非仅保留单点事件
端侧图独立回答:这台机器上发生了什么?——进程父子关系、文件操作链、登录时间线。
4.4 网侧知识图谱(网络时序图)
- • 节点:
Host、Domain、ExternalIP、Service - • 边:
flow、dns_query、resolve、lateral、access - • 流量边特征:
bytes、packets、duration、interval_entropy、policy_hit - • GNN 选型:TGN(时序图网络) 或 EvolveGCN,用于 beaconing、横移时序异常
- • 快照粒度:默认 15m 或 1h 快照图(可配置);内网横移边单独打标签
网侧图独立回答:流量去了哪里、频率如何?——DNS 解析链是否异常、外联是突发还是持续、横移路径如何。
4.5 跨域融合层:为什么端侧图和网侧图必须”结婚”
这是新架构中最关键的一层。通过 connect 事件与网络 flow 做时间窗 join(默认 ±120s,按 5-tuple + 时间差最小 → 流量最大 优先级匹配),形成:
Process --initiates--> Flow --maps_to--> ExternalIP/Domain
这条边直接回答传统狩猎中最贵的问题:”哪个进程发起了哪条可疑外联?”
融合策略采用双塔 + Cross-Attention:终端 embedding(HGT/RGCN 输出)+ 网络 embedding(TGN/EvolveGCN 输出)经 cross-attention 层交互后,由 MLP 输出统一 risk_score。相比直接在图层构建统一跨域图(HeteroGraph),双塔方案工程复杂度可控、可分别迭代。
4.6 证据策展 L1–L4
策展层的意义在于控制进入 LLM 的信息密度:
| 层级 | 内容 | 典型格式 | 对应推理轮次 | | — | — | — | — | | L1 | 按实体+小时聚合的连接/字节统计 | CSV 窄表 | 第1轮:全局轮廓 | | L2 | 超基线 N 倍的时间槽 + 邻原始日志 | JSON 片段 | 第2轮:关键跳点核查 | | L3 | 实体关系边表:频率与时间窗口 | 边列表 CSV | 第2轮:关系补全 | | L4 | 同实体告警按时间排列 | JSON 序列 | 第1轮:告警语义 |
推荐推理编排:先投 L1+L4(全局轮廓与异常主线),再补 L2+L3(校验关键跳点与实体关系),最后生成叙事与 MITRE 映射。
4.7 LLM 推理网关
| 能力 | 实现 |
| — | — |
| 模型路由 | DeepSeek Pro(复杂个案)/ Flash(批量日常)/ Kimi(辅助)按案情分流 |
| 审计 | 每次推理保留 prompt 摘要哈希、输入源列表、analyst 签收 |
| 反幻觉 | 网关 system prompt 要求引用 event_id;无则作答”不足以结论” |
| 配额 | Token 预算、分块编排、会话 ID 追踪 |
4.8 闭环与度量
| 指标 | 含义 | 目标 | | — | — | — | | 图覆盖率 | 可 join 的终端-网络事件比例 | >75% | | 高风险命中确认率 | analyst_verdict = confirmed 的比例 | >60% | | MTTR-hunt | 从假设提出到验证结论的平均时间 | 持续下降 | | 规则采纳率 | 模型建议规则被回填至 SIEM 的比例 | 运营 KPI |
五、消融实验:端侧图→LLM vs 网侧图→LLM vs 双塔融合→LLM
这是本文最核心的技术论证:融合层到底有多少增益?
5.1 实验设定
在 demos/sample-logs 多分源 JSONL 上构造三路对比:
| 路线 | 输入给 LLM 的内容 | 特点 | | — | — | — | | A:端侧图 → LLM | 仅 EDR 进程树 + 文件操作链 + 端侧 GNN 评分 | 能回答”机器上做了什么”,看不见外联全貌 | | B:网侧图 → LLM | 仅 NDR/防火墙流 + DNS 解析链 + 网侧 GNN 评分 | 能回答”流量去了哪里”,不知道谁发的 | | C:双塔融合 → LLM | 端侧 embedding + 网侧 embedding + Cross-Attention 融合 + 跨域关联证据 | 同时回答”谁”+”去了哪”+”为什么可疑” |
5.2 结果对比
| 指标 | A:端侧直连 LLM | B:网侧直连 LLM | C:双塔融合 → LLM | | — | — | — | — | | Precision | 0.48 | 0.38 | 0.67 | | Recall | 0.82 | 0.60 | 1.00 | | 可解释证据链完整度 | 中(缺外联) | 低(缺进程) | 高(端到端) | | 分析师复核确认耗时(中位数) | 6.2 h | 7.8 h | 4.2 h |
5.3 逐路解读
仅端侧图(A):能看到 Excel → PowerShell → 外联 的进程链,但外联目标是否真是恶意 C2?没有网侧 flow 互验,分析师仍需手工查 FW/NDR 确认——所以 Recall 0.82(能检出不少),但 Precision 仅 0.48(误报也高)。
仅网侧图(B):能看到某 host 有持续低量 443 上行到云 OSS,但这是正常备份还是慢渗漏?没有端侧进程上下文,大量正常业务流量被误标——Precision 低至 0.38,Recall 也掉到 0.60(很多攻击在纯网络视角下无特征)。
双塔融合(C):端侧告诉你”powershell 发起的连接”,网侧告诉你”这个连接持续 14 天、低频小包、目标域名首次出现即发起连接(无前置 DNS 解析)”——两者互验,Precision 从 0.38/0.48 提升到 0.67,Recall 达到 1.00。分析师拿到的不是”一堆可疑实体”,而是一条带来源互验的证据链。
融合层的价值一句话:不是让模型”更聪明”,而是让输入给模型的证据本身不再是孤证。
5.4 MTTR-hunt 数字的正确读法
5.28 h → 4.23 h(约 20%)看起来不大,但这个数字的真实意义分三层:
- 1. 时间维度:每次狩猎节省 ~1 h,SOC 每周至少 3 次深度回溯,月省 >12 h 高级人力——相当于一个兼职猎手的产能释放;
- 2. 质量维度:省掉的这 1 h 恰是原先最耗时的”跨源手工拼图”——这不是线性节省,是省掉了最依赖个人经验、最不可复制的部分;
- 3. 规模化维度:传统模式下猎手同时追 2-3 条假设;Deep Fusion 可并行跑 10+ 条假设初筛,人工聚焦高分项——单位时间内可验证的假设数量是量级变化。
真正该看的指标不是单次 MTTR-hunt,而是”每月可验证假设数 × 确认率”——这才是主动防御能力的量化。
六、实验验证:离线样本跑批全程
图:增加威胁猎手后的流程
6.1 样本说明
在 demos/sample-logs 的 14 个多分源 JSONL 上运行完整管线:
- 1. 实体对齐(UEL):
uel_entities_*+uel_edges_*建表 - 2. 跨域关联:
endpoint_connect_events×network_flow_events,5-tuple + ±120s join - 3. 双塔建模:端侧 HGT / 网侧 TGN,融合 Cross-Attention →
risk_score+evidence_refs - 4. L1–L4 策展 → DeepSeek V4 推理 → 溯源报告草案
6.2 评估方法
- • 固定 30 天窗口 + 标签集(含低危合并场景)
- • 每条 Top 结论可回链事件 ID
- • 分析师复核工时记录为 MTTR-hunt 代理指标
- • 回归 Precision / Recall,禁止单边优化
6.3 跑批结果
在保持 Recall 不下降的前提下:
| 指标 | 仅 SIEM 规则+告警 | Deep Fusion 管线 | 变化 | | — | — | — | — | | Precision | 0.50 | 0.67 | +34% | | Recall | 0.82 | 1.00 | +22% | | MTTR-hunt(中位数) | 5.28 h | 4.23 h | -20% | | 可并行处理假设数 | 2–3 | 10+ | 量级提升 |
七、端到端狩猎流程(九步)
与 SOUL.md HYP 卡片对齐:
假设提交 → 多源查询 → 图谱与候选 → 端/网模型 →
融合评分 → L1–L4 组包 → 约1M上下文推理 → 报告输出 → 回写与优化
八、工程风险
| 风险维度 | 典型表现 | 缓解思路 |
| — | — | — |
| 数据质量 | 别名混乱、NAT未还原 | UEL 门禁 + 资产字典先行 |
| 图谱关联 | 跨源 join 命中率低(<60%) | 优化时间窗、NAT回写、关联规则迭代 |
| 模型漂移 | 业务变更导致误报波动 | 分场景阈值、A/B 灰度、季度回归集 |
| 长上下文成本 | token 与延时超预期 | L1–L4 强制策展、Flash 批量路由 |
| 可解释与审计 | 结论难回链原始事件 | 强制 evidence_refs、网关审计、人审放行 |
| 合规与数据主权 | 出境与留存争议 | 私有化/区域 endpoint、脱敏、分级流转 |
| 运营协同 | RACI 不清 | 工单模板、升级路径、狩猎例会制度化 |
| 自动化边界 | 模型误封堵 | 默认只读 + 人工审批 ,与闸门一致 |
九、甲方落地建议
9.1 A 类甲方(金融、大型科技、头部制造,具备自研与数据团队)
- • 目标:采购底座 + 自主演进规则、特征与路由
- • 组织:SOC + 数据工程 + 安全研发 + MLOps
- • 模型路径:厂商预训练 → 租户校准 → 重点场景增量微调
- • 采购清单含:UEL引擎、双图构建工具链、融合模型 SDK、LLM 网关
9.2 B 类甲方(政府、教育、医疗等偏直接使用型)
- • 目标:快速可运营、合规与审计优先
- • 形态:托管或半托管,甲方以策略、审批与工单为主
- • 模型路径:以推理与模板适配为主,弱化自训练依赖
9.3 三种交付模式
| 模式 | 含义 | 适用 | | — | — | — | | 托管推理 | 厂商主导模型与模板更新 | 人力紧张、要快上线 | | 轻量适配 | 不重训练,靠白名单、阈值与输入策展本地化 | 合规严、迭代节奏中等 | | 自研增强 | 甲方参与训练与持续迭代 | 追求长期差异化与可控 IP |
9.4 一月快启与验收
- • Week 1:核心源只读接入 + 网关审计联调 + 最小闭环
- • Week 2:资产字典、白名单、模板与阈值校准
- • Week 3:账号盗用 / 横移 / 外传等 3 个高价值场景灰度
- • Week 4:首轮规则回填、月报与运营机制固化
验收四维指标:Precision、Recall、MTTR-hunt、报告/规则采纳率(前三个看技术能力,第四个看运营闭环)。
结语
静默不是清白。
传统 SOC 的”安静”,往往只是一个误判——攻击者不在你的告警列表里,不等于不在你的网络里。
DeepSeek V4 的 1M 上下文 + 友好定价,只有在图谱、策展与融合层准备好的前提下,才能真正服务于长周期溯源——否则只是在更贵的窗口里读更多噪声。
端侧图告诉你”谁动了什么”,网侧图告诉你”流量去了哪里”,融合层让两者互验——当证据不再是孤证,静默才真正被打破。
图谱是骨架,双塔+融合是判别,L1–L4 是节流阀,LLM 是表达与编排,工单与规则回填是生命线。当这条链条跑顺,安全运营才会从”告警处理中心”升级为”攻击链理解中心”。
这才是威胁猎手【深狩】真正想交付的答案。
提示:本文为解决方案层面的设计。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:AI简化安全 dimu dimu《速度与激情4,威胁猎手【深狩】:静默不是清白,是我在翻你的上一页》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论