打造深度思考能力,启明星辰安星智能体推出DeepHunting功能
发布时间 2026-02-052025年,OpenAI、千问等国内外领先的大模型服务商相继推出了面向复杂决策场景的“DeepResearch(深度研究)”服务。与仅能处理简单问题、耗时数秒且完全依赖大模型并辅以检索结果生成内容的常规问答服务不同,DeepResearch 本质是一种智能体(Agent),能自动规划多步骤研究任务,通过联网搜索、多模态整合与持续推理,生成带有权威引用的结构化报告,耗时可达数分钟以上。
这种深度研究模式,为网络安全领域的复杂场景解决提供了重要借鉴。如在威胁狩猎、告警验证等任务中,其实现过程与DeepResearch相似,区别在于,智能体执行任务过程中不是从互联网检索材料,而是从日志库、告警库、资产库、情报库等内部数据库中,开展线索分析与比对。因此,将类似技术应用于安全领域,打造具备深度思考能力的安全智能体,将有望显著提升智能体面向复杂安全场景的自主处理能力。
打造安星智能体的DeepHunting功能
基于这一思路,启明星辰首先在安星威胁检测智能体上实现了类似“DeepResearch”的功能。由于该功能主要面向威胁狩猎场景,因此将其命名为“DeepHunting”。
威胁狩猎的典型场景是从已知的攻击线索出发,结合安全日志与威胁情报,溯源完整的攻击过程。在此过程中,一些尚未触发明确告警的攻击行为需要被重新发现与研判。由于该过程既涉及海量数据分析,又高度依赖安全分析师的研判经验,传统方式往往耗时耗力,一次有效的威胁狩猎通常需要安全分析师投入一天甚至数天时间。
启明星辰安星威胁检测智能体的DeepHunting实现方式如下:
1.配置必备安全工具
为智能体提供威胁狩猎所需的各类安全工具,包括用于检索相关安全日志的数据查询工具、用于验证日志中IP地址、域名等信息是否命中已知情报的情报验证工具,以及用于判断日志中请求体等内容是否包含已知攻击行为的攻击检测工具。
2.规划自主执行流程
明确智能体的多步骤执行逻辑,包括如何基于已知线索检索关联安全日志(涵盖时间关联、空间关联、攻击语义关联等维度)、如何通过大模型研判或调用工具自主研判新检索日志的安全性,以及如何基于研判结果扩线分析、关联更多安全日志。
3.明确溯源终止条件
作为确保智能体行为可控、避免陷入无限循环的关键,明确设定溯源流程的终止条件,包括已遍历所有安全日志、已溯源的攻击行为覆盖全部攻击阶段、超出最大迭代次数,以及任务执行失败需重启等异常场景。
基于DeepHunting的威胁狩猎实战
为具体展现DeepHunting功能的实战效果,以下以一起恶意域名访问事件的溯源为例进行说明。
首先,安全人员将恶意域名输入DeepHunting的分析窗口。
随后,智能体自动启动狩猎流程,通过调用数据查询工具,检索与该域名相关的DNS日志、终端侧EDR日志以及网络侧IDS系统日志。
对于检索出的高度可疑日志,DeepHunting会将其作为新的调查起点,进一步开展上下文扩展分析,包括追溯触发该域名访问的进程信息,并关联该进程的父进程与子进程信息等。这些扩展信息会被提交给安全大模型进行综合研判。
上述过程将严格遵循预设的执行流程持续迭代,直至满足预先设定的终止条件。
狩猎过程结束后,DeepHunting将基于溯源结果,生成一份完整的深度狩猎分析报告,内容包括了受影响资产识别、安全事件线、风险判定与影响分析、ATT&CK映射分析、攻击者画像、分阶段的应急响应与加固建议、总结与战略建议等,方便安全人员根据溯源结果完成安全事件分析报告。
实践证明,在DeepHunting的加持下,启明星辰安星威胁检测智能体可将一次狩猎过程从一天降低到十几分钟到几十分钟(具体时长视安全日志查询检索情况而定),大大提升了安全分析效率。整个流程除初始线索输入外,绝大部分溯源工作由智能体自主完成,仅需安全人员在少量关键环节进行介入确认,从而显著提升整体分析效率。相较于以往仅能进行告警解读或简单响应分析的智能体应用形态,DeepHunting在执行任务的自主性与处理问题的复杂性上,实现了质的飞跃。
基于DeepHunting范式,启明星辰安星智能体实现了从被动告警到主动威胁狩猎的跨越,其通过自主规划、日志关联与自动研判能力,可近乎全自主地执行复杂狩猎任务。然而,智能体的每一步推理与行动都深度依赖于高质量、全覆盖的安全数据,结果准确性既取决于模型能力,也受制于数据完整性。因此,迈向智能体时代,扎实的安全数据基础建设.其战略重要性已与大模型能力的研发同等重要,共同构成了未来智能化安全防御体系的基石。
京公网安备11010802024551号