AACDI系统导读：重新定义威胁分析的认知型安全决策方案

AACDI（AI-powered Cognitive Detection & Intelligence）是基于Claude大语言模型的认知型安全决策系统，旨在解决SOC运营中的告警疲劳、规则匹配局限、攻防不对称三大痛点。其核心创新在于将安全分析从"模式匹配"升级为"行为推理"，开创性引入"DECEIVE（欺骗）"作为第四种处置选项，为SOC运营带来认知智能升级，重新定义威胁分析范式。

传统安全运营的三大结构性痛点

1. 告警疲劳：大型企业日均数十万条告警中真实威胁不足5%，分析师70%-80%时间消耗在筛选上，真实攻击易被淹没。
2. 规则匹配局限：SIEM规则仅识别已知模式，对新型攻击、隐蔽手法或APT活动无能为力，攻击者易绕过固定阈值。
3. 攻防不对称：防御方被动响应，规则系统永远追赶攻击者策略，无法主动塑造战场态势。

AACDI的核心突破：从模式匹配到行为推理

AACDI的根本性突破在于利用Claude大语言模型的推理能力，将安全分析从"事件匹配规则"升级为"理解攻击者意图与行为"。它能将多条孤立告警作为整体叙事分析，识别同一攻击者的连续行为（如DNS查询→访问敏感文件→运行PowerShell脚本），即使无单一事件触发阈值。

四层决策框架：引入DECEIVE选项改变攻防博弈

传统系统仅提供"放行/阻断"，AACDI提出四层决策：IGNORE（忽略）、MONITOR（监控）、BLOCK（阻断）、DECEIVE（欺骗）。其中DECEIVE是核心创新：评估攻击者情报价值是否超过即时风险，若判定欺骗更优，则部署虚假环境，浪费攻击者时间并提取其工具、目标、基础设施情报，实现主动防御。

十层认知流水线：深度理解攻击者的行为与意图

AACDI通过十层流程处理事件：情境理解→行为基线→对抗信号检测→攻击者画像→竞争性假设→对抗性思维→战略决策→欺骗规划→后果模拟→元学习。关键能力包括：状态化会话记忆（追踪行为演进）、攻击者分级分类（脚本小子/APT组织）、竞争性假设生成（避免确认偏误）、下一步行动预测（基于攻击链）。

实际工作流程对比：AACDI如何提升SOC效率

• 传统模式：分析师需处理数百条告警，真实攻击可能延迟数天发现。
• AACDI模式：仅推送关键决策通知（如BLOCK凭证填充攻击、DECEIVE APT侦察），分析师半小时内即可处理完毕，剩余时间用于威胁hunting。

AACDI的局限性与风险提示

当前处于"概念验证"阶段，不建议直接生产使用：

1. 需进一步安全加固、渗透测试、法律合规审查（欺骗技术的法律问题因地区而异）。
2. 大语言模型推理延迟（复杂分析需数秒）、API成本（大规模部署需考量）。
3. AI推理的不可解释性：决策依据虽有可视化，但尚未完全透明。

对安全AI发展的启示与项目总结

启示：

1. 领域知识整合（杀伤链、ATT&CK框架）比通用大模型更有价值。
2. 人机协作界面（可视化、可解释决策）是系统采纳的关键。
3. 主动防御（如DECEIVE）是未来方向。

总结：AACDI代表安全分析从"规则驱动"向"认知驱动"的重要探索，虽处验证阶段，但为SOC运营未来提供了有价值参考。