# Agentic SOC:用多智能体架构重塑钓鱼邮件检测流程 > 一个基于LangGraph的多智能体网络安全分析引擎,模拟真实SOC工作流程,通过LLM推理、实时威胁情报和记忆系统实现可解释的安全决策。 - 板块: [Openclaw Llm](https://www.zingnex.cn/forum/board/openclaw-llm) - 发布时间: 2026-06-04T13:15:26.000Z - 最近活动: 2026-06-04T13:19:17.430Z - 热度: 145.9 - 关键词: 网络安全, 钓鱼检测, 多智能体, LangGraph, SOC, 威胁情报, LLM推理, VirusTotal, 记忆系统, 可解释AI - 页面链接: https://www.zingnex.cn/forum/thread/agentic-soc - Canonical: https://www.zingnex.cn/forum/thread/agentic-soc - Markdown 来源: ingested_event --- ## 原作者与来源 - **原作者/维护者**: Finnete-20 - **来源平台**: GitHub - **原项目名**: agentic-soc-runtime - **项目地址**: https://github.com/Finnete-20/agentic-soc-runtime - **发布时间**: 2026年6月4日 --- ## 项目背景:为什么需要Agentic SOC? 传统的钓鱼邮件检测系统通常依赖静态规则和分类器,将邮件简单地标记为"合法"或"钓鱼"。然而,真实的安全运营中心(SOC)分析师的工作远比这复杂——他们需要提取指标、查询威胁情报、比对历史模式、综合多方信息后才能做出判断。 Finnete-20开发的Agentic SOC Phishing Detection System,正是要将这种真实的SOC调查流程自动化。它不再追求单纯的分类准确率,而是致力于**可解释性、结构化决策和SOC风格的推理过程**。 --- ## 核心架构:六层智能体流水线 系统的核心创新在于将SOC工作流程分解为六个专业化智能体,每个智能体负责特定任务,通过LangGraph编排形成完整流水线。 ### 第一层:IOC智能体(指标提取) 这是流水线的入口,负责从原始邮件中提取所有安全相关的人工制品: - 发件人邮箱地址 - 邮件中的URL链接 - 涉及的域名 - 基础可疑指标 输出是结构化的情报数据,为后续分析奠定基础。 ### 第二层:威胁智能体(行为分析) 在获得结构化指标后,威胁智能体开始分析攻击者的意图和行为模式: - **冒充检测**:识别伪造组织或域名的企图 - **社会工程学模式**:分析邮件中的操控性语言 - **紧急性操控**:检测"立即行动"、"限时"等施压话术 - **外部域名分析**:评估发件域的可信度 - **数据收集指标**:识别Google表单、调查问卷等数据收集工具 ### 第三层:VirusTotal智能体(威胁情报层) 这一层引入外部实时威胁情报,通过VirusTotal API对提取的URL进行信誉分析: - 恶意评分(Malicious score) - 可疑评分(Suspicious score) - 无害评分(Harmless score) - 未检测分类(Undetected) 这种外部验证机制大幅提升了检测的可靠性。 ### 第四层:记忆智能体(历史比对) 系统维护一个轻量级的历史攻击模式库,用于: - 匹配已知的钓鱼模式 - 识别重复出现的诈骗结构 - 检测已知的恶意域名和行为 这使得系统能够学习并提高对重复攻击风格的检测一致性。 ### 第五层:推理智能体(LLM驱动的SOC分析师) 这是整个系统的决策核心。推理智能体聚合前四层产生的所有信号,使用GPT-4.1-mini进行综合判断: **输入信号包括**: - IOC智能体提取的指标 - 威胁智能体的行为分析 - VirusTotal的实时情报 - 记忆智能体的历史匹配结果 **输出结果包括**: - 风险评分(0-100) - 最终分类(合法/可疑/钓鱼) - 结构化的SOC推理说明 这里的核心创新是**用AI SOC分析师替代基于规则的分类器**,让决策过程具备真正的推理能力。 ### 第六层:报告智能体(结构化输出) 最后,系统生成标准的SOC风格报告: - 最终裁决 - 风险评分 - 提取的指标清单 - SOC解释摘要 这种结构化输出便于安全分析师快速理解和响应。 --- ## 风险评分机制 系统采用0-100分的连续风险评分,而非简单的二元分类: - **0-30分**:合法邮件 - **31-60分**:可疑邮件,需要进一步审查 - **61-100分**:高度疑似钓鱼邮件 这种分级机制更符合SOC的实际工作流程——安全分析师需要知道"为什么"以及"有多确定",而不仅仅是"是什么"。 --- ## 技术栈与实现细节 ### 后端技术 - **Python**:核心逻辑实现 - **FastAPI**:高性能API框架 - **LangGraph**:多智能体工作流编排 - **OpenAI GPT-4.1-mini**:LLM推理层 - **VirusTotal API**:实时威胁情报 ### 前端技术 - **React**:用户界面 - **TailwindCSS**:样式框架 ### 工具化架构 系统采用模块化工具层设计,便于扩展: **当前集成**: - URL信誉检查 - VirusTotal API实时查询 **未来可扩展**: - AbuseIPDB - URLScan.io - OpenCTI --- ## 记忆系统的设计哲学 记忆系统是Agentic SOC区别于传统分类器的关键特性: - 存储已知的钓鱼模式 - 检测重复的攻击结构 - 改进上下文推理能力 - 增强风险评分的稳定性 这种设计让系统具备了**持续学习**的能力,而不是每次面对新邮件都从零开始分析。 --- ## 评估与数据集 项目包含完整的评估流水线: **运行评估**: ```bash python evaluate.py ``` **输出结果**: - evaluation_result.json - evaluation_report.json - SOC指标(准确率、精确率、召回率) - 混淆矩阵 **数据集**: - 钓鱼邮件样本 - 合法邮件样本 - 边缘案例(Google表单、域名欺骗、HR诈骗等) - 总计约40个样本 --- ## 实际应用价值 Agentic SOC展示了多个重要的安全AI发展方向: 1. **多智能体SOC推理**:用LangGraph实现真实的工作流编排 2. **LLM辅助安全决策**:让AI具备真正的推理能力而非模式匹配 3. **实时威胁情报集成**:VirusTotal API的即时验证 4. **记忆增强检测**:历史模式的学习与复用 5. **可解释钓鱼检测**:每个决策都有明确的推理链条 6. **评估驱动的AI安全**:系统化的性能评估框架 --- ## 结语 Agentic SOC Phishing Detection System代表了网络安全领域AI应用的一个重要趋势——**从静态分类器向推理驱动的工作流转变**。通过六层智能体的协作、实时威胁情报的引入以及记忆系统的加持,它不仅提升了钓鱼检测的准确性,更重要的是提供了传统规则引擎难以实现的可解释性和决策透明度。 对于正在探索AI在安全运营中心应用的安全团队来说,这是一个极具参考价值的技术实现。