文章总结： Agentic-SOC-Simulation是基于DeepSeek与多智能体协同的AI安全实验平台，旨在构建具备自主感知与处置能力的虚拟SOC团队。核心涵盖认知AI分析、动态威胁图谱、生成式攻防演练及异步人机共生机制。支持MCP架构扩展，适用于蓝队运营仿真与红蓝对抗，提升安全运营效率。 综合评分： 85 文章分类： 安全工具,AI安全,安全运营,红队

【蓝队】下一代自主安全运营仿真中心

SafelineMan

贝雷帽SEC

2025年12月31日 00:00 广东

免责声明

本公众号所提供的文字和信息仅供学习和研究使用，请读者自觉遵守法律法规，不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。工具来自网络，安全性自测，如有侵权请联系删除。

工具介绍

Agentic-SOC-Simulation是一个前沿的 AI 安全实验平台，旨在探索 Large Action Model (LAM) 在网络安全领域的极限潜力。通过集成 DeepSeek 推理大模型、多智能体协同 (Multi-Agent Collaboration) 与 MCP (Model Context Protocol) 标准，我们构建了一个具备自主感知、深度推理、自动处置能力的虚拟 SOC 团队。

核心亮点

• 🧠 深度认知智能体 (Cognitive AI Analyst)

• 搭载 DeepSeek 强推理引擎，具备类人的逻辑分析与决策能力。

• 能够处理模糊信息，自主规划调查路径，构建完整的证据链，实现从“告警”到“结论”的端到端自动化。

• 🤖 多角色协同蜂群 (Agent Swarm)

• 分诊 (Triage)

  : 过滤误报，评估告警可信度。

• 取证 (Forensics)

  : 调用工具进行深度调查，构建攻击链路。

• 响应 (Commander)

  : 制定处置策略，执行封禁或请求审批。

• 报告 (Reporter)

  : 汇总调查结果，生成结构化安全报告。

• 模拟真实 SOC 组织架构，四大角色各司其职：

• 通过共享上下文无缝协作，展现出超越单体的群体智能。

• 🕸️ 动态全息图谱 (Dynamic Threat Graph)

• 基于 streamlit-agraph 实时构建攻击链路的可视化知识图谱。

• 通用图谱构建引擎

  ：内置归属、交互、因果三大通用连接原则，无论是 APT 攻击还是勒索软件，都能自动构建出环环相扣的攻击叙事。

• 拒绝孤立节点

  ：强制关联实体，将碎片化的线索（IP、域名、文件、漏洞）重组为直观的攻击叙事。

• ⚡️ 生成式攻防演练 (GenAI Adversarial Simulation)

• 内置 ScenarioGPT 引擎，利用 LLM 的生成能力，一键构建高保真、高复杂度的定制化攻击剧本（如 Log4j、勒索软件、APT 组织活动）。

• 支持“以攻促防”，随时随地进行红蓝对抗演练。

• 🛡️ 异步人机共生 (Async Human-AI Symbiosis)

• 创新的 HITL (Human-in-the-Loop) 机制，确保 AI 在自主行动的同时，关键决策（如全网封禁）始终处于人类专家的监管之下。

• 非阻塞式交互

  ：采用 PENDING_APPROVAL 机制，AI 提交高危操作申请后继续执行其他任务，等待人类专家在仪表盘进行异步确认。

• 🔌 开放式 MCP 架构 (Open MCP Architecture)

• 采用行业前沿的 Model Context Protocol (MCP)，实现工具链的标准化接入。

• 智能工具增强

  ：内置 LLM 驱动的 Payload 分析器，能够精准识别混淆命令执行、内存马注入等高级 TTPs。

• 轻松扩展威胁情报 (VirusTotal)、EDR、防火墙等各类安全能力。

工具使用

1. 环境准备克隆项目并安装依赖：pip install -r requirements.txt2. 启动服务你需要打开两个终端窗口分别运行以下命令：终端 1：启动 MCP 工具服务器python3 -m uvicorn mcp_server.main:app --reload --port 8000终端 2：启动 Web 仪表盘python3 -m streamlit run app/main.py3. 配置与体验访问界面: 打开浏览器访问 http://localhost:8501。配置 API Key: 在左侧边栏的 "系统配置" 中输入你的 DeepSeek API Key 和 VirusTotal API Key（可选）。配置仅在当前会话有效，无需修改本地文件。选择模式:Lazarus APT 模拟: 点击侧边栏的 "模拟 Lazarus APT 攻击链" 按钮，体验预设的高级持续性威胁场景。自定义模拟: 在 "自定义模拟" 区域输入攻击描述（如 "模拟一次针对数据库的 SQL 注入攻击"），点击生成并运行。观察与交互:观察 "SOC Team" 区域，看不同角色的 AI 工程师如何接力工作。在 "知识图谱" 区域，查看实时构建的攻击链路。当遇到高危操作时，在 "人工决策" 区域进行批准或拒绝。

下载链接

https://github.com/SafelineMan/Agentic-SOC-Simulation

End

“点赞、在看与分享都是莫大的支持”

工具精选

【红队】一款红队在大量的资产中存活探测与重点攻击系统指纹探测工具 【红队】集成一站式企业信息资产收集、网络资产测绘的工具。 【红队】内网渗透工具-Viper最新版本 【红队】一个辅助平常渗透测试项目或者攻防项目快速打点的综合工具 【红队】afrog v2.7.2 新版本发布 【红队】横向移动命令执行工具—WMIHACKER 【红队】Aboutveinmind-tools 容器安全工具集 【红队】一个集成了非常多渗透测试工具 【红队】一款内网综合扫描工具，一键自动化、全方位漏扫。 【红队】红队快速打点工具-POC-bomber v3.0.0 版本 【红队】Medusa—红队武器库平台 【红队】一款C2设施前置流量控制工具 【红队】集成 vscan、nuclei、ksubdomain、subfinder等工具的打点神器–scan4all 【红队】网络安全单兵作战工具-YAKIT 【红队】最新 Burpsuite Professional 2023.6.1

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：贝雷帽SEC SafelineMan《【蓝队】下一代自主安全运营仿真中心》