文章总结： 该项目介绍了基于DeepSeek大模型与多智能体协同的自主安全运营平行仿真平台ASS。平台通过模拟全栈SOC工作流，实现分诊、取证、响应及报告的自动化，并具备动态威胁图谱构建与生成式攻防演练能力。项目采用MCP标准架构，支持异步人机协同与外部工具集成，旨在通过AI专家级推理提升安全运营效率，适用于安全培训、流程验证及红蓝对抗演练。 综合评分： 89 文章分类： AI安全,安全运营,安全工具,红队,安全培训

---

Agentic-SOC-Simulation——自主安全运营平行仿真中心

一个人挺好

一个人挺好zhy

2026年1月4日 18:33 上海

项目开发者

项目地址：

https://github.com/SafelineMan/Agentic-SOC-Simulation

#

Agentic SOC Parallel Simulation (ASPS): 自主安全运营平行仿真中心 重新定义安全运营的未来：全栈 SOC 平行仿真、七大智能体协同与数据驱动的自主防御

本项目是一个前沿的 Agentic SOC 平行仿真平台，旨在探索 Large Action Model (LAM) 在网络安全领域的极限潜力。通过集成 DeepSeek 强推理引擎、多智能体协同 (Multi-Agent Collaboration) 与 MCP (Model Context Protocol) 标准，我们构建了一个全栈式、全流程、全自动的虚拟 SOC 团队。

在这里，AI 不再是简单的脚本执行者，而是具备专家级思维链 (Chain of Thought) 的数字分析师。从紫队生成攻击流量，到蓝队开发检测规则，再到运营团队的分诊、取证与响应，七大智能体在平行空间中自主演练、自我进化。它能够像人类专家一样，从海量数据中抽丝剥茧，构建动态攻击图谱，并果断采取行动，将安全运营的效率与智能化水平提升至新的维度。

一、项目概述

Agentic-SOC-Simulation（ASS） 是一个前沿的 AI 安全实验平台，旨在探索 Large Action Model（LAM）在网络安全领域的极限潜力。通过集成 DeepSeek 推理大模型、多智能体协同（Multi-Agent Collaboration）与 MCP（Model Context Protocol）标准，构建了一个具备自主感知、深度推理、自动处置能力的虚拟 SOC 团队。

项目模拟真实安全运营中心（SOC）工作流程，使 AI 不再局限于简单的脚本执行，而是具备专家级思维链（Chain of Thought）的数字分析师，能够从海量告警中抽丝剥茧，构建攻击图谱，并果断采取行动，将安全运营效率提升至新的维度。

---

二、核心特性

2.1 深度认知智能体（Cognitive AI Analyst）

• 强推理引擎：搭载 DeepSeek 大模型，具备类人的逻辑分析与决策能力
• 端到端自动化：处理模糊信息，自主规划调查路径，构建完整证据链，实现从”告警”到”结论”的自动化流程

2.2 多角色协同蜂群（Agent Swarm）

模拟真实 SOC 组织架构，四大角色各司其职，通过共享上下文无缝协作：

表格

| 角色 | 职责 | 功能描述 | | — | — | — | | 分诊（Triage） | 告警评估 | 过滤误报，评估告警可信度，进行初步分类 | | 取证（Forensics） | 深度调查 | 调用工具进行深度调查，构建完整攻击链路 | | 响应（Commander） | 处置决策 | 制定处置策略，执行封禁或请求人工审批 | | 报告（Reporter） | 结果汇总 | 生成结构化安全报告，汇总调查结果 |

2.3 动态全息图谱（Dynamic Threat Graph）

• 实时可视化：基于 streamlit-agraph 实时构建攻击链路知识图谱
• 通用图谱构建引擎：内置归属、交互、因果三大连接原则，自动构建环环相扣的攻击叙事
• 强制关联机制：拒绝孤立节点，将碎片化线索（IP、域名、文件、漏洞）重组为直观攻击路径

2.4 生成式攻防演练（GenAI Adversarial Simulation）

• ScenarioGPT 引擎：利用 LLM 生成能力，一键构建高保真、高复杂度的定制化攻击剧本
• 覆盖多种场景：内置 Log4j、勒索软件、APT 组织活动等典型攻击链
• 红蓝对抗：支持”以攻促防”，随时随地进行攻防演练

2.5 异步人机共生（Async Human-AI Symbiosis）

• HITL 机制：关键决策（如全网封禁）始终处于人类专家监管之下
• 非阻塞交互：采用 PENDING_APPROVAL 状态，AI 提交高危操作后继续执行其他任务
• 异步审批：人类专家可在仪表盘进行异步确认，不影响系统运行效率

2.6 开放式 MCP 架构（Open MCP Architecture）

• 标准化接口：采用 Model Context Protocol 实现工具链的标准化接入
• 智能工具增强：内置 LLM 驱动的 Payload 分析器，精准识别混淆命令、内存马注入等高级 TTPs
• 易于扩展：可轻松集成 VirusTotal、EDR、防火墙等各类安全能力

#

三、系统架构

3.1 分层架构设计

┌─────────────────────────────────────────────────────────────┐
│                    仪表盘层 (Streamlit)                      │
│  - 可视化作战中心 (app/main.py)                             │
│  - 告警注入、状态展示、知识图谱渲染                          │
└─────────────────────────────────────────────────────────────┘
                               │
┌─────────────────────────────────────────────────────────────┐
│                    AI 智能体层 (Python)                      │
│  - 运营大脑 (agent/core.py)                                 │
│  - LLM 交互、意图解析、工具调用循环                          │
│  - ScenarioGenerator 攻击剧本生成                            │
└─────────────────────────────────────────────────────────────┘
                               │
┌─────────────────────────────────────────────────────────────┐
│                    MCP 服务层 (FastAPI)                      │
│  - Agent 的手脚 (mcp_server/main.py)                        │
│  - 标准 API 接口                                             │
│  - 真实/模拟的安全工具逻辑                                   │
└─────────────────────────────────────────────────────────────┘

3.2 数据流程

典型场景：Lazarus APT 攻击链处理流程

1. 告警接入：系统接收 “Phishing Email Detected” 告警
2. 分诊阶段：Triage Agent 分析告警可信度，判定高风险，转交取证
3. 取证阶段：

• 调用 check_ip_reputation 确认源 IP 为恶意
• 调用 analyze_payload 识别附件为恶意下载器
• 调用 graph_add_relation 构建图谱：IP(45.x.x.x) –[投递]–> Host(Workstation)

1. 关联分析：后续收到 “C2 Connection” 告警时，自动关联到已有的 Host(Workstation) 节点
2. 响应阶段：Commander 判定威胁确凿，尝试封禁 C2 IP
3. 人工审批：触发 PENDING_APPROVAL，分析师在界面点击”批准”
4. 报告生成：Reporter 自动生成包含完整证据链的 Markdown 报告

---

四、技术实现

4.1 核心技术栈

表格

| 组件 | 技术选型 | 作用 | | — | — | — | | 前端界面 | Streamlit | 快速构建交互式仪表盘 | | 后端服务 | FastAPI (Uvicorn) | 高性能 MCP 服务器 | | 大语言模型 | DeepSeek | 强推理能力支持 | | 知识图谱 | streamlit-agraph | 动态攻击链路可视化 | | 协议标准 | MCP (Model Context Protocol) | 工具链标准化接入 | | 消息队列 | Redis Stream | 异步处理与解耦 |

4.2 智能体协作机制

Python

# Agent 核心逻辑伪代码
classSecurityAgent:
def__init__(self, role:str, llm: DeepSeek):
        self.role = role  # triage, forensics, commander, reporter
        self.llm = llm
        self.memory = SharedContext()

defprocess_alert(self, alert: Alert):
# 1. 理解告警
        context = self.memory.get_related_context(alert)

# 2. LLM 推理决策
        action_plan = self.llm.reason(
            prompt=f"作为{self.role}，处理告警：{alert}，上下文：{context}"
)

# 3. 执行工具调用
for tool_call in action_plan.tools:
            result = self.execute_mcp_tool(tool_call)

# 4. 更新共享上下文
        self.memory.update(result)

# 5. 移交下一角色
return self.handoff_to_next_agent()

4.3 知识图谱构建

采用三层连接原则构建攻击叙事：

• 归属连接：IP ↔ 域名 ↔ 文件哈希（who）
• 交互连接：受害主机 ↔ 攻击基础设施（where）
• 因果连接：初始访问 → 横向移动 → 数据渗出（how）

---

五、部署指南

5.1 环境要求

• Python 3.8+
• 推荐的系统资源：4核 CPU / 8GB RAM / 50GB 磁盘空间
• 网络访问：需访问 DeepSeek API（需配置代理）

5.2 安装步骤

bash

# 1. 克隆项目
git clone https://github.com/SafelineMan/Agentic-SOC-Simulation.git
cd Agentic-SOC-Simulation

# 2. 安装依赖
pip install-r requirements.txt

# 3. 配置 API 密钥（可选，也可通过 Web 界面配置）
exportDEEPSEEK_API_KEY="your_key_here"
exportVIRUSTOTAL_API_KEY="your_vt_key_here"

5.3 服务启动

需要同时启动两个服务：

终端 1：MCP 工具服务器

bash

python3 -m uvicorn mcp_server.main:app --reload--port 8000

终端 2：Web 仪表盘

bash

python3 -m streamlit run app/main.py

启动后访问：http://localhost:8501

---

六、使用说明

6.1 系统配置

1. 访问 Web 界面后，在左侧边栏的 “系统配置” 中输入：

• DeepSeek API Key（必需）
• VirusTotal API Key（可选，用于威胁情报增强）

1. 配置仅在当前会话有效，无需修改本地配置文件

6.2 运行模式

模式一：预设场景模拟

• 点击侧边栏的  “模拟 Lazarus APT 攻击链”  按钮
• 系统自动注入多阶段 APT 攻击告警
• 观察各 Agent 如何协作完成复杂攻击链的检测与响应

模式二：自定义场景

• 在 “自定义模拟” 区域输入攻击描述，例如：

• “模拟针对数据库的 SQL 注入攻击”

• “模拟勒索软件通过钓鱼邮件传播”

• “模拟供应链攻击场景”

• 点击”生成并运行”，ScenarioGPT 引擎将自动生成对应剧本

6.3 交互观察

SOC Team 面板：实时显示各 Agent 状态、当前处理任务和处理进度

知识图谱面板：动态展示攻击链路构建过程，支持：

• 节点点击查看详细信息
• 关系连线查看攻击阶段
• 实时更新取证结果

人工决策面板：当 Commander Agent 提出高危操作时：

• 显示操作建议和风险评估
• 提供”批准”/”拒绝”按钮
• 支持异步处理，无需等待

---

七、项目结构

Agentic-SOC-Simulation/
├── app/                    # 前端界面 (Streamlit)
│   └── main.py            # 主程序：UI 布局、状态管理、可视化
├── mcp_server/            # MCP 工具服务 (FastAPI)
│   ├── main.py            # API 服务器：提供各类安全工具接口
│   └── tools/             # 工具实现模块
│       ├── threat_intel.py
│       ├── forensics.py
│       └── response.py
├── agent/                 # AI 智能体核心
│   └── core.py            # Agent 类、ScenarioGenerator 类
├── shared/                # 共享组件
│   ├── context.py         # 共享上下文管理
│   └── graph.py           # 知识图谱构建
├── scenarios/             # 攻击剧本库
│   ├── lazarus_apt.json
│   └── ransomware.json
├── requirements.txt       # 项目依赖
└── README.md             # 项目文档

---

八、扩展开发

8.1 添加新工具

在 mcp_server/ 中实现工具后，通过 MCP 协议注册：

Python

@mcp.tool()
defmy_custom_tool(param:str)-> ToolResult:
"""工具描述"""
# 实现逻辑
return ToolResult(data=result)

8.2 自定义 Agent 角色

继承基础 Agent 类实现专用逻辑：

Python

from agent.core import BaseAgent

classThreatHunterAgent(BaseAgent):
def__init__(self):
super().__init__(role="hunter")

defspecialize_behavior(self):
# 实现威胁狩猎专用行为
pass

8.3 集成外部系统

通过 Webhook 或 API 接入现有安全设备：

• SIEM（Splunk、ELK）
• EDR 平台
• 威胁情报源
• 防火墙/NDR

---

九、应用场景

表格

| 场景类型 | 应用价值 | | — | — | | 安全培训 | 为新晋分析师提供真实 SOC 环境模拟培训 | | 流程验证 | 测试和优化安全事件响应流程 | | 工具评估 | 评估不同安全工具集成效果 | | 红蓝对抗 | 快速构建攻击场景进行防御演练 | | 技术预研 | 探索 AI Agent 在安全运营中的最佳实践 |

#

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：一个人挺好zhy 一个人挺好《Agentic-SOC-Simulation——自主安全运营平行仿真中心》