文章总结： 文章提出在算力受限场景下，AISOC应从“堆AI”转向“用对AI”，通过精准投入、按需攻击链路还原、动态优先级调度与规则+AI双路径并行，把有限GPU换成10倍分析师人效，实现告警降噪、高危事件快速阻断与持续威胁挖掘。 综合评分： 88 文章分类： 安全运营,AI安全,安全工具,威胁情报,应用安全

AI SOC产品思考：如何用有限算力撬动最大效率

原创

LSJ LSJ

安全开发

2026年1月24日 14:28 浙江

引言：当”AI理想”撞上”算力现实”

最近在AI SOC安全运营分析类产品设计中遇到两个看似矛盾的问题：

然而现实情况是，多数客户没有”足够多”的算力，只有”够用”的有限算力。因此，将AI视为”万能工具”，把一切安全分析任务通通丢给AI处理似乎是一种理想化。

于是不得不思考，如何用有限算力撬动人效，实现安全运营效率的最大化提升？

AI SOC的真正价值：”让1份GPU算力，产生10份分析师人效的价值！”

一、设计理念：从”堆AI”到”用对AI”转变

面对算力资源有限的现实挑战，AI SOC设计必须建立严格的算力分配漏斗，明确能力优先级：

• 第一优先级：保证”精准分析”
• 第二优先级：实现”智能调度”

1. 从”全量分析”到”精准投入”

1）是否应该对全量安全告警进行AI分析？

在算力有限的情况下，AI不应盲目追求全量日志分析，而应优先分析高价值告警。例如，优先分析HTTP告警，确认是真实攻击后再考虑进行攻击链路还原和攻击事件还原。

2）使用AI降噪还是规则降噪？

在实时流中，用复杂AI模型对每一条日志进行”是否噪音”的判断是算力的巨大浪费。应采用高效规则和阈值进行第一层降噪，这能在CPU上以极低成本滤除大量粗颗粒噪音。

2. 攻击链路还原：从”完美还原”到”最大概率重建”

      攻击链路还原的目标并非追求毫无遗漏的“完美考古”！而是定位为“在有限证据约束下，还原出置信度最高的攻击叙事链”。

        系统通过逻辑推理构建最可能的攻击故事线，直接指导下一步的排查方向，实现“有限算力”中的“高效决策”。

1）触发机制：交互式主动触发

采用按需分析模式，由安全分析师在控制台主动点击已聚合的安全事件，发起“攻击链路还原”请求。系统仅在收到明确指令后执行还原动作，确保计算资源的精准投入。

2）数据检索：基于多维信息的精准上下文构建

摒弃资源消耗巨大的“全量日志关联”，转向高效的“关键实体关联”策略，通过以下步骤构建最小化证据集：

• 多源数据聚合：从聚合事件中自动关联云、网、端等不同维度的安全设备日志。
• 拓扑标签分层：设备配置时预置网络区域标签（如边界、内网），便于大模型依据网络拓扑进行分阶段、动态调查。
• 智能采样限流：针对不同类安全设备设置不同的日志检索阈值，基于源目的IP、告警类型等关键因子设定选取规则，严格控制输入大模型的上下文窗口大小。

3）异步分析：Agent驱动的非阻塞推理

采用异步任务架构，将构建好的证据包提交至任务队列。由智能体自主领取任务，并调用大模型进行深度推理分析。该机制彻底隔离了计算密集型任务与实时交互流程，保障前台业务的响应速度与系统稳定性。

4）结果交付：可视化呈现与知识持久化

• 即时反馈：在秒级到分钟级的延迟内，向分析师输出可视化的攻击图谱及详细的

推理过程。

• 结论复用：自动将分析结论结构化存储为该事件的“攻击链分析”字段。在后续查询中，若无新增日志，系统将直接命中缓存结果，避免重复计算与资源浪费。

3. 实时分析的智能调度

      安全告警日志的实时分析应摒弃机械的“先进先出”（FIFO）静态队列模式，转而采用基于风险态势的动态优先级调度机制。系统通过规则引擎实时评估每条日志的紧迫性与威胁等级，确保高危攻击优先获取算力资源。

1）多维优先级规则集设计：（示例）

• 规则一（陌生高危）：IF 源IP为首次出现（24h内无历史记录） AND 告警等级 ≥ High THEN 优先级 = 高
• 规则二（高频持续）：IF 源IP在过去1小时内的告警触发频率 > 设定阈值 THEN 优先级 = 极高
• 规则三（情报命中）：IF 源IP/目标哈希命中本地威胁情报库或外部信誉黑名单THEN 优先级 = 极高
• 规则四（核心资产）：IF 目标资产标签 ∈ [核心数据库, 域控服务器, 重要的管理系统] THEN 优先级 = 高

2）资源感知调度执行

• 动态评分：规则引擎融合上述特征，为每一条入站日志输出一个实时的

动态优先级分数。

• 智能体决策：调度智能体作为资源分配器，综合权衡日志的优先级分数

与当前GPU资源池的实时负载状态。

• 高优先级 + 资源空闲：立即抢占算力，直达推理队列。
• 高优先级 + 资源繁忙：进入快速通道，等待现有任务完成后立即处理。
• 低优先级 + 资源繁忙：进入缓冲队列，进行错峰分析或降级处理。

二、双线并行：构建高效安全运营体系

主线一：聚焦有效攻击源，实现“快准”自动化

AI模型专注于处理能够明确识别攻击内容的日志来源和高置信度的攻击行为，核心目标是“快”和“准”。这正是“用对AI”理念中“精准投入”的体现，即并非所有攻击源都需要消耗宝贵的AI算力。

#

主线二：聚焦规则降噪，关注重点事件

经过人工设定规则降噪后聚合成一条条新的安全事件。AI模型对聚合后的安全事件进行深度语义分析与上下文关联，通过多维度特征提取与异常检测算法，挖掘出隐藏在常规流量中的高级持续性威胁，对高危事件进行智能优先级排序，实现从“海量告警”到“精准情报”的升华。

| | | | | — | — | — | | 维度 | 主线一：聚焦攻击源（自动化阻断） | 主线二：聚焦降噪事件（风险发现） | | 处理对象 | 高置信度，可明确识别攻击内容的告警日志 | 规则降噪过滤重新聚合的重点事件 | | 分析核心 | 关联分析 | 深度挖掘 | | 运营目标 | 自动化处置 | 潜在风险挖掘、重点事件关注 |

三、安全分析流程

1）整体流程设计

• 顶层预处理：日志清洗与标准化

• ### 双路径并行处理：攻击溯源与事件聚合

左侧路径：攻击源IP聚合与真实攻击判定

右侧路径：安全事件聚合与智能调查

2）核心逻辑与价值

• 动态优先级调度：通过“危险系数”“阈值判断”实现攻击源的优先级标记，确保高威胁事件优先分析。
• AI+规则融合：结合预定义规则（如威胁情报匹配）和AI模型（如异常检测），提升攻击判定的准确性。
• 模块化智能体：通过“云/流量/主机”等专用智能体，实现多源日志的协同分析，避免单点分析局限。
• 闭环溯源：从日志清洗到攻击链路还原，形成“检测-分析-溯源”的完整闭环，辅助安全人员快速响应。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全开发 LSJ LSJ《AI SOC产品思考：如何用有限算力撬动最大效率》