皓邦安全智能运营平台 · SafeAct System

数字员工体系

AI-Powered Security Operations Workforce

一套四层调度架构的安全运营智能体系统。通过统一入口、职能域分工、数字员工技能编排与原子化Sub-Agent协作,实现安全运营的全流程智能化覆盖。

4
调度层级
6
职能域部门
25
Skill 数字员工
115
原子 Sub-Agent
探索架构 → 查看架构图
向下滚动
01 · 总体架构

四层调度架构

从用户请求到原子操作执行,每一层职责单一、边界清晰,形成完整的调度闭环。

🚪
统一入口层 Gateway Layer

双通道接入——自然语言通道面向安全运营人员,结构化API通道面向系统间调用。两条通道经意图识别与参数解析后,统一汇入调度器(Dispatcher)。

NLP Channel API Channel Intent Classifier Slot Filler Dispatcher
意图路由 · 指令解析 · 领域分发
🏛
职能域层 Department Layer

6大职能部门按业务领域划分,每个部门管辖若干 Skill 数字员工。跨部门调用须在 Skill 定义中显式声明依赖,避免隐式耦合。

SOC 安全运营 XDR 数据治理 TIC 威胁情报 VMC 漏洞管理 AI 分析中心 INFRA 基础服务
领域路由 · 权限管控 · 显式跨部门依赖
👷
技能层 Skill Layer · 数字员工

每个 Skill 代表一个精细工种的数字员工。通过声明式 YAML 编排下层 Sub-Agent 的执行顺序、并行分支和异常处理;查询类弹性场景支持 LLM 动态规划。

YAML 声明式编排 LLM 动态编排 并行 / 顺序 / 条件分支 断点续做
原子调用 · 单次输入输出 · 互相无感知
⚙️
Sub-Agent 层 原子操作层

每个 Sub-Agent 遵循单一职责原则,是最小的不可拆分执行单元。它们无状态、互相无感知,只负责接收输入、执行操作、返回输出。全局注册表统一管理 115 个原子 Agent。

query 查询 mutation 变更 analysis 分析 notification 通知
核心设计原则

六大设计准则

🎯
单一职责

每个 Sub-Agent 只做一件事。一个操作可以被拆成两步,就拆成两个 Sub-Agent,确保最大复用性。

🔗
纯编排型

Sub-Agent 之间完全无感知彼此的存在。Skill 层负责全部数据流编排与串联,保证 Agent 的彻底独立。

📋
显式依赖

跨部门调用必须在 Skill YAML 中显式声明 dependencies,杜绝隐式耦合与权限越界。

💾
有状态实例

每次 Skill 执行产生 TaskInstance,记录每步的执行状态、输入输出、时间戳,支持断点续做和重试。

🚪
双通道入口

自然语言(面向人类操作员)与结构化 API(面向系统间)两条通道统一汇入同一调度器,体验一致。

📝
声明式为主

确定性流程用 YAML 固化编排;弹性查询场景由 LLM 动态规划 Agent 调用顺序,两者互补。

02 · 统一入口层

Gateway · 双通道调度器

两条通道最终都汇入同一个 Dispatcher,经鉴权、限流、路由后创建有状态任务实例并执行。

💬 NLP 自然语言通道
面向人类操作员 · 意图识别 + 参数提取
# 用户输入示例 用户: "查一下 192.168.1.100 最近3天威胁情报" # 意图识别输出 { "department": "threat_intelligence", "skill": "ip_threat_investigation", "params": { "ip": "192.168.1.100", "time_range": "3d" } }
API 结构化通道
面向系统间调用 · 精确路由 + 回调通知
{ "channel": "api", "department": "security_operations", "skill": "case_investigation", "params": { "case_id": "CASE-2026-0623-001" }, "callback_url": "https://aisafe/webhook", "priority": "high" }
🔄 统一调度器 Pipeline
两条通道汇入后的统一执行管道
01
authenticate
Sa-Token / API Key 鉴权
02
rate_limit
Lock4j 分布式限流
03
resolve_department
路由到目标职能域
04
resolve_skill
路由到具体 Skill 数字员工
05
create_task_instance
创建有状态任务实例 · 生成 TASK-ID
06
execute
执行 Skill YAML 编排流程
07
callback
结果回调通知 · Webhook 推送
03 · 职能域层

6 大职能部门 · 25 个数字员工

每个部门专注特定业务领域,管辖若干 Skill 数字员工,通过显式依赖声明实现跨部门协作。

🔴 Security Operations Center · 安全运营中心
平台核心指挥中枢,负责从告警感知到案件闭环的全生命周期运营管理 · 4 Skills / 20 Sub-Agents
告警分诊员
Alert Triage Specialist
Skill 1.1

对涌入的原始告警进行初步分诊、降噪、分级,过滤误报,产出分级后的告警列表。

输入原始告警流 / 时间范围查询
输出分级告警列表 + 分诊报告
编排方式声明式 YAML
跨部门依赖AI · llm_inference
alert_batch_fetcher alert_deduplicator alert_rule_matcher alert_severity_classifier alert_false_positive_detector alert_report_generator
案件研判官
Case Investigation Officer
Skill 1.2

对升级为案件的安全事件进行深度调查,并行调用威胁情报与AI推演,生成完整研判报告。

输入案件ID / 安全事件描述
输出案件研判报告 + 处置建议
编排方式声明式 YAML(含并行分支)
跨部门依赖TIC · *   AI · LLM/RAG
case_detail_fetcher related_alert_aggregator evidence_chain_builder case_report_generator ip_reputation_checker* ioc_enricher* attack_tactic_mapper* llm_api_caller*
工单派发员
Work Order Dispatcher
Skill 1.3

将已确认的安全事件转化为工单,自动分配负责人并触发防火墙/WAF自动化阻断。

work_order_creator work_order_assigner work_order_status_updater firewall_block_executor waf_rule_deployer
态势感知分析师
Situational Awareness Analyst
Skill 1.4

实时监控安全态势,聚合攻击趋势、告警分布、地理热力图,为大屏提供数据服务。

attack_trend_aggregator alert_distribution_calculator geo_heatmap_generator asset_risk_scorer dashboard_data_formatter
🔵 XDR Data Governance Center · 数据治理中心
底层数据管道管控中枢,从原始日志采集到结构化数据入库的全流程治理 · 3 Skills / 17 Sub-Agents
日志采集调度员
Log Collection Coordinator
Skill 2.1

管理和调度底层探针/网络设备的日志采集任务,监控健康状态,配置 Syslog 接入端点。

probe_registrar probe_health_checker collection_task_creator collection_task_scheduler syslog_endpoint_configurator
数据归一化工程师
Data Normalization Engineer
Skill 2.2

将异构原始日志归一化为标准化结构。创新性引入 AI 自动解析——大模型识别未知字段并自动生成归一化规则。

跨部门依赖AI · llm_inference(AI字段识别)
特色功能AI 自动填表(aiFillRule)
raw_log_sampler field_splitter ai_field_recognizer normalize_rule_creator normalize_rule_validator normalize_rule_deployer field_dictionary_updater
关联分析规则师
Correlation Analysis Rule Designer
Skill 2.3

设计和管理跨数据源的关联分析规则,支持规则冲突检测、历史数据回测和优化。

correlation_rule_creator correlation_rule_tester correlation_rule_optimizer rule_conflict_detector correlation_rule_toggler
🟢 Threat Intelligence Center · 威胁情报中心
平台情报大脑,整合内外部威胁情报源,为研判和防御提供决策输入 · 3 Skills / 15 Sub-Agents
IP/域名情报调查员
IP/Domain Intelligence Investigator
Skill 3.1

对可疑IP、域名进行深度威胁情报调查,综合信誉评分、地理位置、WHOIS、DNS历史等多维度数据。

ip_reputation_checker ip_geolocation_resolver domain_whois_querier dns_history_fetcher reverse_dns_resolver threat_feed_matcher
IOC 指标管理员
IOC Indicator Manager
Skill 3.2

管理失陷指标(IOC)的全生命周期,支持 STIX/CSV/JSON 批量导入、上下文富化和自动过期管理。

ioc_creator ioc_batch_importer ioc_enricher ioc_matcher ioc_expiry_manager
ATT&CK 战术映射师
ATT&CK Tactic Mapper
Skill 3.3

将安全事件映射到 MITRE ATT&CK 框架,AI 推演攻击战术画像,生成可视化攻击链矩阵。

attack_tactic_mapper attack_technique_resolver attack_chain_visualizer mitre_matrix_renderer
🟡 Vulnerability Management Center · 脆弱性管理中心
全资产漏洞生命周期管理,从发现到修复验证的完整闭环 · 3 Skills / 16 Sub-Agents
漏洞扫描调度员
Vulnerability Scan Coordinator
Skill 4.1

调度和管理漏洞扫描任务,支持 CIDR 目标展开、扫描引擎派发、进度跟踪和结果收集。

scan_task_creator scan_target_resolver scan_engine_dispatcher scan_progress_tracker scan_result_collector
漏洞评估分析师
Vulnerability Assessment Analyst
Skill 4.2

对扫描结果和第三方报告进行评估,AI 智能降噪去重,按 CVSS 定级并关联受影响资产。

跨部门依赖AI · llm_inference(AI降噪)
vuln_report_importer vuln_deduplicator vuln_severity_assessor vuln_asset_linker vuln_ai_noise_reducer vuln_priority_ranker
漏洞修复跟踪员
Vulnerability Remediation Tracker
Skill 4.3

跟踪漏洞修复进展,监控 SLA 时限,触发复验扫描,确认修复关闭。

vuln_fix_assigner vuln_fix_status_updater vuln_revalidation_trigger vuln_closure_confirmer vuln_sla_monitor
🟣 AI Analysis Center · AI 分析中心
平台 AI 大脑,为所有部门提供大模型推演、RAG检索、代码沙箱等智能分析能力 · 4 Skills / 23 Sub-Agents
大模型推演专家
LLM Inference Specialist
Skill 5.1

对接多厂商大语言模型(GPT/DeepSeek),执行各类安全分析推演,支持流式响应,主模型不可用时自动切换备用。

prompt_template_resolver context_assembler llm_api_caller llm_response_parser llm_stream_handler model_fallback_switcher
知识库检索专家
RAG Knowledge Retrieval Specialist
Skill 5.2

基于 RAG 管线从安全知识库中检索相关文档,向量+全文混合检索,重排序优化后裁剪至上下文窗口。

query_embedding_generator vector_similarity_searcher fulltext_searcher hybrid_result_merger result_reranker context_window_trimmer
工作流编排师
Workflow Orchestrator
Skill 5.3

管理和执行复杂 AI 工作流(DAG),支持 LLM/分类/提取/代码沙箱/HTTP外联等多种节点类型。

workflow_definition_loader workflow_node_executor workflow_branch_evaluator sandbox_code_executor http_external_caller workflow_state_persister
AI 对话服务员
AI Chat Service Agent
Skill 5.4

提供 SSE 流式 AI 对话能力,支持带上下文的多轮对话,处理用户反馈并持久化对话历史。

chat_history_loader chat_context_builder chat_stream_responder chat_history_saver chat_feedback_processor
⚫ Infrastructure Service Center · 基础服务中心
提供全平台共享的基础能力支撑,作为被依赖的能力提供方 · 5 Skills / 24 Sub-Agents
权限鉴权管家
Permission & Auth Manager
Skill 6.1

基于 Sa-Token 框架处理认证、授权、角色权限,负责 Token 签发、会话管理和权限校验。

user_authenticator token_issuer permission_checker role_resolver session_manager
多租户管理员 + 审计日志记录员
Tenant Admin / Audit Logger
Skill 6.2 / 6.3

管理租户的创建、配置和数据隔离;记录全平台操作审计日志,支持异常行为检测和日志导出。

tenant_creator tenant_config_updater tenant_data_isolator tenant_quota_enforcer audit_log_writer audit_log_querier audit_anomaly_detector
通知推送员 + 数据导入导出员
Notification Dispatcher / I/O Handler
Skill 6.4 / 6.5

统一消息推送(邮件/短信/企微/Webhook/站内信),以及多格式文件的导入解析和报告渲染导出。

email_sender sms_sender webhook_poster wechat_work_sender in_app_notifier csv_parser excel_parser pdf_report_renderer file_upload_handler
04 · Sub-Agent 层

全局 Agent 注册表

115 个原子化 Sub-Agent 统一注册在全局注册表中,每个 Agent 拥有完整的输入输出 Schema 定义、超时配置和幂等性声明。

🔴
20
SOC · 安全运营
🔵
17
XDR · 数据治理
🟢
15
TIC · 威胁情报
🟡
16
VMC · 漏洞管理
🟣
23
AI · 分析中心
24
INFRA · 基础服务
query
~38
只读查询,幂等无副作用
mutation
~42
写入变更,需鉴权 + 审计
analysis
~28
数据处理与智能分析
notification
~7
推送通知,多渠道覆盖

115 Sub-Agent 完整台账

序号 Agent ID 所属部门 操作类型 单一职责描述
1 alert_batch_fetcher SOC query 批量拉取原始告警
2 alert_deduplicator SOC analysis 告警去重
3 alert_rule_matcher SOC analysis 告警规则匹配
4 alert_severity_classifier SOC analysis 告警分级
5 alert_false_positive_detector SOC analysis AI误报识别
6 alert_report_generator SOC mutation 生成分诊报告
7 case_detail_fetcher SOC query 查询案件详情
8 related_alert_aggregator SOC query 聚合关联告警
9 evidence_chain_builder SOC analysis 构建证据链
10 case_report_generator SOC mutation 生成研判报告
11 work_order_creator SOC mutation 创建工单
12 work_order_assigner SOC mutation 分配工单
13 work_order_status_updater SOC mutation 更新工单状态
14 firewall_block_executor SOC mutation 防火墙阻断
15 waf_rule_deployer SOC mutation WAF规则下发
16 attack_trend_aggregator SOC query 攻击趋势聚合
17 alert_distribution_calculator SOC query 告警分布计算
18 geo_heatmap_generator SOC query 地理热力图数据
19 asset_risk_scorer SOC analysis 资产风险评分
20 dashboard_data_formatter SOC analysis 大屏数据格式化
21 probe_registrar XDR mutation 探针注册
22 probe_health_checker XDR query 探针健康检查
23 collection_task_creator XDR mutation 创建采集任务
24 collection_task_scheduler XDR mutation 设置采集调度
25 syslog_endpoint_configurator XDR mutation 配置Syslog端点
26 raw_log_sampler XDR query 原始日志抽样
27 field_splitter XDR analysis 日志字段拆分
28 ai_field_recognizer XDR analysis AI字段识别
29 normalize_rule_creator XDR mutation 创建归一化规则
30 normalize_rule_validator XDR analysis 验证归一化规则
31 normalize_rule_deployer XDR mutation 部署归一化规则
32 field_dictionary_updater XDR mutation 更新字段字典
33 correlation_rule_creator XDR mutation 创建关联规则
34 correlation_rule_tester XDR analysis 测试关联规则
35 correlation_rule_optimizer XDR analysis 优化关联规则
36 rule_conflict_detector XDR analysis 规则冲突检测
37 correlation_rule_toggler XDR mutation 启停关联规则
38 ip_reputation_checker TIC query IP信誉查询
39 ip_geolocation_resolver TIC query IP地理位置解析
40 domain_whois_querier TIC query WHOIS查询
41 dns_history_fetcher TIC query DNS历史查询
42 reverse_dns_resolver TIC query 反向DNS解析
43 threat_feed_matcher TIC query 威胁情报源匹配
44 ioc_creator TIC mutation 创建IOC
45 ioc_batch_importer TIC mutation 批量导入IOC
46 ioc_enricher TIC analysis IOC富化
47 ioc_matcher TIC query IOC匹配
48 ioc_expiry_manager TIC mutation IOC过期管理
49 attack_tactic_mapper TIC analysis ATT&CK战术映射
50 attack_technique_resolver TIC analysis 攻击技术解析
51 attack_chain_visualizer TIC analysis 攻击链可视化
52 mitre_matrix_renderer TIC analysis ATT&CK矩阵渲染
53 scan_task_creator VMC mutation 创建扫描任务
54 scan_target_resolver VMC analysis 扫描目标解析
55 scan_engine_dispatcher VMC mutation 扫描引擎派发
56 scan_progress_tracker VMC query 扫描进度跟踪
57 scan_result_collector VMC query 扫描结果收集
58 vuln_report_importer VMC mutation 漏洞报告导入
59 vuln_deduplicator VMC analysis 漏洞去重
60 vuln_severity_assessor VMC analysis 漏洞定级
61 vuln_asset_linker VMC mutation 漏洞资产关联
62 vuln_ai_noise_reducer VMC analysis AI漏洞降噪
63 vuln_priority_ranker VMC analysis 漏洞优先级排序
64 vuln_fix_assigner VMC mutation 漏洞修复分配
65 vuln_fix_status_updater VMC mutation 修复状态更新
66 vuln_revalidation_trigger VMC mutation 修复复验触发
67 vuln_closure_confirmer VMC mutation 漏洞关闭确认
68 vuln_sla_monitor VMC query 修复SLA监控
69 prompt_template_resolver AI query Prompt模板加载
70 context_assembler AI analysis 上下文组装
71 llm_api_caller AI analysis 大模型API调用
72 llm_response_parser AI analysis 大模型响应解析
73 llm_stream_handler AI analysis 流式响应处理
74 model_fallback_switcher AI mutation 模型故障切换
75 query_embedding_generator AI analysis 查询向量生成
76 vector_similarity_searcher AI query 向量相似度检索
77 fulltext_searcher AI query 全文检索
78 hybrid_result_merger AI analysis 混合检索结果融合
79 result_reranker AI analysis 结果重排序
80 context_window_trimmer AI analysis 上下文窗口裁剪
81 workflow_definition_loader AI query 工作流定义加载
82 workflow_node_executor AI analysis 工作流节点执行
83 workflow_branch_evaluator AI analysis 工作流分支评估
84 sandbox_code_executor AI analysis V8沙箱代码执行
85 http_external_caller AI mutation HTTP外联调用
86 workflow_state_persister AI mutation 工作流状态持久化
87 chat_history_loader AI query 对话历史加载
88 chat_context_builder AI analysis 对话上下文构建
89 chat_stream_responder AI analysis 流式对话响应
90 chat_history_saver AI mutation 对话历史保存
91 chat_feedback_processor AI mutation 对话反馈处理
92 user_authenticator INFRA query 用户认证
93 token_issuer INFRA mutation Token签发
94 permission_checker INFRA query 权限检查
95 role_resolver INFRA query 角色解析
96 session_manager INFRA mutation 会话管理
97 tenant_creator INFRA mutation 租户创建
98 tenant_config_updater INFRA mutation 租户配置更新
99 tenant_data_isolator INFRA analysis 租户数据隔离
100 tenant_quota_enforcer INFRA analysis 租户配额检查
101 audit_log_writer INFRA mutation 审计日志写入
102 audit_log_querier INFRA query 审计日志查询
103 audit_log_exporter INFRA mutation 审计日志导出
104 audit_anomaly_detector INFRA analysis 审计异常检测
105 email_sender INFRA mutation 邮件发送
106 sms_sender INFRA mutation 短信发送
107 webhook_poster INFRA mutation Webhook推送
108 in_app_notifier INFRA mutation 站内信推送
109 wechat_work_sender INFRA mutation 企业微信通知
110 csv_parser INFRA analysis CSV解析
111 excel_parser INFRA analysis Excel解析
112 json_parser INFRA analysis JSON解析
113 pdf_report_renderer INFRA mutation PDF报告渲染
114 excel_report_renderer INFRA mutation Excel报告渲染
115 file_upload_handler INFRA mutation 文件上传处理
agent_registry.yaml — ip_reputation_checker 示例
agent_registry: - id: ip_reputation_checker name: "IP信誉查询器" department: threat_intelligence category: query # query | mutation | analysis | notification description: "查询指定IP地址的威胁信誉评分,综合内部历史记录和外部情报源" input_schema: type: object properties: ip: { type: string, format: ipv4, required: true } include_history: { type: boolean, default: true } output_schema: properties: score: { type: number, min: 0, max: 100 } risk_level: { enum: [critical, high, medium, low, safe] } avg_latency_ms: 200 timeout_ms: 5000 idempotent: true side_effects: false
05 · 编排模式

声明式 + 智能动态编排

声明式 YAML 固化确定性流程;LLM 动态规划应对弹性查询;有状态任务实例保障可靠执行。

📋
YAML 声明式编排
确定性业务流程的最佳实践。Skill 以 YAML 文件定义完整的 Sub-Agent 调用链,调度器解析执行。
顺序、并行、条件分支三种执行模式
on_failure: skip / retry / abort 细粒度容错
hooks: on_complete / on_failure 后置钩子
跨部门依赖在 dependencies 字段显式声明
指数退避 / 线性重试策略可配置
🧠
LLM 动态编排
当意图置信度 < 0.85 时,由大模型规划器自动选择 Agent 组合,专为弹性查询场景设计。
触发条件: 自然语言意图置信度低于阈值
规划器: DeepSeek / GPT 自动选择并排序 Agent
安全限制: 仅允许 query 类 Agent,最多 5 个
权限范围: 只在用户所属部门权限内选择
输出标准化 JSON Plan + reasoning 说明

有状态任务实例 · Task Instance

每次 Skill 执行产生一个 TaskInstance,完整记录全链路执行状态,支持断点续做和重试。

pending
running
paused
🔁
retrying
completed
failed
skill-definition.yaml — case_investigation_officer (节选)
meta: id: case_investigation_officer name: "案件研判官" department: security_operations dependencies: # 显式声明跨部门依赖 - department: threat_intelligence agents: [ip_reputation_checker, ioc_enricher, attack_tactic_mapper] required: true - department: ai_analysis agents: [llm_api_caller, context_assembler] required: false # AI不可用时降级为纯规则研判 steps: - id: fetch_case agent: case_detail_fetcher input: { case_id: "$input.case_id" } timeout: 5s - id: intel_enrichment parallel: true # 并行执行,提升效率 branches: - agent: ip_reputation_checker department: threat_intelligence - agent: ioc_enricher department: threat_intelligence - agent: attack_tactic_mapper department: threat_intelligence - id: ai_analysis agent: llm_api_caller department: ai_analysis timeout: 300s on_failure: skip retry: { max: 2, backoff: linear, interval: 10s } hooks: on_complete: - agent: audit_log_writer department: infrastructure
06 · 跨部门依赖

跨部门依赖全景图

AI 分析中心和基础服务中心作为纯能力提供方,无跨部门依赖;其余部门按需显式声明依赖。

SOC 安全运营中心
AI · llm_inference(告警误报检测)
TIC · 全部情报能力(案件研判)
AI · RAG 检索(知识库增强)
INFRA · notification(工单通知)
XDR 数据治理中心
AI · llm_inference(AI 字段识别)
其余 Skill 无跨部门依赖
TIC 威胁情报中心
AI · llm_inference(情报总结)
AI · llm_inference(ATT&CK 推演)
IOC Manager 无跨部门依赖
VMC 脆弱性管理中心
AI · llm_inference(漏洞降噪)
SOC · work_order(修复工单派发)
AI 分析中心
纯能力提供方
无跨部门依赖
被 SOC / XDR / TIC / VMC 依赖
INFRA 基础服务中心
纯能力提供方
无跨部门依赖
全平台均可依赖
07 · 架构全景图

系统架构总览图

Blueprint 风格的全景架构图,展示四层调度架构、6大部门分布、115个Sub-Agent和跨部门依赖连接。

SafeAct 数字员工体系架构图