智穹盾是由新疆幻城网安科技有限责任公司(简称“幻城网安”)自主研发的一款本地化部署的AI智能网络安全平台,专为政府、金融、能源等高安全需求场景设计,深度融合国产化技术与AI安全能力,解决传统安全工具在信创环境中效率低、误报率高、依赖云端算力等痛点。那么接下来,我们来看看这款产品的智穹盾–本地部署的AI智能网络安全平台技术原理深度分析,我们公开其技术的基本原理,来帮助广大开发者可以更好的研究并使用。
智能网络安全工具箱管理系统是一款综合性的解决方案,旨在增强网络安全防护能力,提升企业信息系统的安全性与稳定性。该系统集成了多项核心功能模块,包括网络流量监控,通过实时分析和展示网络流量数据,帮助管理员及时发现异常流量和潜在的安全威胁;入侵检测模块利用先进的检测算法,自动识别并响应网络入侵行为,有效阻挡未授权访问;安全审计功能则提供全面的日志记录和分析,确保系统符合安全合规性要求,便于追踪和查找潜在的安全事件;漏洞管理模块支持对企业软件和系统进行定期扫描,识别和修复安全漏洞,降低被攻击风险;风险评估模块通过定量和定性分析手段,评估整个网络环境的安全状况,为后续的安全策略制定提供科学依据。通过集成以上功能,智能网络安全工具箱管理系统旨在为企业提供一站式网络安全管理解决方案,提升整体网络安全防护能力,保障数据安全与系统稳定运营。
启动智能网络安全工具箱管理系统后,进入系统登录页面,在指定区域准确输入您的用户名和密码,新用户需点击“立即注册”按钮完成账户注册,如忘记密码可点击“忘记密码”链接并按照系统提示进行重置,输入完毕后点击“登录”按钮提交信息,成功登录后将自动跳转至主界面。 登录页面如下图:
在登录系统后,用户首先会看到系统的统计概览,其中包含了攻击次数、威胁级别、用户警报和系统健康状态等关键指标,这些数据能够快速帮助用户了解当前系统的整体情况。在统计概览下方,有三个重要的数据分析图供用户参考: 1. 近期网络攻击事件统计图:用户可以查看最近一周内的网络攻击事件统计,包括恶意软件和拒绝服务攻击的次数,以便及时应对潜在的威胁。 2. 安全警报分布图:用户可以查看不同类型安全警报的分布情况,这有助于他们快速识别系统中可能存在的风险点,并采取相应的措施进行防范。 3. 用户访问量趋势分析图:用户可以查看过去一个月内用户访问量的变化趋势,并分析访问量和安全事件之间的关联,从而更好地理解用户行为对系统安全的影响。
网络流量监控
该模块负责对网络流量的全面监控与管理。 表格列项包括流量监测ID,源IP地址,目的IP地址,流量大小(字节),监测时间,协议类型,流量状态,用户可通过“搜索”框输入查询条件,快速定位所需数据。对于已有数据,用户可选择一行数据,点击“编辑”按钮进行修改,或点击“删除”按钮移除不需要的数据。此外,用户可通过点击“新增”按钮,弹出新增窗口,输入并保存新的网络流量监控。在表格中,用户还可点击“查看”按钮,获取网络流量监控的详细数据。
除了这些功能还有其他功能,我一一为其介绍
功能一:ai智能流量分析功能
本平台搭载的智能流量分析模块基于深度求索(DeepSeek)大模型,针对持续性威胁(APT)攻击中的隐匿通信行为实现突破性检测。通过对DNS隧道加密流量(如DNScat变种)、HTTP协议载荷混淆(Base64/十六进制多层嵌套编码)、TCP分片重组攻击等绕过式流量进行多维度特征解析,结合对抗性样本训练框架,在政务、金融行业实测中实现97%的精准检出率,误报率低于3%。
以某省级政务云攻防演练为例,传统防火墙对新型Cobalt Strike HTTPS Beacon流量的漏报率达42%,而本模块通过协议指纹提取(JA3/JA3S)与流量时序建模,成功识别出23种伪装成正常业务的加密C2通信,攻击链还原完整度达91%。依托飞腾D2000芯片的本地算力优化,可在无网环境下实时解析10Gbps级流量,单节点日均检测APT攻击行为超1200次,相较开源工具Suricata效率提升8倍,满足等保2.0对关基设施的深度监测要求。
功能二:ai智能js代码审计功能
JavaScript是一种用于网页开发的脚本语言,主要用于增强网页的交互性和动态性,JavaScript开发中容易出现的漏洞包括跨站脚本(XSS)、跨站请求伪造(CSRF)、点击劫持(Clickjacking)、不安全的直接对象引用(IDOR)、第三方库漏洞以及DOM型XSS。这些漏洞可能导致用户数据泄露、会话劫持、未授权操作执行等问题。利用跨站脚本(XSS)漏洞,攻击者可以注入恶意代码使网站跳转至黄页或黑页,或者挂马导致用户下载恶意软件。不安全的直接对象引用(IDOR)允许攻击者通过篡改URL参数非法重定向用户。点击劫持通过隐藏层欺骗用户点击,触发非预期跳转或操作。使用存在漏洞的第三方库也能导致执行恶意脚本,进行重定向或挂马。这些攻击能造成用户数据泄露、系统被控等风险,严重影响网站的安全性和信誉。
而我们的ai智能js代码审计功能可以快速审计出存在的跨站脚本(XSS)、跨站请求伪造(CSRF)、点击劫持(Clickjacking)、不安全的直接对象引用(IDOR)、第三方库漏洞以及DOM型XSS等漏洞,尤其在针对xss跨站脚本攻击漏洞代码审计中,成效尤为显著,并且在网站js代码中已经被篡改插入了恶意隐秘性及其高代码的情况下依旧可以审计出恶意危险的存在,并进行分析,下图为某个具有xss攻击风险的代码进行审计的 结果,只需要很短时间,即可审出风险结果,为安全从业者减少很多时间。
功能三:ai智能系统进程分析功能
网络安全从业人员进行进程分析是为了识别和理解系统中运行的程序行为,以便发现潜在的安全威胁或异常活动。通过分析进程,可以检测到恶意软件的存在、评估系统的安全状态并及时响应安全事件,从而保护系统免受攻击。此外,进程分析还有助于了解内部威胁,确保所有运行的程序都符合安全策略要求。
下图为某攻防演练中对恶意进程的分析结果,AI智能进程分析利用机器学习和大数据分析来自动识别异常行为和潜在威胁,其优点包括提高检测速度与准确性、减少人工干预,并能处理海量数据以发现复杂攻击模式。它解决了传统方法难以应对的持续性威胁(APT)、未知恶意软件识别及内部威胁监控等难题,增强了对新型和复杂攻击的防御能力。通过不断学习和适应新威胁,AI能够提供更加动态和前瞻性的安全防护
功能四:ai智能webshell木马检测
Webshell是一种恶意脚本,也称作webshell木马,这种木马病毒通常攻击者通过它可以在目标服务器上执行命令一般是在对服务器进行攻击时用的木马病毒,获取服务器控制权或进行其他恶意操作。通常通过上传到受害服务器的web目录并通过浏览器访问来激活。Webshell可用于窃取数据、进一步攻击内网、作为跳板机或者完全控制系统等。它是网站和服务器面临的一个严重安全威胁。
下图为738个webshell木马样本的检测结果,成功检测出来威胁的样本为710个成功率为96.21%,远高于传统木马检测工具的77.69%(参考数据360检测)并且在针对恶意变种,或者高隐藏性,隐蔽性,多层编码隐藏的一些木马时,效果及其显著,尤其在免木马上,于同行。
功能五:ai智能网络安全自适应翻译功能
网络安全领域,和通用领域有一些不同的地方,例如,在网络安全专业术语上,或者专业法律条文解释上,和一般的翻译还是有一些区别的,而市面上大部分翻译软件,一般是采用词汇数据库进行匹配,并生硬的将他翻译出来,这种情况下,在网络安全领域可能会存在一些各种各样的问题。
我们的ai智能网络安全翻译功能,专门针对网络安全领域进行深度的优化,针对于网络安全专业术语等进行深度优化,对齐国际网络安全相关法律法规的翻译,和合规性文档的翻译对齐下图为某个国外网站代码文件的翻译,深度翻译并转化为符合国人,适合国人,可以让国人很方便的读懂的语言
功能六:ai智能代码安全性审计
代码安全审计是确保软件安全性的重要步骤,通过系统化检查代码中的漏洞和缺陷以防止潜在的安全威胁。网站源码需要进行代码审计,主要是为了识别并修复可能被恶意利用的安全弱点,如SQL注入、XSS攻击等,从而保护网站及其用户数据免受攻击。此外,代码审计还有助于提升代码质量,确保符合最佳实践和标准,增强系统的稳定性和安全性。那么传统的代码审计需要很多非常专业的代码开发人员对着上千行,上万行,甚至几十万行,几百万行代码进行无休止的阅读,研究,审计,逆向推理代码是否逻辑上有问题等,而在这过程中,审计效率极其低下,错误率较高,也是必不可少的问题,我们的ai智能代码安全性审计,可以极大避免此类问题。
人在审计代码的时候,会犯错误,会累,无法长时间高强度进行审计,但是ai不会,ai可以24小时,不间断,针对超大量代码进行审计,并及时发现存在的漏洞,并给出修复方案,下图
功能七:ai智能漏洞扫描识别与分析功能
网站是否存在漏洞?在没有网站源代码的情况下,我们可能并无法进行有效测试,但是我们可以模拟黑客攻击,来进行一个黑盒测试(不清楚具体情况,直接进行黑客模拟攻击)而漏洞扫描识别和分析,非常考验技术,通过模拟黑客的攻击行为,来进行全面的渗透测试,对技术要求程度很高,但是通过ai智能漏洞扫描识别与分析功能,ai可以智能模拟黑客攻击行为,从而发现漏洞,并给出漏洞分析结果报告,帮助开发者快速定位可能存在的漏洞,并进行修复。下图为我们使用该工具进行实际漏洞扫描时,发现的漏洞和漏洞分析结果
技术原理深度解析
一、API适配层(APIAdapter)
技术原理:
该类实现了对象适配器模式
通过统一接口封装了Deepseek和Ollama两种AI服务的差异性。适配器模式的核心在于:
目标接口:chat_completion方法定义了统一的请求格式。
适配者:Deepseek的REST API与Ollama的本地模型调用。
适配逻辑:通过config.py中的配置动态选择后端服务,屏蔽异构接口的差异。
优点:符合开闭原则,未来新增其他AI服务只需继承适配器接口,无需修改现有代码。
安全增强机制
API密钥管理:通过环境变量或配置文件存储密钥,避免硬编码风险,符合OWASP API安全规范A3(敏感信息泄露)。
响应净化:Ollama响应中使用正则表达式移除“标签内容,防止恶意注入数据污染结果。
二、多线程任务处理(QThread子类)
技术原理:
线程模型设计
所有分析任务(如流量分析ysisThread、解码DecodingThread)均继承QThread,通过pyqtSignal与主线程通信,避免阻塞UI并确保线程安全
例如:
class ysisThread(QThread):
ysis_complete = pyqtSignal(str, bool) # 定义信号
def run(self):
result = self.api.chat_completion(prompt)
self.ysis_complete.emit(result, is_attack) # 发射信号更新UI
优势:PyQt的信号槽机制自动处理线程间通信,无需手动加锁,降低资源竞争风险。
异常处理策略
每个线程的run()方法包裹在try-except中,捕获异常后通过信号传递错误信息,避免程序崩溃。参考Dify的异常处理机制,可进一步扩展:
重试机制:对网络请求错误(如超时)添加指数退避重试。
默认值回退:若AI接口无响应,返回预定义的安全响应(如“无法分析”)。
三、流量分析模块(ysisThread)
技术原理:
漏洞检测逻辑
基于OWASP Top 10攻击特征进行模式匹配:
SQL注入:检测未过滤的OR 1=1、UNION SELECT等关键字。
XSS:识别<script>标签或javascript:协议。
CSRF:检查请求是否缺少反CSRF令牌(如SameSite属性)。
编码处理:自动解码Base64、URL编码等内容,参考网页34的正则分组解码方法
34
AI辅助分析通过大语言模型(LLM)理解复杂攻击模式,如混淆的JavaScript代码或嵌套编码的payload,提升传统正则匹配的覆盖率。
四、WebShell检测模块(WebShellysisThread)
技术原理:
静态特征提取
高危函数检测:扫描PHP/ASP/JSP文件中的eval、system、base64_decode等危险函数。
混淆技术识别:检测异或加密、代码压缩等规避手段,参考OWASP WebShell检测指南。
行为模拟分析
通过LLM模拟执行可疑代码片段,判断其是否具备内存马特性(如无文件落地、进程注入)。
开源工具集成
可扩展集成开源工具如Pygoat
,验证检测规则的有效性。
五、正则生成与文本处理(RegexGenThread)
技术原理:
模式学习算法
分析样本文本的结构(如IP地址、日期格式),自动生成匹配规则。例如:
样本:192.168.1.1 → 正则:\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}
样本:2025-05-13 → 正则:\d{4}-\d{2}-\d{2}
动态优化机制
通过LLM迭代优化正则表达式,平衡覆盖率与误报率。例如排除合法IP中的非数字字符。
六、主题切换与UI渲染
技术原理:
样式表动态加载
使用QSS(Qt Style Sheets)实现主题切换,通过setStyleSheet()动态应用预定义的CSS样式[[THEMES配置]]。
示例深色主题:
CSS
QMainWindow { background-color: #2e2e2e; color: white; }
QPushButton { background-color: #007acc; }
渐变效果优化
利用QLinearGradient实现按钮的视觉层次感,提升用户体验。
七、文件扫描与批量处理(BatchWebShellysisThread)
技术原理:
递归文件遍历
支持目录选择与文件类型过滤(如.php、.jsp),通过glob模块快速定位目标文件。
进度控制与并发管理
使用QProgresar实时显示扫描进度,通过线程池限制并发数,防止资源耗尽。
八、翻译与跨语言支持(TranslationThread)
技术原理:
术语一致性保障
在翻译过程中保留代码变量名和专有名词(如SQLi、XSS),确保技术文档准确性。
LLM多语言能力
依赖AI模型的多语言翻译能力,支持中、英、日等语言互译,无需额外词典维护。
总结与改进建议
潜在优化方向:
集成开源工具:如LLM Guard
54
增强AI安全防护,Cuckoo Sandbox实现动态行为分析。
误报降低:引入贝叶斯分类器对检测结果二次验证。
性能提升:采用异步IO(aiohttp)替代同步请求,减少网络延迟。
合规性建议:
符合ISO/IEC 27001信息安全管理要求,对敏感操作(如文件读取)记录审计日志。
该平台通过设计模式与安全框架的结合,实现了多功能一体化的网络安全分析能力,但仍需在异常处理、动态分析等方面进一步完善。
简单来讲,这个技术原理是说,我们从最简单的角度来分析一下这个技术原理,我们大家常用的一些训练模型都是通用模型,例如我们在线上一般使用的豆包,通义千问等通用模型,而这些模型更多的是要解决更大众的一些需求,但是针对单独的领域可能效果并不是特别的好,而我们这款产品要实现的,是要让它在更加单独的一些领域上可以有更好的效果,通过针对式的靶向式的ai进行训练,然后再使用这个工具,把我们的一些内容喂给ai。
当我们在使用这个工具的时候,例如ai智能代码审计,正常我们在做代码审计的时候,如果想通过ai帮助的话,只可能是每次向ai输出1000或2000个字符,输入太多的话,ai可能无法进行代码审计,而我们这个工具在开发的时候也遇见了这样的问题,所以我们采用将大量的代码分割成多个代码块,并一块一块的发送给ai,最后再把所有的ai返回的结果总结到一块,再返来,像其他的功能,websell木马检测也是类似,这个是比较简单的一些技术原理。而我们在开发其他的类似的这种ai工具的时候,也可以利用这个原理。
那么到最后本篇文章到此为止,本篇文章我们只是针对于最基础的一些技术的一些讲解,对基础的一些功能的讲解,而后续我们还会写一些更深入的一些技术的探讨和讲解。
