《A类赛题手册》下载地址：https://www.fwwb.org.cn/news/show/598

1.命题方向

智能计算

2.题目类别

应用类

3.题目名称

基于 AI 驱动的自动化网络安全应急响应系统设计与实现

4.背景说明

【整体背景】

全球网络安全正经历从“人工防御”向“AI对抗AI”的范式转移。攻击者开始利用生成式AI实现攻击代码智能混淆、钓鱼内容个性化生成及攻击路径动态规划，而企业安全运营中心面临的告警量持续激增与专业人才短缺形成尖锐矛盾，传统基于规则的检测与人工响应模式已难以应对现代网络攻击的复杂性与时效性要求。面对这一态势，《关键信息基础设施安全保护条例》及《中华人民共和国网络安全法》均明确提出重大安全事件快速自动处置的合规要求，政策导向正从“合规驱动”转向“能力驱动”，要求关键基础设施运营单位具备分钟级威胁遏制与秒级攻击链阻断能力。与此同时，大语言模型与多模态AI技术已从概念验证进入实战落地阶段，AI正在重构“检测－分析－响应－反制”的全流程。

【学校背景】

浙江水利水电学院作为一所以水利为特色、应用型为导向的本科高校，始终致力于培养适应水利行业发展需求的高素质应用型人才。学校坚持“质量立校”的办学理念，在应用型人才培养方面取得了显著成效，毕业生初次就业率连续多年保持在95%以上，其“专业基础扎实、实践能力强、发展潜力大”的育人特色赢得了用人单位的高度评价。为响应国家网络安全战略和智慧水利建设需求，学校自2023年起联合多家网安行业的龙头企业，成立网络空间安全产业学院，共同构建面向全省的智慧水利网络安全人才培养体系。

【业务背景】

传统的网络安全应急响应机制在时效性、准确性和一致性方面面临严峻挑战。面对突发安全事件，人工响应往往存在响应滞后、判断偏差、处置不一致等问题，难以满足关键基础设施和政企单位对“分钟级”甚至“秒级”响应的迫切需求。大语言模型凭借其强大的语义理解、知识推理与多轮对话能力，为构建具备自主感知、智能决策与自动处置能力的网络安全应急响应系统提供了新的技术路径。

5.项目说明

【问题说明】

当前网络安全应急响应普遍依赖“人－流程－工具”的传统模式，存在以下深层痛点：

（1）响应时效滞后：专家需现场支援或跨地域协作，耗时数小时至数日，错失分钟级攻击遏制窗口；7×24小时值守难以持续，非工作时响应延迟剧增；逐级上报机制冗长，平均响应时间远超攻击扩散速度。

（2）研判质量不均：海量告警致人工筛选困难，易产生误判；多源安全数据缺乏关联分析，难以还原攻击链条；专家经验无法有效沉淀，处置效果过度依赖个人能力。

（3）处置效率低下：隔离、取证等操作分散于不同平台，手动跨系统执行易出错；现有自动化脚本适应性不足，仍需人工介入；处置前缺少仿真验证，可能误伤业务。

【用户期望】

构建AI 驱动的自动化网络安全应急响应系统，实现对异构终端安全事件的智能检测与快速闭环处置。

（1）多平台数据采集

支持Windows、Linux及国产化操作系统（麒麟、统信UOS等）的系统日志、安全日志、进程操作记录的统一采集；实现命令执行、文件落地、网络连接等关键行为的实时感知能力。

（2）AI智能分析引擎

基于大语言模型实现日志语义解析，自动识别可疑命令执行、异常文件写入、恶意程序行为等威胁特征；支持对落地文件进行轻量化分析（如Python/Shell脚本识别、可执行文件特征检测），关联多源信息还原攻击链路。

（3）自动化响应处置

针对常见入侵场景（WebShell上传、恶意程序执行、暴力破解等），沙箱自动分析，自动执行主机隔离、恶意IP阻断、危险文件隔离/删除、恶意进程终止等处置动作；支持自定义响应剧本，实现从“威胁发现”到“风险清除”的自动化闭环。

（4）人机协同与审计

在高风险操作（如主机断网、系统文件删除）前设置人工确认节点；提供处置过程可视化展示，支持安全运营人员随时干预、调整策略；完整记录响应日志，满足安全审计要求。

6.任务要求

【开发说明】

参赛团队需围绕“自动化网络安全应急响应”主题，完成系统设计与实现，具体包括：

基础能力实现
（1）系统架构设计：设计清晰的微服务/智能体架构，包含数据采集、事件处理、智能决策、响应执行、可视化等模块；

（2）事件理解模块：基于大模型实现告警日志语义解析、威胁分类、严重度评估；

（3）决策生成模块：根据事件上下文自动生成响应策略（至少包含隔离、阻断、修复三类动作）；

（4）流程集成：实现至少一个完整攻击场景（如Web攻击、恶意文件、暴力破解）的端到端自动化响应。

进阶能力实现

（1） 多事件关联：实现对同一攻击链上多个关联事件的智能聚合与统一处置；

（2） 动态策略调整：基于响应效果反馈自动优化后续策略；

（3） 人机协同：设计合理的人机交互接口，支持专家干预与AI建议融合；

（4） 知识积累：实现响应案例的知识库沉淀与复用。

【技术要求与指标】

（1）异构终端兼容性：

• Windows（Win7及以上，支持Sysmon日志）；

• Linux（CentOS/Ubuntu/Debian，支持Auditd）；

• 国产化系统（至少支持麒麟或统信UOS其一）；

• 提供统一的Agent部署方案或免Agent远程采集方案。

（2）实时检测与响应时效：

• 事件采集延迟：从终端发生行为到系统接收日志；

• 响应执行延迟：从决策生成到终端执行完成≤60秒；

• 全流程闭环：从攻击发生到自动处置完成≤30分钟（无人干预场景）。

（3）应急响应完整性：
• 检测：支持WebShell、恶意程序、暴力破解、权限提升、命令执行等场景识别；
• 分析：攻击时间线可视化、攻击者画像（IP/账户/工具特征）、影响范围评估；
• 遏制：支持主机网络隔离、账户禁用、进程终止、IP阻断、文件隔离/删除；
• 取证：自动提取关键证据（恶意文件样本、进程内存、操作日志）；
• 恢复：提供配置回滚、服务重启、网络恢复等基础能力。

（4）可交付性与可复现性：

• 支持本地离线部署；
• 支持本地模型、云端API接入（OpenAI API、Claude API格式兼容）；
• 提供模型切换配置能力，可针对不同场景选择不同模型；
• 具备提示词工程优化能力，支持上下文长度≥4K tokens。

【提交材料】

（1）项目概要介绍

（2）项目简介PPT

（3）项目详细方案

（4）项目演示视频

（5）企业要求提交的材料：

① 系统架构与流程设计图

② 核心功能模块说明

③ 项目安装指南

④ 项目的详细分工及过程文档

⑤ 可复现运行的公网运行环境地址

（6）团队自愿提交的其他补充材料。

【任务清单】

（1）需求梳理与总体蓝图设计

（2）智能体角色划分与协同策略设计

（3）关键能力单元开发（事件感知 → 语义推理 → 决策生成 → 响应执行）

（4）全链路集成与攻防演练场景演示

【可用技术与环境】

（1）编程语言：Python / Go / Node.js / Rust 等任意主流语言；

（2）智能底座：本地开源大模型（Llama-3、Qwen、ChatGLM）或云端 API（Claude、通义、千问、OpenAI）；

（3）消息与编排：Kafka / Redis / RabbitMQ + FastAPI / Gin / Spring Cloud，或直接使用 n8n、Shuffle、Temporal 等低代码编排引擎；

（4）事件源：Syslog、CEF、LEEF、JSON 日志，可接入 Suricata、WAF、EDR、Elastic SIEM、MISP、TheHive 等开源平台。

7.其他

本项目仅限于合法授权的安全研究、教学、竞赛与演练场景，所有设计与实现须遵循《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律法规，严禁用于未授权系统或真实生产环境。涉及模拟攻击与响应操作时，须在隔离测试环境中进行，确保不影响真实业务与数据安全。

8.参考信息

开源网络安全应急靶机：
https://blog.csdn.net/m0_73812072/article/details/155063052

https://blog.csdn.net/m0_73812072/article/details/157254282

9.评分要点

赛题评分要点见附件一：A类企业命题初赛统一评分标准。