AI 驱动的网络攻防演练与安全态势推演——从“规则检测”到“行为级对抗”的工程体系

AI 驱动的网络攻防演练与安全态势推演------从"规则检测"到"行为级对抗"的工程体系

引言：从"虚假的安宁"到"真实的可计算"

在当下的企业网络中，我们正在陷入一种"防御通胀"的怪圈：安全预算在增加，设备堆叠在变厚，合规报告越来越精美，但安全负责人的焦虑感却从未消失。

这种焦虑的本质在于，我们构建了一座华丽的城堡，却从不真正了解城堡内部那些由 ACL 规则、路由协议和合法业务流交织而成的"暗径"。传统的安全体系是"基于点的检测"，它试图在成千上万个进出口识别已知的坏人；而现代攻击则是"基于路径的行为"，它利用你亲手配置的合法规则，在网络深处进行"合法的行走"。

当规则库的更新速度永远赶不上攻击者的变号手段时，安全演练必须进化。我们不再需要那种"照本宣科"的脚本攻防，而是需要一种能够系统性搜索网络状态、自动推演结构性风险的工程体系。

本文将带你跳出"特征检测"的狭隘视野，进入一个由 AI 驱动、以行为图谱（Behavior Graph）为核心的攻防演练新范式。

1、为什么传统网络安全体系，在真实攻击面前越来越无力

在绝大多数企业网络中，安全体系的"表面完备性"正在不断提高。

你能看到的通常是这些东西：

• 防火墙规则成百上千
• IDS / IPS 特征库每周更新
• WAF、NDR、态势感知平台一应俱全
• 合规报告看起来滴水不漏

但只要你真正参与过一次真实级别的安全事件，就会发现一个令人不安的事实：

这些系统更擅长"证明自己存在"，而不是"证明自己有效"。

问题并不在于设备不够好，而在于它们的工作假设已经过时。

1.1 传统安全系统的隐含假设

绝大多数网络安全产品，隐含了三个前提：

1. 攻击模式是已知的
2. 攻击行为可以被规则或特征描述
3. 防御侧永远是被动响应

这在十年前是成立的。

那时攻击更像是"工具驱动的技术行为"：

• 扫端口
• 利用已知漏洞
• 固定 Payload
• 明确的攻击阶段

但今天的攻击，早已不是这样。

1.2 现代攻击的真实形态

在近几年的真实事件中，越来越多的攻击呈现出几个特征：

• 低频、慢速、跨阶段
• 利用合法协议与合法配置
• 行为看起来"像运维，而不是像攻击"
• 攻击路径是动态规划出来的

举一个在企业中非常常见、但几乎无法用规则捕获的例子：

攻击者并不触发任何 IDS 特征

他只是：

• 利用一条原本存在的 ACL 放行
• 借助一次正常的路由收敛
• 在业务低谷期完成横向移动

从日志层面看，一切都是"合法行为"。

2、安全演练真正要解决的，不是"能不能拦"，而是"能不能看懂"

很多企业会做"攻防演练"，但你如果深入参与过就会发现：

• 演练的形式感很强
• 但工程价值并不高

2.1 常见的"形式化演练"问题

常见问题包括但不限于：

• 红队使用固定攻击脚本
• 蓝队提前知道大致攻击方式
• 防御效果用"有没有被打下来"来衡量
• 演练结束后只留下 PPT，而没有系统改进

这类演练，本质上只是一次压力测试 ，而不是一次能力评估。

2.2 工程视角下，攻防演练应该回答的问题

如果你站在一个网络架构师或安全负责人的角度，真正关心的应该是：

1. 攻击在网络中是如何"行走"的？
2. 哪些网络结构与策略，天然放大了攻击能力？
3. 哪些防御策略只是"看起来安全"？
4. 如果攻击方式发生变化，现有体系是否还能感知？

这些问题，有一个共同点：

它们都不是"规则问题"，而是"行为与结构问题"。

3、把"攻防演练"工程化：一个可计算的体系抽象

要让 AI 真正参与攻防演练，第一步不是"上模型"，而是重新定义问题。

3.1 从"攻击工具"到"攻击行为图"

在工程上，我们需要把攻击抽象为一个行为图（Attack Behavior Graph），而不是一组工具。

一个最小可用的攻击行为图，至少包含：

• 节点（Node）
  • 网络资产（设备、服务、子网）
• 边（Edge）
  • 可达关系（路由、ACL、NAT、隧道）
• 约束（Constraint）
  • 身份、协议、状态、时间

攻击不再是"打某个漏洞"，而是：

在约束条件下，寻找一条从 A 到 B 的可行路径。

这与网络工程师熟悉的东西非常像：

• 路由选路
• 流量转发
• 策略匹配

3.2 网络本身，就是攻击图的一部分

这是一个非常关键、但经常被忽略的事实：

攻击路径，往往不是"被创造的"，而是"被网络结构允许的"。

例如：

• 一条为了运维方便而放开的 ACL
• 一个历史遗留的 NAT 映射
• 一次默认路由的错误收敛

在传统安全体系中，这些被当作"网络问题"；

而在真实攻击中，它们是攻击能力的放大器。

4、AI 在攻防演练中的真实位置：不是自动打，而是自动"推演"

在这里必须说清楚一件事：

AI 在企业网络攻防中的价值，不是替你发起攻击，而是替你"提前看见结果"。

4.1 攻击推演 ≠ 自动攻击

一个成熟的 AI 攻防系统，不应该做这些事：

• 自动扫描互联网
• 自动利用漏洞
• 自动生成恶意流量

真正有价值的，是：

• 在不发起真实攻击的情况下
• 推演攻击在你网络中是否存在可行路径

这在工程上是完全不同的问题。

4.2 推演的输入是什么？

一个可工作的推演系统，输入至少包括：

1. 网络拓扑（L2/L3/L4）
2. 安全策略（ACL / FW / NAT）
3. 协议状态（路由、会话、隧道）
4. 资产属性（角色、暴露面）

这些数据，网络工程师本来就有。

AI 的作用在于：

把这些"静态配置"，转化为"可搜索的状态空间"。

5、一个真实案例：为什么这条攻击路径，传统系统永远看不到

下面我给你一个完全工程化、真实可发生的案例。

5.1 网络背景

• 核心交换区：
  • Core-SW-1 / Core-SW-2（OSPF + ECMP）
• 边界防火墙：
  • FW-A（双机热备）
• 管理网段：
  • 10.10.10.0/24
• 业务区网段：
  • 10.20.0.0/16

存在以下配置片段（简化）：

防火墙 ACL

permit tcp 10.10.10.0 0.0.0.255 any eq 22

permit tcp 10.20.0.0 0.0.255.255 10.10.10.0 0.0.0.255 eq 443

这在很多企业里非常常见：

• 管理网可以 SSH 到任意设备
• 业务系统可以访问管理系统的 HTTPS 接口

5.2 攻击的起点

攻击者并没有打网络设备。

他只是通过应用漏洞，获得了：

• 10.20.8.15 上一个业务容器的低权限 Shell

5.3 传统安全系统的视角

• 没有端口扫描
• 没有异常流量
• 所有访问都符合 ACL

→ 安全系统判定：正常

5.4 攻击真实发生了什么

攻击者做了三件事：

1. 通过业务系统访问管理 API（合法 HTTPS）
2. 利用 API 返回的信息，识别管理网段结构
3. 在一次运维窗口中，借助管理员 SSH 行为，完成横向跳转。这是通过"管理网段对全网的 SSH 权限（any eq 22）"结合"已获取的管理主机权限"实现的。

整个过程，没有一条"违规流量"。

6、AI 如何在"演练阶段"发现这条路径

现在关键问题来了：人是怎么提前发现这条路径的？

答案是：很难。

但 AI 可以，因为它不靠直觉，而靠搜索与约束推理。

6.1 把网络转成"状态图"

在推演系统中，AI 看到的是类似这样的结构：

graph = {

    "10.20.8.15": ["FW-A"],

    "FW-A": ["10.10.10.0/24"],

    "10.10.10.0/24": ["Core-SW-1", "Core-SW-2"]

}

同时，每条边带有约束：

{

  "source": "10.20.8.15",

  "dest": "10.10.10.5",

  "protocol": "tcp",

  "port": 443,

  "condition": "permit"

}

6.2 AI 做的不是"攻击"，而是"可达性推理"

模型不会问：

"我能不能黑进去？"

它问的是：

"在不违反任何现有规则的情况下，我能走到哪里？"

当你把这个问题放大到整个网络，结果往往非常刺眼。

7、攻击路径不是"设计出来的"，而是"被搜索出来的"

在前面，我们已经明确了一件关键的事情：真实攻击路径，本质上是一个"在约束条件下的可达性问题"。

这意味着，只要你能：

• 把网络抽象成状态空间
• 把策略、协议、身份转成约束
• 把"攻击目标"转成搜索终点

那么，"攻击路径"这件事，就不再依赖红队经验，而变成一个可计算问题。

7.1 人类与 AI 在这一步的根本差异

人类工程师在看网络时，通常是这样的：

• 我大概知道网络长什么样
• 我凭经验觉得这里不太安全
• 我手工脑补几条可能的路径

这在小网络里还勉强可行。

但在真实企业环境中：

• 几百台设备
• 上千条 ACL / FW 规则
• 多区域、多角色、多历史遗留

人的"直觉搜索"能力会迅速崩溃。

而 AI 擅长的，恰恰是：

在巨大状态空间中，系统性地搜索"所有合法可能性"。

8、攻击路径生成的工程模型：状态、动作与约束

在工程上，一个可用的攻击推演模型，至少需要三类核心元素。

8.1 状态（State）：攻击者当前"在哪"

状态不是"我控制了哪台机器"，而是一个更抽象的概念：

class State:

    def __init__(self, location, privilege, protocol_context):

        self.location = location          # IP / 子网 / 设备

        self.privilege = privilege        # none / user / admin

        self.protocol_context = protocol_context  # 会话、路由、隧道状态

例如：

• 我在 10.20.8.15
• 权限是普通业务用户
• 当前存在一条合法 HTTPS 会话

这已经是一个完整的"攻击状态"。

8.2 动作（Action）：在网络中"可以做什么"

动作不是 exploit，而是合法或半合法的网络行为：

class Action:

    def __init__(self, name, precondition, effect):

        self.name = name

        self.precondition = precondition

        self.effect = effect

示例动作包括：

• 发起一个新的 TCP 会话
• 复用已有会话
• 触发路由收敛
• 借助 NAT 映射访问新地址

注意：这里没有"攻击代码"，只有网络行为。

8.3 约束（Constraint）：什么情况下动作才成立

约束来自于你现有的网络事实：

• ACL 是否 permit
• 路由是否可达
• 会话是否允许复用
• 身份是否满足

例如：

def acl_constraint(src, dst, proto, port):

    return acl_table.is_permitted(src, dst, proto, port)

这一步，是 AI 能否"像网络工程师一样思考"的关键。

9、AI 如何系统性生成"攻击路径假设"

有了状态、动作、约束，接下来就是核心问题：

如何生成"值得演练的攻击路径"？

9.1 暴力搜索不可行，必须有"策略"

真实网络的状态空间是指数级的。

因此，AI 不可能"全图遍历"，而是要结合启发式与裁剪策略。

典型策略包括：

• 最小权限提升优先
• 跨安全域优先
• 利用管理面优先
• 路径长度最短优先

这些策略，本质上是把红队经验转成算法偏好。

9.2 示例：攻击路径生成伪代码

def generate_attack_paths(initial_state, goal, max_depth=6):

    paths = []

    queue = [(initial_state, [])]


    while queue:

        state, path = queue.pop(0)


        if state.location == goal:

            paths.append(path)

            continue


        if len(path) >= max_depth:

            continue


        for action in possible_actions(state):

            if action.precondition(state):

                new_state = action.effect(state)

                if not violates_constraints(new_state):

                    queue.append((new_state, path + [action]))


    return paths

这段代码做的事情非常"朴素"，但意义非常大：

• 它不关心漏洞
• 它不关心 payload
• 它只关心：在你的网络里，能不能走过去

10、为什么 AI 能发现"你从未演练过的攻击方式"

这是一个非常重要、也非常现实的问题。

很多企业会说：

"我们每年都有演练，为什么还是会被打？"

原因往往只有一个：

你演练的是"已知攻击"，而不是"已知网络"。

10.1 演练对象选错了

传统演练的变量是：

• 攻击工具
• 攻击技巧

而 AI 演练的变量是：

• 网络结构
• 策略组合
• 行为叠加

只要网络没变，这些东西就一直存在。

10.2 一个真实但容易被忽略的例子

在某金融企业中，AI 推演出这样一条路径：

1. 业务区 → 管理 API（合法）
2. 管理 API → 日志服务器（合法）
3. 日志服务器 → 核心交换机（合法 SSH）

整个路径中：

• 没有漏洞
• 没有暴力破解
• 没有异常流量

但它跨越了三个安全域。

人工红队从未尝试过，因为它"看起来不像攻击"。

11、从"路径假设"到"演练输入"：工程化落地的关键一步

生成路径只是第一步。

如果这些路径不能被演练系统消费，它们就只是"分析报告"。

11.1 演练输入需要什么格式？

一个可执行的演练输入，至少需要：

• 初始条件
• 关键网络动作
• 预期观察点

例如：

{

  "initial_asset": "10.20.8.15",

  "actions": [

    "establish_https_session_to_10.10.10.5",

    "query_management_api",

    "reuse_admin_ssh_session"

  ],

  "expected_observations": [

    "firewall_session_log",

    "management_api_access_log",

    "ssh_login_from_internal_ip"

  ]

}

这已经完全脱离了"攻击工具"层面。

11.2 AI 在这里做的不是"控制"，而是"编排"

AI 的职责不是执行这些动作，而是：

• 生成标准化演练脚本
• 标注应当被监控捕获的信号
• 指明如果没被发现，说明哪一层能力缺失

这一步，直接把攻防演练，升级成了体系评估工具。

12、红队侧 AI 的真正价值：持续、系统、无偏见

到这里，我们可以非常清楚地给红队侧的 AI 定一个位置了。

12.1 它不取代红队，但补足红队做不到的事

红队擅长：

• 创意
• 社会工程
• 临场应变

AI 擅长：

• 全局搜索
• 不疲劳
• 不受经验盲区影响

二者不是竞争关系，而是能力叠加。

12.2 一句话总结红队侧 AI 的作用

它不是最聪明的攻击者，但它是最"全面、耐心、系统"的那一个。

13、同一套模型，如何反向服务蓝队：从"防守动作"到"防守能力"

在前两部分，我们一直站在攻击路径推演的角度讨论问题。

但真正成熟的体系，必须完成一次视角翻转：

如果攻击路径是可计算的，那么防守能力也必须是可计算的。

13.1 蓝队的问题，从来不是"有没有设备"

在大多数企业中，蓝队并不缺能力组件：

• 防火墙
• NDR / IDS
• 日志平台
• SOC 流程

真正的问题是：

这些能力在"攻击路径的哪个节点"生效？
是否存在"全程可见但全程不决策"的情况？

这不是工具问题，而是结构问题。

13.2 把防守能力映射为"路径上的拦截点"

在工程模型中，我们可以把防守能力也抽象成图上的元素：

class DefenseCapability:

    def __init__(self, location, signal, action):

        self.location = location   # 网络节点 / 边

        self.signal = signal       # 能看到什么

        self.action = action       # 能做什么

例如：

• 防火墙：
  • location：路径边
  • signal：五元组、会话状态
  • action：permit / deny
• NDR：
  • location：镜像口
  • signal：流量行为
  • action：告警（但不阻断）

关键不在于"有没有"，而在于"在不在正确的位置"。

14、防御能力评估，不再靠"告警数量"，而靠"路径覆盖率"

这是 AI 驱动安全评估的一个核心转变。

14.1 传统指标的根本缺陷

传统安全评估常用指标包括：

• 告警数
• 误报率
• MTTR
• 漏洞修复率

这些指标有用，但它们回答的是：

"系统运行得勤不勤快？"

而不是："如果攻击真的发生，我在哪一步能看见、在哪一步能阻断？"

14.2 路径覆盖率（Path Coverage）的定义

在 AI 推演体系中，我们引入一个更直接的指标：

路径覆盖率 =
在一条攻击路径上，至少存在一个"可感知 + 可决策"的防守节点。

进一步细分：

• 可感知覆盖
• 可阻断覆盖
• 仅记录覆盖

这能非常直观地暴露问题。

14.3 一个真实的"看起来很安全"的失败案例

在某大型制造企业的推演中：

• 攻击路径长度：7 步
• 每一步都有日志
• SOC 日志完整率：100%

但结果是：

• 7 步中，只有第 6 步才触发"高危告警"
• 第 1--5 步全部是"低风险、无人关注"

换句话说：

攻击在网络中走了 80%，蓝队"看见了"，但从未"理解"。

15、AI 如何做"防守视角的反事实推演"

一旦你把攻防放在同一套模型中，AI 可以做一件人类极难系统完成的事情：

反事实推演（Counterfactual Reasoning）

15.1 什么是防守侧反事实问题？

典型问题包括：

• 如果这条 ACL 不存在，路径是否还成立？
• 如果这一步能阻断，攻击是否完全失败？
• 哪一个防守点，性价比最高？

这些问题，本质上是：

"最小改动 → 最大风险下降"

15.2 示例：最小防守修复集的搜索

def minimal_defense_changes(path, defenses):

    fixes = []


    for step in path:

        for defense in defenses_at(step):

            if defense.action == "block":

                fixes.append(defense)


    return minimal_set(fixes)

AI 并不是建议你"全加规则"，而是明确告诉你："这一条路径，只需要这一个点，就能彻底失效。"

16、从演练到态势：安全不再是"静态评分"，而是"结构风险"

当你持续运行这套推演体系后，你会发现一个变化：

安全态势，不再是某一天的分数，
而是一张随网络演化而变化的风险曲面。

16.1 态势评分的输入发生了根本变化

不再是：

• CVSS
• 漏洞数量
• 告警密度

而是：

• 高风险路径数量
• 跨域路径比例
• "无阻断路径"占比
• 管理面暴露深度

这些指标，直接对应真实事故概率。

16.2 AI 在态势系统中的角色

AI 不负责"判定你是否安全"，

它负责：

• 持续重新计算路径
• 发现新出现的组合风险
• 在变更发生前给出结构性预警

例如：

"这次路由调整后，

新增 2 条从业务区到管理面的可达路径，

其中 1 条无阻断点。"

这比任何合规报告都更有价值。

17、一次完整 AI 驱动攻防演练的端到端闭环

把整套流程串起来，其实非常清晰：

1. 输入
   • 拓扑、策略、协议状态
2. 攻击侧推演
   • 路径生成与裁剪
3. 演练输入生成
   • 标准化动作 + 观测点
4. 防守侧映射
   • 能力位置与覆盖分析
5. 反事实分析
   • 最小修复建议
6. 态势演进
   • 持续风险评估

这里面，没有一次"真实攻击"，但每一步都高度贴近真实事故的发生方式。

18、这套体系真正改变的，不是安全工具，而是安全认知

在结束之前，有一句话必须说清楚：

AI 驱动的攻防演练，并不是为了"更酷的攻击"，而是为了"更诚实地面对你的网络"。

它逼迫你回答一些无法回避的问题：

• 我的网络结构，本身是否放大了攻击能力？
• 我的安全策略，是"设计出来的"，还是"历史叠加的"？
• 如果攻击者什么都不违规，他能走多远？

这些问题，一旦被系统性回答，安全就不再是玄学。

结语：安全不是玄学，而是可计算的工程事实

当我们将攻防演练从"人的经验"升级为"AI 的推演"时，我们得到的不仅是几份漏洞报告，而是一张清晰、客观、动态的网络风险曲面。

在这个体系中，AI 扮演的角色不再是一个写脚本的"黑客替身"，而是一个拥有无限耐心的**"拓扑数学家"**。它在百亿级的状态空间中不知疲倦地搜索，替你提前看清那些隐藏在合法配置背后的毁灭性路径。它告诉我们：安全不是靠昂贵的设备买来的，而是通过对网络结构的诚实认知和对约束条件的极致管理换来的。

当安全从一种"看运气"的防御艺术，变成一种"可计算"的工程事实，蓝队才真正掌握了对抗的主动权。

（文：陈涉川）

2025年12月25日