Layer 4 / 7 層架構已出貨
偵測 Detect
行為異常偵測 — 確定性啟發式關聯
裝置端行為關聯 · 每次決策 P50 低於 50ms · 7 天 learning-mode baseline · 偵測路徑無 LLM — 判定確定且可重現 · 完全離線。
這一層做什麼
L4 偵測抓單條規則抓不到的:行為漂移、多步驟協同攻擊、以及單獨無害但組合起來成為惡意序列的工具呼叫。它完全在裝置端執行,偵測路徑無 LLM:行為基線加上跨事件的啟發式與時間關聯。單條規則比對處理已知攻擊;L4 關聯剩下的殘量。
為什麼需要
單條規則比對抓你看過的攻擊。多步驟與漂移型攻擊會從單條規則之間溜走。行為關聯以確定性方式補上這個缺口 — 判定可重現、不打雲端、沒有 LLM 延遲稅。P50 維持在 50ms 以下,關聯掃描在毫秒內完成,完全離線。
技術做法
packages/panguard-guard/src/engines/smart-router.ts 的 SmartRouter 依信心度把事件分派到確定性 handler。EnvironmentBaseline 在 7 天學習視窗學正常 process / 連線 / 登入,然後切到 protection mode 標記偏移。investigation engine 用啟發式與時間規則跨事件關聯 — 偵測當下不做任何模型推論。
立即試用
baseline 學完後,行為偵測預設啟用:
pga up這一層攔下的攻擊
具體威脅,具體對策
多 skill 串聯攻擊
高單獨看無害的工具呼叫組合成惡意序列 — 規則錯過,行為偵測抓到。
偏離基線的行為漂移
中Skill 開始偏離學到的基線 — 新 process、未預期連線、異常時序 — 由確定性的基線比對標記。