運作原理
Panguard 怎麼 保護你
五層防禦。三層 AI。一行指令部署。
一目了然
層層遞進的安全思維
每一層攔截上一層漏掉的威脅。組合起來,形成一個適應你環境的防禦系統。
<50ms
平均偵測時間
90%
僅靠規則引擎攔截的威脅
7 天
學習你的正常狀態
五層偵測
五層偵測,攔截別人漏掉的
從靜態分析到上下文記憶,每一層都增加智慧。
環境探索
自動掃描你的基礎設施:作業系統、服務、開放端口、安裝套件、執行中的程序。
這是 Panguard 學習你的環境「正常」樣貌的方式。
規則引擎
3,155 條 Sigma 規則 + 926 條 YARA 規則 + Suricata 網路 IDS + Falco eBPF 監控。
50 毫秒內攔截 90% 已知威脅。不需要 AI。
行為基線
7 天學習期。Panguard 觀察你的系統但不採取行動,建立正常行為模型。
第 8 天自動進入保護模式。從第一天起就不會有誤判。
AI 分析
當規則無法解釋一個行為時,AI 介入。先用本地(Ollama 跑在你的 GPU 上,完全離線)。只在必要時用雲端。
三層漏斗:90% 規則 / 7% 本地 AI / 3% 雲端 AI。每次雲端分析約 $0.008。
自動回應
6 種回應動作:封鎖 IP、終止程序、隔離檔案、警報、快照證據、升級處理。
信心度 > 90%:自動執行。70-90%:先問你。< 70%:僅通知。
AI 漏斗
三層架構。最低成本。最高準確率。
90% 的威脅不需要 AI。我們先用規則,再用 AI,最後才用雲端。
規則引擎
90%- 3,155 條 Sigma 偵測規則
- 926 條 YARA 惡意程式特徵
- Suricata 網路 IDS 規則
- Falco eBPF 系統呼叫監控
- 行為基線偏差偵測
每事件 <50ms
本地 AI
7%- Ollama 在你的機器上運行
- 運行在 NVIDIA GPU 上加速
- 完全離線 -- 數據不會外洩
- 處理規則無法分類的模糊事件
每次分析約 2 秒
雲端 AI
3%- Claude / OpenAI(可設定)
- 僅在本地 AI 不確定時才啟動
- 每次分析約 $0.008
- 多步推理鏈(最多 8 步)
每次分析約 5 秒
AGENT 管線
四個 AI Agent。一個調查引擎。
每個 Agent 有專業分工。組合起來,形成一個自主的資安團隊。
DetectAgent
監控 5 個來源:網路、程序、檔案系統、系統日誌、正規化事件。
AnalyzeAgent
關聯警報、判定嚴重程度、映射到 MITRE ATT&CK 框架。
RespondAgent
根據信心閾值執行回應。自動、詢問或通知。
ReportAgent
產生人類可讀的事件報告,透過 Telegram/Slack/Email 發送。
調查引擎
對複雜事件進行深入調查,最多 8 步推理鏈。
自動回應
六種動作。三個信心等級。
Panguard 不只偵測,還會行動。
封鎖 IP
跨平台防火牆規則,自動解封計時器
終止程序
SIGTERM 再 SIGKILL,程序樹清理
隔離檔案
SHA-256 雜湊隔離,可還原
警報
用白話文發送到你的通知管道
快照證據
事件上下文的鑑識快照
升級處理
通知團隊負責人或外部 SOC
7 天學習期
先觀察,再行動。
從第一天起就不會誤判。Panguard 先學習你的環境,再做決策。
第 1-3 天
觀察期
程序基線、網路模式、檔案變更模式、使用者行為。
第 4-7 天
統計建模
建立平均值 + 標準差模型。識別真正的異常。
第 8 天起
保護模式
自動進入主動保護。持續學習 -- 基線隨你的環境演進。
優雅降級
你的防護永遠不會歸零。
雲端掛了?本地 AI 接手。本地 AI 掛了?規則引擎永遠在跑。
最佳狀態
所有層級啟用。雲端 AI + 本地 AI + 規則引擎。
雲端不可用
本地 AI 處理複雜分析。規則引擎攔截已知威脅。
LLM 離線
規則引擎 + 行為基線。仍攔截 90% 的威脅。
緊急模式
僅規則引擎。核心防護永遠運行。