技術架構

安全不只掃描, 更會思考

三層 AI 防禦漏斗、五個自主代理和學習你環境的情境記憶。90% 的雜訊事件零成本,3% 的關鍵事件獲得最深層推理。

防禦漏斗

三層。90% 免費。

事件從上往下流經越來越強大 -- 也越來越昂貴 -- 的分析層。漏斗確保成本效率,同時保證不遺漏任何真正威脅。

第一層

規則引擎

Sigma + YARA

~90%$0/event

開源 Sigma 和 YARA 規則構成基石。它們在裝置端即時處理絕大多數安全事件,每事件零成本。新的社群規則每天從精選來源拉取,自動編譯到本地引擎。

第二層

邊緣 AI

本地 LLM via Ollama

~7%~$0/event

規則無法自信分類的事件升級到本地大語言模型(Ollama)。這讓敏感資料留在裝置、避免網路延遲,並在不依賴雲端的情況下增加情境推理。

第三層

雲端 AI

Claude / GPT

~3%~$0.02/event

只有最模糊或最新穎的威脅才會到達雲端 AI 進行深度推理。有效負載在傳輸前已清除 PII。雲端 AI 返回帶有信心分數和人話解釋的結構化判決。

代理架構

五個代理。一個使命。

每個代理都是專家。它們共同組成自主安全運營管線:偵測、分析、回應、報告和溝通 -- 無需人工介入。

偵測代理

第一線反應者

持續監控系統日誌、網路流量和檔案系統變化。即時應用 Sigma 和 YARA 規則,在異常出現的瞬間標記。產出附帶 MITRE ATT&CK TTP 標籤的原始事件信號。

分析代理

AI 調查員

接收偵測代理標記的事件並進行多步推理。跨時間關聯事件、查詢情境記憶中的基線偏差,並給出 0 到 100 的信心分數。

回應代理

自動化防禦者

根據信心閾值執行回應劇本。高信心威脅觸發自動隔離、防火牆規則注入或程序終止。中等信心事件排入帶完整情境的人工審查任務。

報告代理

合規撰寫者

將原始事件資料轉換為對應 ISO 27001、SOC 2 等框架的結構化報告。自動生成高管摘要、時間線視覺化和稽核就緒證據包。

聊天代理

資安副駕

人機介面。用戶用人話提問,獲得以真實遙測為依據的回答。整合 LINE、Slack 和 Telegram。主動發送每週摘要和即時入侵通知。

情境記憶

七天學習你。然後永不遺忘。

安裝後前七天,Panguard 靜默觀察你的系統:正常網路模式、典型程序樹、預期 cron 排程和標準用戶行為。這在加密的本地資料庫中建立每裝置基線。

學習窗口之後,任何偏離基線的情況都會被評分和標記。模型持續自我優化 -- 新的合法服務在數小時內被納入基線,而新穎攻擊模式立即觸發升級。

第 1-2 天

觀察

收集程序樹、網路連接、檔案系統基線

第 3-4 天

模式提取

為每個服務建立正常行為的統計模型

第 5-6 天

閾值調校

校準警報閾值以最小化誤報

第 7 天+

主動防護

完整偵測 + 自動回應,持續優化

信心評分

每個事件都有分數。

0-100 的信心分數決定後續行動。高分觸發自動回應。中分通知人工。低分輸入學習系統。

85 -- 100自動回應

高信心威脅自動處理。回應代理在數秒內執行匹配劇本,然後記錄每個動作供稽核。

50 -- 84通知與審查

中等信心事件透過聊天代理向指定人工審查員發送通知。附帶完整情境和 AI 推理,審查員可一鍵批准或駁回。

0 -- 49記錄與學習

低信心信號帶完整元資料記錄,並輸入情境記憶系統。隨時間推移,基線模型自我優化,這些信號要麼升級到更高等級,要麼被抑制為雜訊。

匿名分享

威脅指標在貢獻前移除所有識別資料。

分散式快取

新威脅簽名在幾分鐘內傳播到整個艦隊。

自動規則推送

社群驗證的簽名被編譯成 Sigma/YARA 規則並推送到每個代理。

隱私優先

沒有 IP 位址、主機名稱或用戶資料離開裝置。只有雜湊和行為模式。

集體情報

一台裝置偵測。所有裝置封鎖。

當 Panguard 代理識別出之前未知的威脅,匿名入侵指標(IOC)會貢獻到集體情報網路。幾分鐘內,其他所有 Panguard 代理都收到新簽名。

這創造了正向迴圈:網路中的裝置越多,新威脅被捕獲得越快,每個個體代理就越強大。一台伺服器的小企業受益於整個 Panguard 艦隊產生的威脅資料。

韌性

安全永不中斷。

網路斷線?API 額度用盡?雲端供應商故障?Panguard 透過三層優雅降級。防護永遠開啟。

最佳

雲端 AI + 本地 LLM + 規則引擎 -- 每個事件完整三層分析。

雲端不可用

本地 LLM + 規則引擎。複雜事件排隊等待雲端重試。防護無間斷。

LLM 離線

僅規則引擎。Sigma + YARA 仍捕獲 90% 的已知威脅。事件記錄供稍後 AI 分析。

緊急模式

核心看門狗程序監控關鍵信號。如果 Panguard 本身被攻擊,看門狗通知擁有者並保留鑑識日誌。

技術棧

建立在經過驗證的基礎上。

每個元件都因可靠性、效能和開發者體驗而被選擇。無專有鎖定。

TypeScript

端到端型別安全

Sigma Rules

產業標準偵測

YARA Rules

惡意程式模式匹配

Ollama

本地 LLM 推論

Claude / GPT

雲端 AI 推理

Node.js

代理運行環境

SQLite + Redis

事件儲存與快取

Docker

一行指令部署

REST / WebSocket

即時遙測

Prometheus

指標與警報

準備好看它實際運作了嗎?

60 秒內執行免費安全掃描,或與我們團隊談談在你的基礎設施部署 Panguard。