Skip to main content

學習模式

Guard 會花 7 天觀察您的系統,然後才開始保護它。這不是偷懶 — 這是 Panguard 避免誤報洪水的方式,而誤報正是讓大多數安全工具變得無用的原因。

為什麼需要學習期?

傳統安全工具安裝後立即開始發出警報。結果就是:
  • 合法的 cron 任務被標記為可疑行程
  • 內部服務被視為異常連線
  • 每天數百條警報,幾乎全是誤報
  • 使用者關閉通知,工具失去意義
Panguard Guard 花 7 天觀察您系統上的正常行為,然後判斷什麼是異常的

學習期間發生什麼

1

第 1-3 天:收集基線

Guard 靜默觀察並記錄:
  • 行程基線 — 哪些程式正常執行、啟動時間與資源使用
  • 網路基線 — 正常連線模式、常用連接埠、流量特徵
  • 檔案基線 — 重要目錄的變更模式
  • 使用者基線 — 登入時間、來源 IP、操作模式
2

第 4-7 天:建立模型

Guard 分析收集到的資料:
  • 計算正常行為範圍(平均值 + 標準差)
  • 識別週期性模式(每日備份、排程更新)
  • 標記已知安全行為以防止未來誤報
3

第 8 天起:進入防護模式

Guard 自動轉換:
  • 切換至主動防護模式
  • 偏離基線的行為會觸發警報
  • 持續學習確保基線隨環境演進

學習模式 vs. 防護模式

屬性學習模式防護模式
啟動時機安裝後自動啟動7 天後自動啟動
警報不產生基線偏離時產生
自動回應不執行依信心度等級執行
通知每日學習進度摘要即時威脅通知
AI 分析僅觀察完整三層漏斗

查看學習進度

panguard guard status
學習期間的範例輸出: 
  -- Guard Status -----------------------

  Mode:       Learning (Day 3/7)
  Uptime:     3d 14h 22m
  Events:     12,847 observed
  Baseline:   42% complete
  Processes:  187 baselined
  Networks:   34 patterns learned

防護模式中基於信心度的回應

Guard 進入防護模式後,會使用信心度等級來決定如何回應:
信心度動作範例
> 90%自動執行回應已知惡意 IP — 自動封鎖
70-90%透過 Chat 要求確認可疑行程 — 詢問是否要終止
< 70%僅通知,不採取行動輕微異常 — 通知您進行觀察
這種分層方式確保高確定性威脅立即處理,而不確定的情況則交由您判斷。

模式轉換條件

從學習到防護模式的轉換不僅基於時間。Guard 還會評估:
  • 基線信心度 — 必須達到門檻值(>= 0.7),表示資料充足
  • 最低事件數 — 必須觀察到足夠的事件以形成代表性基線
  • 模式覆蓋率 — 行程、網路、登入與連接埠模式都必須有資料
如果您的系統活動量非常低,學習期可能延長超過 7 天,直到基線信心度門檻達標。

持續基線更新

防護模式不會凍結基線。Guard 持續自適應:
  • 24 小時清除週期 — 超過 30 天的過時模式會被移除
  • 整合新模式 — 合法的新服務或行程會逐步納入
  • 時段感知 — 0:00-5:59 期間的事件會獲得信心度加成(非常規活動時段)

重置學習期

如果您的系統經歷重大變更(伺服器遷移、大規模服務部署),您可以重置學習期: 
panguard guard stop
# 清除資料目錄中的基線檔案
panguard guard start
Guard 會重新進入 7 天學習模式並建立全新的基線。
重置會清除所有已學習的模式。Guard 在新的學習期完成前不會產生警報或自動回應。

相關內容

三層式 AI 漏斗

規則引擎、本地 AI 與雲端 AI 如何協同運作。

安全分數

0-100 評分系統,總結您的安全態勢。