主要依赖基于规则和签名的检测方法，对于不断变种的恶意软件、0-day 漏洞攻击、无文件攻击、 APT 攻击等高级威胁和未知威胁的检测能力严重不足，导致防御体系容易被突破。威胁情报的利用也往往停留 在简单的 IOC 比对层面，难以深入理解攻击者的 TTP 和意图，无法实现有效的威胁溯源和精准防御。 4）缺乏主动性和适应性 传统 SOC 以被动响应为主，难以主动发现潜藏的威胁。安全策略和检测规则通常是静态配置的，更新滞后， 赋能的威胁检测（利用机器学习、深度学习识别未知威胁、高级威胁和异常行 为）、智能化的事件分析研判（自动化关联分析、根因分析、攻击路径还原、风险评估）、威胁情报的深度分 析与应用（利用 NLP、知识图谱等分析情报、提取 IOC、构建攻击者画像）、AI Agent 的智能决策（基于分析 结果和知识库生成响应建议或预案）以及可解释 AI（提供模型决策依据）。该层是 ISOC 实现智能化的关键， 需要强大的 AI 模型库和知识库支撑。 从 SIEM/SOC 获取更详细的日志信息，从 EDR 获取进程、文 件等信息，从 NDR/NTA 获取相关的网络流量数据，从 UEBA 获取相关用户的行为信息，从情报库查询威胁情 报，获取 IOC 信誉、攻击者信息等，从资产数据库：获取相关资产的信息（例如，服务器的用途、操作系统、 应用等），从漏洞数据库获取与相关的漏洞信息。  AI 智能体告警分析 调用和编排各种 AI 模型，并整合分析结果。如

实景指挥 通信组 宣传组 \ 创新了台风、火灾、危化品、安全生产等专项风险动态管理模式，提升了全域快速动员和动态 跟 踪反馈能力。 创新亮点三：创新基于任务树的专项防御模式 市指挥中心（ IOC ） 风险上报 风险不上报 直接处置 街道 下发指示 ( 短信 H5) 专项防范场景：防台风案列 下辖单位（例：龙口港） 下发指示 风险上报 ( 短信 H5)