探微 (Tanwei) 是一个面向 console + edge-agent + central-agent 协同架构的仿真与验证系统。第一阶段重点是统一命名、契约和 harness,让边缘检测闭环与中心侧综合分析在同一控制台下协作,并持续守住“核心网上行带宽占用降低 70% 以上”的硬性 KPI。
| 特性 | 说明 |
|---|---|
| 端云协同 | console 同时驱动 edge-agent 检测与 central-agent 分析 |
| 边缘闭环 | edge-agent -> svm-filter-service / central-edge-model-service 五阶段检测链路 |
| 中心研判 | central-agent 支持单 Edge 分析与手动全网综合研判 |
| 带宽压降 > 70% | 端云之间仅传结构化情报,不上传原始 pcap/payload |
| 服务 | 技术栈 | 默认端口 | 说明 |
|---|---|---|---|
console |
React 18 + TypeScript + Vite + FastAPI | 3000 | 统一控制台与管理员入口 |
edge-agent |
FastAPI + scapy + numpy | 8002 | 边缘侧检测编排与情报生产 |
central-agent |
FastAPI + 外部 LLM API | 8003 | 中心侧归档、单 Edge 分析、全网研判 |
svm-filter-service |
FastAPI + scikit-learn | 8001 | 边缘侧 SVM 在线过滤 |
central-edge-model-service |
FastAPI + vLLM | 8090 | 共享 edge 分类模型服务 |
- Docker >= 20.10
- Docker Compose >= 2.0
- 内存 >= 4GB
将 Qwen3.5-0.8B HuggingFace 权重放到指定目录:
model/qwen3.5-0.8b/
# 1. 进入项目目录
cd /root/anxun
# 2. 启动所有服务
docker-compose up -d
# 3. 访问 Web 控制台
# 浏览器打开: http://localhost:3000正式模式命令保持不变:
docker compose up -d --build日常开发使用热更新模式:
docker compose -f docker-compose.yml -f docker-compose.dev.yml up也可以直接用脚本:
./scripts/dev-up.sh
./scripts/dev-down.sh如果想传额外参数,也可以继续透传给 docker compose:
./scripts/dev-up.sh up -d
./scripts/dev-up.sh config --services
./scripts/dev-down.sh
./scripts/dev-down.sh -v开发模式下:
console、edge-agent、central-agent使用源码挂载和uvicorn --reload- 新增前端热更新服务
console-frontend-dev - 浏览器访问
http://localhost:5173 /api请求会自动代理到开发模式下的console后端
# 检查服务状态
docker-compose ps
# 健康检查
curl http://localhost:3000/health
curl http://localhost:8002/health
curl http://localhost:8003/health
curl http://localhost:8001/health
curl http://localhost:8090/health如需验证多 Edge 协同能力,可在准备好 EDGE_CONTEXT_URL_MAP 后执行:
export EDGE_CONTEXT_URL_MAP='{"edge1":"http://edge-agent:8002","edge2":"http://edge-agent-edge2:8002","edge3":"http://edge-agent-edge3:8002"}'
docker compose --profile multi-edge up -d额外启用的服务包括 edge-agent-edge2 与 edge-agent-edge3。
console -> edge-agent -> svm-filter-service / central-edge-model-service
console -> central-agent
edge-agent -> central-agent (仅上报结构化情报,不上传原始证据)
central-agent -> edge-agent (按需回拉 context + 下发 investigation/observation actions)
| 阶段 | 名称 | 说明 |
|---|---|---|
| 1 | 流重组 | 基于五元组的双向流重组 |
| 2 | 双重截断 | 时间窗口 <= 60s,包数量 <= 10 |
| 3 | SVM 初筛 | 微秒级二分类,过滤正常流量 |
| 4 | 跨模态分词 | 内置轻量分词与提示词拼装,Token 序列 <= 690 |
| 5 | LLM 推理 | Qwen3.5-0.8B 定性标签 |
console ──► edge-agent ──► svm-filter-service
│ │
│ └──────► central-edge-model-service
│
└──────► central-agent
edge-agent ─────► central-agent
central-agent ──► edge-agent
console不能绕过edge-agent直接调用svm-filter-service/central-edge-model-serviceedge-agent -> central-agent只允许结构化情报,不允许原始 pcap/payload/完整十六进制包edge-agent检测完成后自动上传结构化情报到central-agent- 上报失败不阻断边缘检测闭环完成,状态写入
meta.central_reporting central-agent可按需回拉 edge 侧 context 并下发increase_observation/track_entity动作
# 上传 Pcap 启动检测
POST /api/detect
Response: { "task_id": "uuid", "status": "success" }
# 查询任务状态
GET /api/status/{task_id}
Response: { "stage": "llm_inference", "progress": 75 }
# 获取检测结果
GET /api/result/{task_id}
Response: { "threats": [...], "metrics": {...} }详细 API 规范请参阅 api_specs.md。
lead-agent -> specialist -> evaluator-agent -> doc-gardener
| Agent | 主要职责 |
|---|---|
edge-agent-engineer |
edge-agent/ 编排、边缘情报生成、端云上报契约 |
central-agent-engineer |
central-agent/ 接收归档、单 Edge 分析、全网研判触发 |
console-developer |
console/ 管理员流、展示与触发交互 |
docker-expert |
容器编排与部署边界(涉及 central 外部 LLM 依赖时必需) |
完整 roster 与统一范式见 .claude/agents/README.md。
| 文档 | 说明 |
|---|---|
| CLAUDE.md | 项目全局指引与 AI Agent 路由 |
| docs/design-docs/architecture.md | Console-Edge-Central 架构与边界规范 |
| docs/design-docs/core-beliefs.md | 核心信仰与物理约束红线 |
| docs/design-docs/traffic-tokenization.md | 流量分词规范 |
| docs/references/api_specs.md | API 接口规范 |
| docs/references/deployment.md | 部署指南 |
| docs/references/dataset-feature-engineering.md | 数据集与特征工程 |
| docs/exec-plans/active-plan.md | 当前执行计划 |
| docs/exec-plans/tech-debt.md | 技术债务追踪 |
| docs/questions/why-svm-for-traffic-filtering.md | SVM 流量初筛技术选型调研报告 |
/root/anxun/
├── docker-compose.yml # 容器编排配置
├── CLAUDE.md # 项目全局指引
├── README.md # 本文档
│
├── docs/ # 文档目录
│ ├── design-docs/ # 架构设计
│ ├── exec-plans/ # 执行计划与技术债
│ ├── questions/ # 技术选型调研(面向人类)
│ └── references/ # API 规范与部署指南
│
├── central-edge-model-service/ # 共享 edge 分类模型服务
├── svm-filter-service/ # 边缘侧 SVM 过滤服务
├── edge-agent/ # 边缘智能体编排与情报生产
├── central-agent/ # 中心智能体归档与分析
├── console/ # 统一控制台与管理员入口
├── train/ # 训练流水线
│ └── new_tun/ # Qwen-3.5 LoRA 微调 (Colab/ModelScope)
│
├── model/ # HuggingFace 权重与训练流水线
└── data/ # 数据与训练集
# 启动服务
docker-compose up -d
# 查看日志
docker-compose logs -f edge-agent
# 重启服务
docker-compose restart
# 停止服务
docker-compose down
# 重新构建
docker-compose up --build -d| 模块 | 状态 | 说明 |
|---|---|---|
central-edge-model-service |
完成 | 共享 edge 分类模型服务可用 |
svm-filter-service |
完成 | 32 维特征在线过滤可用 |
edge-agent |
完成 | 五阶段检测流、证据缓存与端云上报闭环可用 |
central-agent |
完成 | 归档、案件 review loop、纠错事实库、central-to-edge action dispatch 已可用 |
console |
完成 | 统一控制台,含案件、纠错与端云协作可视化 |
train/new_tun |
增补中 | Qwen-3.5 LoRA 微调流水线 (Colab/ModelScope) |
| 端云协作闭环 | 完成 | event package 上报 + case review + context retrieval + action dispatch 已全链路打通 |
Apache 2.0 License
探微架构团队 | 2026