内网资产梳理:OpenClaw调度SecGPT-14B自动化发现未知设备
内网资产梳理:OpenClaw调度SecGPT-14B自动化发现未知设备
1. 背景与需求痛点
作为一个小型办公网络的管理员,我长期被内网资产管理问题困扰。随着设备数量增加和人员流动,传统表格维护方式已经无法满足需求。经常遇到以下典型问题:
- 幽灵设备:某天突然发现内网出现陌生IP,无法确认是访客设备还是潜在威胁
- 资产信息滞后:员工更换电脑后,旧设备MAC地址仍残留在表格中
- 分类混乱:IoT设备、办公终端、服务器混杂在同一网段,难以快速定位问题
手动维护不仅耗时耗力,更重要的是无法实时感知网络变化。直到尝试用OpenClaw+SecGPT-14B的组合方案,才找到兼顾效率和准确性的解决方案。
2. 技术方案设计
2.1 核心组件分工
这套自动化系统的核心在于两个组件的协同:
- OpenClaw:作为执行引擎,负责调度扫描工具、解析原始数据、生成可视化报告
- SecGPT-14B:作为分析大脑,对扫描结果进行智能分类、风险研判和拓扑推理
这种分工充分发挥了各自优势——OpenClaw擅长精准执行标准化操作,而大模型擅长处理非结构化数据的理解和推理。
2.2 典型工作流程
当系统运行时,会触发以下自动化链条:
- 扫描阶段:通过Nmap执行预设的扫描策略(避开敏感端口)
- 数据预处理:将XML格式的扫描结果转换为结构化JSON
- 模型分析:将数据喂给SecGPT-14B进行深度分析
- 结果呈现:生成可视化拓扑图并标记风险点
整个过程完全自动化,从触发扫描到生成报告只需3-5分钟(视网络规模而定)。
3. 具体实现步骤
3.1 环境准备
首先需要部署基础组件:
# 安装OpenClaw核心组件 curl -fsSL https://openclaw.ai/install.sh | bash openclaw onboard --install-daemon # 部署SecGPT-14B模型服务 docker run -d -p 5000:5000 secgpt-14b:v1.0在OpenClaw配置文件中添加模型端点:
{ "models": { "providers": { "secgpt": { "baseUrl": "http://localhost:5000/v1", "api": "openai-completions", "models": [ { "id": "secgpt-14b", "name": "Security Analyst" } ] } } } }3.2 扫描任务配置
创建nmap_scan.js脚本定义扫描逻辑:
const { execSync } = require('child_process') const fs = require('fs') // 定义扫描范围 const subnet = '192.168.1.0/24' const outputFile = '/tmp/nmap_scan.xml' // 执行扫描(避开敏感端口) execSync(`nmap -T4 -Pn -sS --top-ports 1000 -oX ${outputFile} ${subnet}`) // 读取并返回结果 const xmlData = fs.readFileSync(outputFile, 'utf8') return { scanData: xmlData }3.3 分析任务设计
对应的分析任务analyze_assets.js:
async function analyze(context) { const { secgpt } = context.models const { scanData } = context.input // 请求模型分析 const res = await secgpt.chat.completions.create({ model: "secgpt-14b", messages: [ { role: "system", content: "你是一名网络安全分析师,请根据Nmap扫描结果:\n1. 识别设备类型\n2. 标注潜在风险\n3. 生成拓扑建议" }, { role: "user", content: scanData } ] }) return { analysis: res.choices[0].message.content } }4. 实际效果验证
4.1 资产发现能力
在测试环境中部署了30台设备(包含隐藏的树莓派和模拟攻击机),系统成功:
- 识别出全部活跃IP(100%检出率)
- 正确分类了28台设备类型(93%准确率)
- 标记出2台可疑设备(其中1台确认为未登记测试机)
4.2 拓扑可视化示例
模型生成的Markdown格式拓扑图:
网络拓扑结构: - [核心交换机] ├── [办公区] │ ├── Windows终端 (10台) │ └── 打印机 (2台) ├── [服务器区] │ ├── NAS存储 (高危: 暴露SMB服务) │ └── 测试服务器 (未登记) └── [IoT区] ├── 智能电视 └── 未知设备 (MAC: AA:BB:CC:11:22:33)这种结构化输出可以直接导入运维文档,极大简化了日常记录工作。
5. 关键优化经验
5.1 扫描策略调优
初期直接使用默认Nmap参数导致:
- 漏扫部分IoT设备(响应慢)
- 触发IDS告警(扫描频率过高)
最终采用的解决方案:
nmap -T4 -Pn -sS --max-rtt-timeout 500ms --top-ports 1000 --scan-delay 500ms5.2 模型提示词工程
原始提示词得到的分析结果过于笼统。通过迭代优化,最终采用的系统提示词包含:
- 明确的输出格式要求
- 预定义的设备类型分类表
- 风险评分标准(CVSS基准)
这使模型输出更加结构化,便于后续自动化处理。
6. 适用场景与局限性
6.1 最佳使用场景
- 50台设备以下的小型办公网络
- 需要快速建立资产清单的新接管网络
- 定期合规性检查的自动化辅助
6.2 当前限制
- 无法识别经过MAC地址伪装设备
- 对复杂网络环境(如多层VLAN)支持有限
- 模型分析耗时随设备数量线性增长
建议搭配人工复核使用,特别是在关键基础设施环境中。
7. 个人实践建议
经过三个月的实际使用,总结出以下实用技巧:
- 扫描频率:办公网络建议每周一次全扫描+每日快速存活检测
- 结果对比:使用
diff工具对比前后扫描结果,快速发现变化 - 白名单机制:对已验证设备建立指纹库,减少重复分析开销
- 沙盒测试:对新发现的可疑设备先在隔离环境进一步检测
这套方案最大的价值在于将我从重复性文档工作中解放出来,现在可以更专注于真正的安全问题排查。对于小型网络维护者来说,这种轻量级自动化方案在投入产出比上具有明显优势。
获取更多AI镜像
想探索更多AI镜像和应用场景?访问 CSDN星图镜像广场,提供丰富的预置镜像,覆盖大模型推理、图像生成、视频生成、模型微调等多个领域,支持一键部署。