koshambiB/ai-soar-automation

# 基于AI的网络安全事件响应SOAR自动化 - 当前正在构建中 这是一个 **安全编排、自动化与响应 (SOAR)** 平台的学术原型，它利用 **规则引导的AI**、**可解释的决策**以及**事件驱动处理**来实现网络安全事件响应的自动化，同时保留分析师的控制权。 ## 项目目标 - 使用AI辅助逻辑自动化网络事件检测与响应 - 通过智能评分和优先级排序来减少告警疲劳 - 提供适合分析师审查的**可解释决策** - 使用行业相关工具演示现代SOAR架构 - 保持学术上的可行性与可解释性 ## 高层架构 **事件驱动的 SOAR 流水线：** 告警源 → Kafka → 摄取 → 分析 → 可解释性 → 编排 ↓ PostgreSQL ↓ React UI 核心特性： - 通过Kafka实现解耦的摄取 - 基于规则 + ML辅助的检测 - 人在回路中的响应执行 - 完整的可审计性与可解释性 ## 核心功能 - **基于Kafka的告警摄取** - **Schema验证的 JSON 告警** - **带有可配置权重的基于规则的风险评分** - **机器学习分类 (Scikit-learn)** - **使用 SHAP 的可解释AI** - **自动化 SOAR 剧本 (YAML + Python)** - **基于 Redis 的缓存与速率跟踪** - **使用 JSONB 的 PostgreSQL 持久化** - **用于可视化与审批的分析师仪表板** ## 技术栈 ### 后端 - Python - FastAPI - Apache Kafka - PostgreSQL - Redis - Scikit-learn - SHAP - Pandas / Polars (可配置) ### 前端 - React ### 配置与自动化 - 基于 YAML 的规则和剧本 - 基于 JSON 的告警模式 ### 模型管理 - Pickle / Joblib - 带时间戳的模型版本 - 通过 JSON 进行元数据跟踪

标签：AI安全, AMSI绕过, AV绕过, Chat Copilot, DLL 劫持, FastAPI, JSONB, JSON校验, Kafka, LLM, Playbook, Polars, PostgreSQL, Python, React, Redis, Scikit-learn, SHAP, SOAR, SOC自动化, SonarQube插件, Syscalls, Unmanaged PE, XAI, 事件驱动架构, 人在回路, 仪表盘, 剧本编排, 可解释人工智能, 告警优先级, 告警分诊, 大语言模型, 威胁检测, 学术原型, 安全运营中心, 搜索引擎查询, 无后门, 机器学习分类, 测试用例, 缓存, 缓解告警疲劳, 网络安全, 网络安全实验室, 网络映射, 规则引导AI, 软件成分分析, 逆向工具, 速率追踪, 隐私保护, 风险评分