Ismail-2001/Autonomous-Secure-AI-Operations-Center

GitHub: Ismail-2001/Autonomous-Secure-AI-Operations-Center

A-SOC 是一个基于多 LLM 智能体协同的云原生安全运营平台,旨在自主完成威胁检测、调查与修复,同时通过人类在环机制保障高风险操作的安全治理。

Stars: 6 | Forks: 0

# 🛡️ 自主安全 AI 运营中心 ### **A-SOC** — 下一代 Agentic 网络安全平台
[![Python](https://img.shields.io/badge/Python-3.10+-3776AB?style=for-the-badge&logo=python&logoColor=white)](https://python.org) [![FastAPI](https://img.shields.io/badge/FastAPI-0.110-009688?style=for-the-badge&logo=fastapi&logoColor=white)](https://fastapi.tiangolo.com) [![LangGraph](https://img.shields.io/badge/LangGraph-Agent%20Orchestration-6B3FA0?style=for-the-badge&logo=langchain&logoColor=white)](https://www.langchain.com/langgraph) [![Next.js](https://img.shields.io/badge/Next.js-15.x-000000?style=for-the-badge&logo=next.js&logoColor=white)](https://nextjs.org) [![React](https://img.shields.io/badge/React-19_RC-61DAFB?style=for-the-badge&logo=react&logoColor=white)](https://react.dev) [![Tailwind](https://img.shields.io/badge/Tailwind_CSS-v4_alpha-06B6D4?style=for-the-badge&logo=tailwindcss&logoColor=white)](https://tailwindcss.com) [![Docker](https://img.shields.io/badge/Docker-Compose-2496ED?style=for-the-badge&logo=docker&logoColor=white)](https://docker.com) [![License: MIT](https://img.shields.io/badge/License-MIT-yellow?style=for-the-badge)](./LICENSE) [![Tests](https://img.shields.io/badge/tests-148%20passed-brightgreen?style=for-the-badge)]() [![Coverage](https://img.shields.io/badge/coverage-84%25-green?style=for-the-badge)]() [![Warnings](https://img.shields.io/badge/warnings-0-brightgreen?style=for-the-badge)]() [![CI](https://static.pigsec.cn/wp-content/uploads/repos/cas/39/39faa54be350a1dab8afd3b2fb8c1c83e4d9cff84abfef2374d19a18053687c4.svg)](https://github.com/Ismail-2001/Autonomous-Secure-AI-Operations-Center/actions/workflows/ci.yml)
**A-SOC** 是一个云原生、AI 原生的安全运营平台,它使用由 LLM 驱动的专业化 agent 协同集群来自主检测、调查和修复威胁——并内置了人类治理机制。 [**🚀 快速开始**](#️-installation--setup) · [**🏗️ 架构**](#️-architecture) · [**🎮 演示**](#-usage) · [**🚢 部署**](#-deployment)
## 📌 痛点问题 传统的安全运营中心 (SOC) **正淹没在海量警报中**。分析师面临着: - 每天**数以千计的低保真警报**,导致警报疲劳 - **静态的、基于规则的 SIEM**,无法识别新型的零日攻击模式 - 由于手动调查工作流导致**平均响应时间 (MTTR) 缓慢** - **合规文档**繁琐、不一致且容易出错 **A-SOC 通过协同的 AI agent 集群来解决所有这些问题。** ## 🚀 核心特性 | 特性 | 描述 | |---|---| | **🕵️ 多 Agent 架构** | 专业化 agent(遥测、检测、取证、响应、合规)作为协同团队运行 | | **🧠 LLM 驱动的分析** | LLM 为警报提供上下文,与静态规则相比,显著降低了误报率 | | **⚡ 实时威胁流** | 基于 WebSocket 的实时信息流,在事件发生时将其推送到仪表板 | | **🛑 人类在环治理** | 高风险操作(IAM 撤销、防火墙更改)需要明确的人类授权 | | **🕸️ 爆炸半径可视化** | 交互式攻击图谱,显示哪些资源受到影响以及威胁的潜在蔓延范围 | | **📜 不可篡改的审计追踪** | 每一项操作和 LLM 决策都经过加密记录,以满足 SOC2/ISO 27001 合规要求 | | **👮 策略即代码** | Open Policy Agent (OPA) 对每项提议的修复操作强制执行企业策略 | | **🎨 高级仪表板** | 采用 Next.js 15 + React 19 RC 构建的电影级玻璃拟态 UI,提供最先进的操作员体验 | ## 🛠️ 技术栈
层级 技术 版本 理由
后端 FastAPI 0.115+ 高性能异步 REST API 和 WebSocket 服务器
LangGraph 0.2+ 具备检查点机制的 Agent 状态机和多 Agent 编排
LangChain 0.3+ LLM 抽象层(OpenAI / Anthropic / DeepSeek / Ollama)
Open Policy Agent (OPA) latest 使用 Rego 进行治理的策略即代码引擎
PostgreSQL + Redis 15 / 7 持久化状态,LangGraph 检查点机制,实时缓存
Docker Compose 3.8 包含健康检查和资源限制的 7 服务容器化部署
前端 Next.js 15.x (Canary) 带有 App Router 的 React 框架;使用 canary 版本以获得 RSC 改进 原因
React 19 RC 候选发布版;为了尽早使用 use() hook 和 form Actions 原因
Tailwind CSS v4 alpha 有意识地采用 alpha 版本以获取 Oxide 引擎(基于 Rust)的性能提升 原因
D3.js 7.x 带有动画威胁传播的交互式爆炸半径力导向图
WebSockets Native 具有指数退避机制的生产级重连状态机
## 🏗️ 架构 A-SOC 运行在 **Hub-and-Spoke 多 Agent 模型**上,由中央 Supervisor Agent 进行编排,它对每项决策强制执行企业策略,并将任务路由给相应的专家。 ``` ┌─────────────────────────────────────────────────────────────────┐ │ A-SOC Agent Platform │ │ │ │ ┌─────────────┐ ┌────────────────────────────────────────┐ │ │ │ Log Sources │ │ Agent Fleet │ │ │ │─────────────│ │ │ │ │ │ CloudTrail │───▶│ ① TELEMETRY AGENT │ │ │ │ VPC Flow │ │ Ingests & normalizes raw log data │ │ │ │ K8s Audit │ │ │ │ │ │ └─────────────┘ │ ▼ │ │ │ │ ② DETECTION AGENT │ │ │ │ Analyzes anomalies │ │ │ │ Assigns Risk Score (0–100) │ │ │ │ │ │ │ │ │ ▼ │ │ │ │ ③ SUPERVISOR AGENT ◀── OPA Policy │ │ │ │ ┌────────────────────┐ │ │ │ │ │ Risk < 70? │ │ │ │ │ │ YES → Auto-remediate│ │ │ │ │ │ NO → Human Approval│ │ │ │ │ └────────────────────┘ │ │ │ │ │ │ │ │ │ │ ▼ ▼ │ │ │ │ ④ FORENSICS Human Dashboard │ │ │ │ AGENT (Blast Radius + │ │ │ │ (Attack Authorize Modal) │ │ │ │ Graph) │ │ │ │ │ │ │ │ │ │ │ └────┬─────┘ │ │ │ │ ▼ │ │ │ │ ⑤ RESPONSE AGENT │ │ │ │ Executes remediation │ │ │ │ (Block IP, Revoke Keys, etc.) │ │ │ │ │ │ │ │ │ ▼ │ │ │ │ ⑥ COMPLIANCE AGENT │ │ │ │ Maps incident → SOC2 / ISO 27001 │ │ │ │ Logs cryptographic evidence │ │ │ └────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ ``` ### Agent 职责 | Agent | 角色 | |---|---| | **① Telemetry Agent** | 从 CloudTrail、VPC Flow Logs 和 Kubernetes Audit logs 摄取并标准化日志,转换为统一的事件 schema。 | | **② Detection Agent** | 应用 LLM 驱动的推理来识别异常、关联事件,并分配连续的 **Risk Score (0–100)**。 | | **③ Supervisor Agent** | 编排者。根据 OPA 策略评估每次检测并进行路由:`score < 70` → 自动修复,`score ≥ 70` → 上报给人类。 | | **④ Forensics Agent** | 构建 **Blast Radius**——一个关于哪些资源已被触碰、攻破或面临风险的实时图谱。 | | **⑤ Response Agent** | 执行已批准的修复 playbook。操作包括 IP 封锁、凭证撤销和隔离。 | | **⑥ Compliance Agent** | 自动将每个事件和操作映射到合规框架(SOC2、ISO 27001),并写入不可篡改的、已签名的审计记录。 | ## 🔐 安全设计原则 A-SOC 的设计采用了应用于平台本身的**纵深防御**理念: - **最小权限原则**:每个 agent 仅拥有其所需的工具访问权限。Compliance Agent 无法执行修复操作。 - **不可篡改的审计日志**:所有 LLM 推理链和工具调用都带有加密签名进行存储,使其具备防篡改能力。 - **高风险操作的人类在环机制**:没有操作员的明确授权,任何 IAM 密钥撤销、防火墙规则更改或实例终止操作都无法执行。该系统旨在让人类成为最后一道防线,而不是瓶颈。 - **通过 OPA 实现策略即代码**:治理并非在 Python 中硬编码。它存在于版本化、可审查的 **Rego 策略文件**中,使其可审计且易于更新。 - **Agent 间的零信任通信**:Agent 间的通信由 LangGraph 状态机进行中介,Agent 之间不存在直接的侧信道通信。 ## ⚙️ 安装与设置 ### 前置条件 请确保您的机器上已安装以下内容: - **Python** `3.10+` - **Node.js** `18+` - **Docker & Docker Compose** *(可选,但推荐)* - **OpenAI** 或 **Anthropic** 的 API key ### 选项 A:Docker Compose(推荐) 在本地运行完整 A-SOC 技术栈的最快方式。 ``` # 1. Clone repository git clone https://github.com/Ismail-2001/Autonomous-Secure-AI-Operations-Center.git cd Autonomous-Secure-AI-Operations-Center/a-soc # 2. 配置环境 cp .env.example .env # 打开 .env 并添加你的 OPENAI_API_KEY (或 ANTHROPIC_API_KEY) # 3. 启动整个 stack (API + Dashboard + PostgreSQL + Redis) docker-compose up -d # 4. 验证所有服务运行正常 docker-compose ps ``` ✅ 仪表板已上线,地址为 **`http://localhost:3000`** ✅ API 已上线,地址为 **`http://localhost:9001/docs`** ### 选项 B:手动设置 #### 第 1 步 — 克隆代码库 ``` git clone https://github.com/Ismail-2001/Autonomous-Secure-AI-Operations-Center.git cd Autonomous-Secure-AI-Operations-Center/a-soc ``` #### 第 2 步 — 后端设置 ``` # 创建并激活 virtual environment python -m venv venv source venv/bin/activate # macOS/Linux # venv\Scripts\activate # Windows # 安装 backend dependencies pip install -r requirements.txt # 配置环境变量 cp .env.example .env # 编辑 .env — 至少设置 OPENAI_API_KEY # 在端口 9001 上启动 API server python -m uvicorn api:app --host 0.0.0.0 --port 9001 --reload ``` #### 第 3 步 — 前端设置 ``` # 从项目根目录导航到 dashboard cd dashboard # 安装 frontend dependencies npm install # 启动开发服务器 (端口 3000) npm run dev ``` #### 第 4 步 — 配置环境变量 将 `.env.example` 复制为 `.env` 并填写以下内容: ``` # --- LLM Provider (选择其一) --- OPENAI_API_KEY=sk-... # ANTHROPIC_API_KEY=sk-ant-... # --- Database --- DATABASE_URL=postgresql://user:password@localhost:5432/asoc REDIS_URL=redis://localhost:6379 # --- Security --- SECRET_KEY=your-super-secret-key-here # --- OPA Policy Engine --- OPA_URL=http://localhost:8181 ``` ## 🎮 使用方法 一旦后端和前端都在运行: 1. **打开仪表板** → 导航至 `http://localhost:3000` 2. **启动模拟** → 点击右上角的 **"Start Simulation"** 按钮 3. **观察 Agent 集群** → 在每个 agent 处理传入的威胁遥测数据时,观察实时日志流 4. **审查检测结果** → 查看分配的 risk score,并观察 Blast Radius 图谱动态构建的过程 5. **授权高风险操作** → 当出现 **"High Risk Action Proposed"** 模态框时,审查完整的上下文和 Blast Radius,然后点击 **"Authorize"** 以执行修复 ## 🚢 部署 ### 生产环境部署 对于生产环境,请参阅详细的 [**DEPLOYMENT.md**](./DEPLOYMENT.md) 指南,其中涵盖: - **AWS ECS (Fargate)**:可扩展的无服务器容器部署 - **Kubernetes**:[`k8s/`](./k8s/) 中的完整 Helm chart 清单 - **Vercel**:仅前端的无服务器部署 - **监控**:Prometheus + Grafana 技术栈集成 - **安全加固**:TLS、密钥管理、WAF 配置 ### 云平台摘要 | 平台 | 后端 | 前端 | 指南 | |---|---|---|---| | **AWS ECS Fargate** | ✅ 支持 | ✅ S3 + CloudFront | [DEPLOYMENT.md#aws](./DEPLOYMENT.md#aws-ecs-deployment) | | **Kubernetes** | ✅ 任意集群 | ✅ Ingress | [k8s/](./k8s/) | | **Docker Compose** | ✅ 自托管 | ✅ 已包含 | `docker-compose up -d` | | **Vercel** | ❌ | ✅ 无服务器 | [DEPLOYMENT.md#vercel](./DEPLOYMENT.md#vercel-dashboard-only) | ## 🗺️ 路线图 **v1.0 — 核心平台(已完成 ✅)** - [x] 通过 LangGraph 进行多 Agent 编排 - [x] 实时 WebSocket 事件流 - [x] 人类在环审批工作流 - [x] 交互式 Blast Radius 可视化 - [x] OPA 策略即代码集成 - [x] 不可篡改的、加密签名的审计追踪 **v1.5 — 云集成(已完成 ✅)** - [x] 通过 **Boto3** 进行实时 AWS 账户集成 (CloudTrail、GuardDuty、SecurityHub) - [x] Slack / Microsoft Teams 通知集成 - [x] 为已批准的事件自动创建 JIRA 工单 **v2.0 — 高级智能(已完成 ✅)** - [x] 为气隙部署提供经过微调的本地 LLM 支持 (**Llama 3**) - [x] 带有自然语言查询的高级威胁狩猎接口 - [x] MITRE ATT&CK 框架自动战术/技术映射 - [x] 多云支持 (GCP、Azure) - [x] 向量数据库 用于爆炸半径图谱相似性搜索 **v2.5 — 企业级加固(进行中 🔨)** - [ ] 生产环境 docker-compose 部署验证 - [ ] 端到端集成测试套件 - [ ] 性能基准测试(延迟、吞吐量、内存) ## 📄 许可证 基于 **MIT License** 分发。详情请参阅 [`LICENSE`](./LICENSE)。
**出于对安全、AI 和整洁架构的痴迷而构建。** *如果 A-SOC 帮助了您或启发了您的工作,请考虑为该代码库加星 ⭐。* [![GitHub Stars](https://img.shields.io/github/stars/Ismail-2001/Autonomous-Secure-AI-Operations-Center?style=social)](https://github.com/Ismail-2001/Autonomous-SecureI-Operations-Center)
标签:AI代理, AMSI绕过, DLL 劫持, Python, 大语言模型, 威胁检测, 安全运营中心, 搜索引擎查询, 无后门, 测试用例, 版权保护, 网络映射, 自动化响应, 逆向工具