ashitoshjoshi45/Autonomous-AI-SOC-Analysis

GitHub: ashitoshjoshi45/Autonomous-AI-SOC-Analysis

一个结合生成式 AI 的自动化安全运营实验室，通过 Python 生成合成日志并调用 Gemini 进行智能威胁分析，同时集成蜜罐功能实现主动防御。

Stars: 0 | Forks: 0

# Autonomous-AI-SOC-Analyst 一个使用 Python 生成合成服务器日志，并利用 Google Gemini AI 执行自主威胁分析的自动化安全运营实验室。 ## 项目概述该项目模拟了一个现代化的安全运营中心 (SOC) 环境。它使用 Python 生成真实的服务器身份验证日志，并利用 **Google Gemini API** 分析这些日志，以查找潜在的安全威胁，例如暴力破解攻击。该项目旨在弥合理论知识 (CompTIA CySA+) 与实际安全自动化之间的差距。 ## 功能特性 * **日志生成器：** 一个自定义 Python 脚本，用于创建包含来自各种 IP 地址的授权登录和失败尝试的 `server_logs.txt`。 * **AI 威胁检测：** 利用生成式 AI 解析日志，识别异常，并以通俗易懂的语言解释安全风险。 * **自动化工作流：** 展示 AI 如何协助 SOC 分析师减少手动日志审查所花费的时间。 ## 技术栈 * **语言：** Python * **API：** Google Gemini (Generative AI) * **环境：** Linux/Terminal, VS Code * **版本控制：** Git & GitHub ## 工作原理 1. **生成日志：** 运行 `log_generator.py` 开始创建模拟的 SSH 流量。 2. **分析：** AI SOC 分析师脚本读取日志，并将可疑模式发送给 Gemini 以获取“专家级”安全意见。 3. **警报：** 系统输出已识别的威胁和建议的补救步骤。 ## 未来增强计划 * 集成真实世界的 SIEM (Splunk/ELK) 日志摄取。 * 添加自动化事件响应（例如，自动拦截恶意 IP）。 * 扩展威胁检测以包含 SQL 注入和 XSS 模式。 Aegis Deceptive Intelligence ### AI 驱动的主动防御系统 & 蜜罐 ![Project Status](https://img.shields.io/badge/Status-In%20Development-yellow) ![Python](https://img.shields.io/badge/Language-Python%203.10%2B-blue) ![Security](https://img.shields.io/badge/Focus-Active%20Defense-red) ## 🛡️ 概述 **Aegis Deceptive Intelligence** 是一个旨在实时检测、分析和映射网络威胁的下一代“主动防御”系统。与传统的被动蜜罐不同，Aegis 使用 **生成式 AI (Gemini API)** 来分析攻击者的载荷并对其意图进行分类（例如，*僵尸网络招募*、*凭证收集*、*侦察*）。该系统部署了“幽灵传感器”——模拟易受攻击端口 (SSH, HTTP, Telnet) 的低交互服务——以吸引和研究对手，而无需暴露实际的网络基础设施。 ## 🚀 关键特性 * **智能幽灵传感器：** 模拟易受攻击服务以捕获原始攻击数据的多端口监听器。 * **AI 威胁分类：** 使用大型语言模型对每个捕获的命令进行详细的意图分析。 * **实时威胁地图：** 利用地理定位 API 实时可视化攻击者的来源。 * **加固架构：** 严格的 Linux 权限控制，以确保日志完整性和传感器安全。 ## 🔒 安全与加固安全始于文件系统层面。该项目遵循 **最小权限原则**： * **日志完整性：** 对 `/logs` 目录的写入权限仅限于服务账户。 * **配置保护：** API 密钥和环境变量被严格锁定（仅 root 可读）。 * **审计跟踪：** 定期使用 `ls -la` 审计文件结构，以检测未经授权的修改。 ## 🛠️ 安装 1. **克隆仓库：** git clone [https://github.com/yourusername/aegis-deceptive-intelligence.git](https://github.com/yourusername/aegis-deceptive-intelligence.git) cd aegis-deceptive-intelligence 2. **设置环境：** pip install -r requirements.txt 3. **运行幽灵传感器：** sudo python3 sensor.py ## 📊 路线图 - [x] 基础 TCP 监听器（幽灵传感器） - [x] Linux 文件系统加固 - [x] 集成 Gemini API 进行意图分析 - [x] 仪表盘开发 (Streamlit) - [ ] Docker 容器化 *由 ASHITOSH S JOSHI 创建，作为网络安全与 AI 作品集的一部分。*

标签：CySA+, DLL 劫持, Kubernetes, PE 加载器, Python, SOC自动化, SSH安全, 人工智能, 免杀技术, 大语言模型, 威胁分析, 安全运营中心, 底层分析, 异常检测, 攻击模拟, 无后门, 日志生成, 暴力破解检测, 生成式AI, 用户模式Hook绕过, 索引, 结构化查询, 网络安全, 网络安全研究, 网络映射, 自动化侦查工具, 自动化安全, 蜜罐技术, 逆向工具, 隐私保护, 驱动签名利用