thearjunl/Kaali

# KAALI (基于知识的日志调查 AI 助手) KAALI – AI 驱动的 SOC 告警关联与调查助手。KAALI 分析安全日志，检测可疑活动，关联告警，集成威胁情报，并利用 AI 解释网络攻击并推荐响应措施。该项目使用 Python、FastAPI、Elasticsearch 和 AI 模型构建，旨在模拟真实的 SOC 工作流程。 ## 🏗️ 架构概览 KAALI 系统分为多个模块化组件，用于处理安全事件的整个生命周期。 ### 1. 日志采集引擎 (`backend/log_ingestion`) 实时解析原始文本日志（如 Linux `auth.log` 或 Suricata IDS 日志），通过 regex 提取关键字段，并将其作为结构化 JSON 文档转发到 Elasticsearch。 ### 2. 告警检测引擎 (`backend/api` - *待开发*) 定期查询结构化日志以发现异常或已知的恶意模式（例如，来自单一 IP 的重复登录失败，这表明是暴力破解攻击），并在本地 SQLite 数据库中创建 **Alerts**。 ### 3. 告警关联引擎 (`backend/correlation_engine`) 对 Alerts 表进行操作，以检测多阶段攻击场景。例如，将一系列失败登录随后的成功登录关联为一个单一的 **账户失陷事件**。 ### 4. 威胁情报集成 (`backend/threat_intel`) 通过查询 **AbuseIPDB** 和 **VirusTotal** 等外部信誉 API，自动调查事件中发现的 IP 和指标，从而为事件丰富威胁上下文。 ### 5. AI 事件解释 (`backend/ai_analysis`) 一旦事件通过威胁情报得到丰富，整个上下文将被发送到 **Google Gemini API**。Gemulator 充当自主的高级 SOC 分析师，生成执行摘要，映射到 MITRE ATT&CK 框架，并提供可操作的补救步骤。 ### 6. SOC 仪表板 (`frontend/dashboard`) 一个 React (Tailwind CSS) 前端，供人类分析师审查统计数据、调查事件、阅读 AI 摘要，并通过直观的用户界面监控指标。 ### 7. 自动化与响应 (`scripts` 和 backend) 针对关键事件采取防御措施，例如修改 `iptables` 以阻止攻击者 IP，以及向管理员发送电子邮件通知。 ## 🚀 快速开始 1. 安装依赖项： ``` pip install -r requirements.txt ``` 2. 将 `.env.example` 复制为 `.env` 并填入您的 API 密钥： ``` cp .env.example .env ```

标签：AbuseIPDB, AI安全, Ask搜索, AV绕过, Chat Copilot, Cloudflare, Elasticsearch, FastAPI, Linux日志, MITRE ATT&CK, PE 加载器, Python, React, Ruby, SOC助手, Suricata, Syscalls, VirusTotal, 免杀技术, 告警关联, 大模型安全, 威胁情报, 安全仪表盘, 安全运营, 开发者工具, 异常检测, 扫描框架, 无后门, 暴力破解检测, 现代安全运营, 知识库, 端点安全, 网络安全, 自动化调查, 补丁管理, 逆向工具, 隐私保护