rkc0809/AI-Privileged-Access-Detection

# AI 驱动的 SOC 威胁检测 Pipeline ## 概述 本项目模拟了一个**安全运营中心 (SOC) 检测 Pipeline**，用于分析登录活动、检测可疑行为、利用威胁情报丰富警报，并关联攻击信号以生成事件报告。 该系统展示了现代 SOC 平台如何自动化执行**威胁检测、调查和响应工作流程**。 ## 关键功能 * 登录活动模拟 * 行为异常检测 * 风险评分引擎 * 威胁情报富化 * 攻击模式检测 * 攻击活动检测 * 事件关联引擎 * 基于 AI 的事件分析 * 自动化 SOC Pipeline ## 项目架构 ``` Log Generator ↓ Anomaly Detection ↓ Alert Engine ↓ Investigation Agent ↓ Threat Intelligence ↓ Attack Pattern Detection ↓ Attack Campaign Detection ↓ Risk Scoring Engine ↓ Correlation Engine ↓ AI SOC Analyst ↓ Incident Report Generator ``` ## 检测到的攻击场景 ### 暴力破解攻击 针对单个账户的多次失败登录尝试。 ### 凭据填充 单个 IP 地址尝试访问多个用户账户。 ### 可疑异地登录 源自异常地理位置的登录尝试。 ### 恶意 IP 检测 威胁情报识别出攻击者基础设施。 ### 攻击活动检测 来自同一源 IP 的多次协同攻击。 ## 检测输出示例 ``` ATTACK CAMPAIGN DETECTED Source IP: 45.22.11.90 Users Targeted: 4 Failed Attempts: 18 Attack Type: Credential Stuffing Severity: CRITICAL ``` ## 使用的技术 * Python * Pandas * Machine Learning (Isolation Forest) * Threat Intelligence APIs * Security Detection Engineering Concepts ## 运行方法 导航到 scripts 目录并运行： ``` python soc_pipeline.py ``` 系统将自动执行整个 SOC 检测 Pipeline。 ## 学习成果 本项目展示了实用的网络安全技能，包括： * 安全日志分析 * 检测工程 * 威胁情报富化 * 攻击关联 * 安全自动化 * SOC 调查工作流程

标签：AI安全, AMSI绕过, Apex, Chat Copilot, FOFA, IP 地址批量处理, PE 加载器, PoC, Python, 事件关联, 人工智能, 凭证填充, 威胁情报, 威胁检测, 孤立森林, 安全工程, 安全运营中心, 密码管理, 开发者工具, 异常检测, 恶意IP检测, 撞库, 数据科学, 无后门, 暴力破解, 机器学习, 用户模式Hook绕过, 网络映射, 资源验证, 逆向工具