imen27-gh/helys

GitHub: imen27-gh/helys

Helys 是一个 AI 驱动的混合型 SOC 系统,通过分析 Wazuh 告警并利用机器学习提供标准化的响应策略,以加速事件处理。

Stars: 2 | Forks: 0

# 🏥 Helys — AI 驱动的事件响应推荐系统 ## 📌 概述 **Helys** 是一个混合型 AI–SOC 系统,结合了机器学习与网络安全运营,用于分析 Wazuh 告警并将事件归类为可执行的响应策略。 ## 它作为 SOC 内部的智能决策引擎,通过 AI 驱动的安全工作流,实现自动化、一致且更快的事件响应。 ## 🚨 问题陈述 安全分析师通常需要针对每个告警花费 **5 到 30 分钟** 来: - 分析日志 - 理解上下文 - 决定响应措施 这导致了: - ⏳ 缓慢的事件响应 - ⚠️ 不一致的决策制定 - 🌙 工作时间之外无覆盖 - 🏥 **HIPAA 合规风险** ## 💡 解决方案 Helys 通过以下方式自动化此流程: - 将告警归类为 **5 种可执行的响应类别** - 提供 **标准化且可解释的决策** - 将每个告警映射到 **HIPAA 安全保障措施** - 通过 API 直接集成到 SOC 工作流中 ## ⚡ 关键成果 | 指标 | 改进 | |--------|------------| | ⏱️ 决策时间 | **< 5 ms** | | 📉 MTTD | **−79%** (2.5 分钟 vs 14.6 分钟) | | 📉 MTTR | **−38%** (193 分钟 vs 311 分钟) | | 🤖 自动化率 | **25% 的告警完全自动化** | ## 📊 数据集 - **来源**:Wazuh HIDS/SIEM 告警 - **规模**:179 个真实告警 - **环境**:5 个受监控的代理 - **特征**: - `rule_level`,`rule_id` - `agent_name`,`location` - `has_srcip` - `hour`,`day_of_week` - `is_weekend`,`is_after_hours` ## 🧠 机器学习模型 - **问题类型**:多类分类 - **测试模型**: - Random Forest ✅ (已选定) - Gradient Boosting ### 🔥 最终模型:Random Forest (已调优) - F1 Score (加权):**0.84** - GridSearchCV 优化 - 分层 5 折交叉验证 ## 🚀 事件响应类别 | 操作 | 描述 | |--------|------------| | 🔴 **ISOLATE_AND_ESCALATE** | 关键遏制(权限提升,级别 ≥15) | | 🟠 **BLOCK_AND_INVESTIGATE** | 阻断攻击者 + 调查(暴力破解,认证攻击) | | 🔵 **REMEDIATE_CONFIG** | 修复合规/配置问题 | | ⚪ **INVESTIGATE** | 需要人工分诊 | | 🟢 **MONITOR_AND_LOG** | 低优先级记录 | ## 🏥 HIPAA 合规集成 每个告警自动映射到 **HIPAA 安全规则保障措施**: - 🔐 访问控制 - 📊 审计控制 - 🛡️ 完整性 - 📉 风险管理 - 🌐 传输安全 ➡️ 这确保了 **可审计且合规的事件处理** ## 🏗️ 系统架构 ### 组件: - 📡 **Wazuh SIEM** — 生成告警 - 🔀 **Shuffle SOAR** — 自动化工作流 - ⚡ **FastAPI** — ML 推理 API (<5ms) - 📋 **JSON 输出** — 操作 + Playbook + 合规性 - 🛡️ **SOAR 动作** — 防火墙、EDR、AD 等 ## 📡 API 示例 ### 请求 ### 🔹 示例请求 (cURL) ``` curl -X POST http::8000/predict \ -H "Content-Type: application/json" \ -d '{ "rule_level": 10, "rule_id": 5763, "agent_name": "agent1", "location": "journald", "has_srcip": 1 }' ``` ### 响应 ``` { "decision": { "action": "BLOCK_AND_INVESTIGATE", "priority": "HIGH", "confidence_pct": 76.0, "ttr_target_minutes": 60, "automated": true }, "playbook": [ "Block source IP", "Review authentication logs" ], "hipaa": { "safeguard": "Audit Controls ", "guidance": "Block source IP and review logs" } } ```
标签:AI安全, Apex, Chat Copilot, HIDS, HIPAA合规, MTTD, MTTR, Wazuh, 决策支持系统, 医疗安全, 告警分类, 多分类问题, 威胁情报, 安全运营中心, 开发者工具, 机器学习, 网络安全, 网络映射, 自动化响应, 逆向工具, 随机森林, 隐私保护