jasonwang1211/security-ai-agent
GitHub: jasonwang1211/security-ai-agent
Sentinel 是一个蓝队安全事件分诊原型,结合确定性规则检测与 AI/RAG 咨询上下文,为 SOC 分析师提供事件分类、风险评估和决策模拟的可交互演示环境。
Stars: 0 | Forks: 0
# Sentinel 项目 - AI 辅助蓝队安全分诊
Sentinel 项目是一个 AI 辅助的蓝队安全分诊原型。它实现了一个 SOC 风格的 Streamlit 分析师控制台,其中受支持的输入会通过基于规则的逻辑进行分类,被分配确定性的风险等级/决策值,并可选择使用 AI/RAG 咨询上下文进行富化。AI 功能在工作流中可见,但它们不决定最终裁决路径。
编写此代码库是为了进行项目审查、演示演示和作品集讨论。它不是生产级的 IDS/IPS,不是红队工具,也不是自动响应系统。
## 截图展示
### Streamlit 分析师控制台
该控制台是主要的演示界面:包含场景卡片、语言和模式控件、活动上下文、确定性结果以及可见的安全框架。
### AI 分析师简报
AI 分析师简报使用分析师的语言解释当前事件,同时将确定性裁决与咨询上下文区分开来。
### 证据差距分析器
证据差距分析器会区分已确认的事实、缺失的证据、建议的检查以及不安全的假设。
### HTTP/2 资源耗尽安全演示
HTTP/2 场景是一个安全的合成事件摘要。它不会生成流量,不提供漏洞利用步骤,也不声称具有实际执行力。
## 核心能力
| 能力 | 展示内容 | 权限级别 |
|---|---|---|
| 基于规则的检测器 | 对受支持的 payload 和事件模式进行可重现的分类。 | 检测权限 |
| 确定性风险 / 决策 | 确定性的风险等级以及模拟的 BLOCK / MONITOR / ALLOW。 | 决策权限 |
| 快速确定性模式 | 没有可选 AI/RAG 预热的快速演示路径。 | 确定性路径 |
| 完整 AI 辅助模式 | 可选的 AI/RAG 解释路径。 | 仅作参考 |
| AI 分析师简报 | 事件摘要、重要性原因、后续步骤、不安全的假设。 | 仅作参考 |
| 证据差距分析器 | 已确认的事实、缺失的证据、建议的检查。 | 仅作参考 |
| 知识问答 / RAG | 基于已批准上下文的防御性知识解答。 | 仅作参考 |
| 批准的相似案例 | 针对已批准种子案例的只读对比。 | 仅作参考 |
| 关系图 | 事件、规则、风险、决策和案例链接的可视化上下文。 | 仅作参考 |
| 案例草稿 / Markdown 导出 | 供人工审查的报告材料。 | 需要人工审查 |
## 快速开始
```
git clone https://github.com/jasonwang1211/security-ai-agent.git
cd security-ai-agent
python -m venv venv
.\venv\Scripts\Activate.ps1
pip install -r requirements.txt
python -m streamlit run ui/streamlit_app.py --server.fileWatcherType none
```
推荐的首次演示路径:
1. 选择快速确定性模式。
2. 加载命令注入演示或 HTTP/2 资源耗尽嫌疑。
3. 点击运行输入。
4. 查看确定性分类、风险等级和模拟决策。
5. 根据需要打开 AI 分析师、案例情报、草稿 / 导出和截图库。
## 文档
请从文档中心开始阅读:[docs/README.md](docs/README.md)。
| 需求 | 阅读 |
|---|---|
| 正式项目报告 | [REPORT.md](REPORT.md) |
| 演示操作和故障排除 | [用户操作指南](docs/USER_OPERATION_GUIDE.md) |
| 逐步的 UI 演示 | [UI 演示](docs/UI_WALKTHROUGH.md) |
| 截图 / 功能画廊 | [截图库](docs/screenshots/README.md) |
| 验证证据 | [测试报告](docs/TEST_REPORT.md) 和 [v2.8 发布门控](docs/v2.8_release_gate.md) |
| 技术架构说明 | [技术说明](docs/TECH_NOTES.md) |
| 路线图 | [路线图](docs/ROADMAP.md) |
| 繁体中文资料 | [zh-TW 概述](docs/zh-TW/README.zh-TW.md) 和 [zh-TW 报告](docs/zh-TW/PROJECT_REPORT.zh-TW.md) |
## 验证摘要
最近一次记录的 v2.8 发布门控验证摘要:
- pytest:`1178 passed`
- ruff:通过
- mypy:通过,在 164 个源文件中未发现问题
- gitleaks:未发现泄漏
- 截图语言刷新:已完成英文和繁体中文截图集的更新
这些检查用于验证演示行为和安全边界回归。它们并不声称具备生产级 IDS/IPS 的有效性。
## 安全边界
- 基于规则的检测器是检测权限主体。
- 风险等级 / 决策是确定性的。
- BLOCK / MONITOR / ALLOW 仅为模拟决策。
- RAG / LLM / AI 分析师简报 / 证据差距分析器 / 相似案例 / 关系图仅提供咨询上下文。
- 不会执行任何真实的防火墙 / WAF / EDR / 账户 / 云 / SIEM / SOAR 操作。
- 不提供任何漏洞利用代码、PoC 生成、流量生成或攻击性自动化功能。
- 必须经过人工审查。
## 局限性
Sentinel 项目不是生产级的 IDS/IPS,不是真实的阻断引擎,不是漏洞利用生成器,也不能替代 SIEM、SOAR、EDR、漏洞管理或事件响应审批。
未来的工作记录在 [docs/ROADMAP.md](docs/ROADMAP.md) 中。
标签:AI辅助分析, C2, Kubernetes, SOC控制台, Streamlit, 云计算, 安全规则引擎, 安全运营, 扫描框架, 检索增强生成, 规则引擎, 访问控制, 逆向工具