安全日志智能系统

上传日志，检测威胁，获取事件报告和修复步骤 — 由五智能体 AI pipeline 驱动。

[此处为 Demo GIF]

## 功能介绍 粘贴或上传原始日志文件 —— Apache、Nginx、SSH、syslog 或应用程序日志 —— 系统会自动检测格式，运行异常检测，对威胁进行分类，生成专业的事件报告，并推荐优先级排序的修复步骤。所有分析结果都会被存储并支持搜索。实时 dashboard 会显示所有已分析日志的威胁态势。 ## 功能特性 - **自动格式检测** —— 无需配置即可识别 Apache、Nginx、SSH、syslog 和应用程序日志格式 - **五智能体 LangGraph pipeline** —— 解析 → 检测异常 → 分类威胁 → 撰写事件报告 → 推荐修复方案 - **AI 驱动的分析** —— 基于Groq 的事件报告和威胁分类，具备完整的基于规则的回退机制（无需 API key） - **威胁检测** —— 暴力破解、SQL 注入、目录遍历、DDoS、权限提升、数据泄露等 - **事件跟踪器** —— 跟踪所有分析的状态（待处理 / 调查中 / 已解决 / 误报） - **威胁 Dashboard** —— 严重程度分布、威胁类型分布、攻击源 IP 排名、事件时间轴 - **BYOK** —— 通过侧边栏自带 Groq API key；即使没有它，分析功能也能正常运行 - **JWT 认证** —— 在所有 endpoint 上使用安全的 Bearer token 认证 - **生产级加固** —— 速率限制、安全响应头、输入过滤清洗、prompt 注入检测 ## 技术栈 | 层级 | 技术 | |---|---| | API | FastAPI + SQLAlchemy (async) | | AI pipeline | LangGraph + Groq (llama-3.1-8b-instant) | | 数据库 | PostgreSQL (生产环境) / SQLite (开发/测试环境) | | 缓存 | Redis | | 认证 | JWT (PyJWT) + bcrypt | | Dashboard | Streamlit + Plotly | | 基础设施 | Docker + Docker Compose | ## 前置条件 - Python 3.11+ - Docker 和 Docker Compose（用于 PostgreSQL + Redis） - 一个免费的 [Groq API key](https://console.groq.com)（可选 —— 系统在没有它的情况下也能正常工作） ## 设置说明 ``` # Clone git clone cd security-log-intelligence-system # 创建 virtual environment python -m venv venv source venv/bin/activate # Windows: venv\Scripts\activate # 安装 dependencies pip install -r requirements.txt pip install aiosqlite # 配置 environment cp .env.example .env # 编辑 .env — 将 SECRET_KEY 设置为一个随机的 32+ 字符字符串 # 启动 database 和 Redis docker compose up postgres redis -d # 启动 API server uvicorn app.main:app --reload # 启动 dashboard（新 terminal） streamlit run streamlit_app.py ``` 打开 `http://localhost:8501` 访问 dashboard。API 运行在 `http://localhost:8000`。 ## 使用说明 ### Dashboard 1. 在侧边栏注册账号 2. （可选）粘贴你的 Groq API key 以启用 AI 驱动的摘要 3. 前往 **Analyze Logs** → 粘贴日志内容或上传文件 → 点击 Analyze 4. 在结果选项卡中查看事件报告、威胁列表和修复步骤 5. 检查 **Threat Dashboard** 以获取聚合的威胁情报 6. 在 **Incident Tracker** 中跟踪和更新事件状态 ### API (直接调用) ``` # 注册 curl -X POST http://localhost:8000/auth/register \ -H "Content-Type: application/json" \ -d '{"username": "analyst", "password": "securepassword1"}' # 获取 token curl -X POST http://localhost:8000/auth/token \ -d "username=analyst&password=securepassword1" # 分析日志 curl -X POST http://localhost:8000/analyses/analyze \ -H "Authorization: Bearer " \ -H "Content-Type: application/json" \ -d '{"title": "My Logs", "log_text": "...", "log_format": "auto"}' ``` ### 生成样例日志 ``` python data/generate_sample_logs.py # 在 data/sample_logs/ 中创建 5 个逼真的 log 文件（总共 500+ 行） ``` ## 许可证 MIT —— 详情请参阅 [LICENSE](LICENSE)。

标签：AI安全, AMSI绕过, Apache, AV绕过, Chat Copilot, CISA项目, DDoS检测, DLL 劫持, DOE合作, FastAPI, JWT认证, Kubernetes, LangGraph, LLM, Nginx, PE 加载器, PostgreSQL, SecOps, SQLite, SQL注入检测, SSH, Syslog, Unmanaged PE, Web安全, 云安全架构, 人工智能, 免杀技术, 协议分析, 多Agent, 大语言模型, 威胁分类, 威胁情报, 威胁检测, 安全仪表盘, 安全信息与事件管理, 安全报告, 安全日志, 安全日志分析, 安全运营, 开发者工具, 异常检测, 扫描框架, 搜索引擎查询, 搜索引擎爬取, 攻击溯源, 日志智能, 暴力破解检测, 权限提升, 测试用例, 漏洞修复建议, 生产级, 用户模式Hook绕过, 红队行动, 网络安全, 网络安全审计, 自动化分析, 蓝队分析, 请求拦截, 跨站脚本, 逆向工具, 隐私保护