venkatnikhil616/Aegis-SIEM
GitHub: venkatnikhil616/Aegis-SIEM
一套用 Python 实现的模块化 SIEM 与 IPS 系统,通过实时日志采集、多层检测引擎和自动化响应来集中监控安全威胁并加速事件处置。
Stars: 0 | Forks: 0
🛡️ Aegis-SIEM
一个企业级的用 Python 构建的安全信息和事件管理 (SIEM) 与入侵防御系统 (IPS)。
Aegis-SIEM 执行实时事件收集、检测、关联以及对安全威胁的自动化响应。
🚀 概述
Aegis-SIEM 通过集成以下功能来模拟安全运营中心 (SOC) 流水线:
- 📡 网络流量监控
- 🧠 检测引擎(异常 + 特征 + 基于规则)
- 🔗 事件关联
- 🚫 入侵防御(防火墙响应)
- 📊 用于可视化的 Web 仪表板
- 🔔 告警与集成
🔥 核心功能
- 📥 日志与事件采集系统
- 📡 数据包嗅探与流量分析
- 🧠 基于人工智能的异常检测引擎
- 📜 基于特征与规则的检测
- 🔗 多事件关联引擎
- 🚫 自动化响应(IPS / 防火墙动作)
- 🌐 基于 Web 的 SOC 仪表板
- 📊 事件存储与威胁情报
- 🔔 通过电子邮件 / webhook 告警
- 🧪 攻击模拟支持
🧠 架构
数据包源 / 日志
↓
解析引擎
↓
检测引擎
(异常 / 特征 / 规则)
↓
关联引擎
↓
响应引擎 (IPS / 防火墙)
↓
事件存储 + 仪表板 + 告警
## 📁 项目结构
```
Aegis-SIEM/
│
├── api/
│ ├── app.py
│ ├── auth.py
│ └── routes.py
│
├── config/
│ ├── config.py
│ ├── logging.conf
│ └── settings.yaml
│
├── core/
│ ├── ai_engine.py
│ ├── attack_simulator.py
│ ├── correlation_engine.py
│ ├── detector.py
│ ├── event_store.py
│ ├── firewall.py
│ ├── listener.py
│ ├── packet_sniffer.py
│ ├── packet_source.py
│ ├── parser.py
│ ├── response_engine.py
│ ├── scheduler.py
│ ├── shared_state.py
│ └── soc_dashboard.py
│
├── dashboard/
│ ├── app.py
│ ├── static/
│ └── templates/
│
├── data/
│ ├── blacklist.json
│ ├── geoip.db
│ ├── signatures.json
│ └── whitelist.conf
│
├── detection/
│ ├── anomaly_detector.py
│ ├── rate_limiter.py
│ ├── rules_engine.py
│ └── signature_detector.py
│
├── docker/
│ └── docker-compose.yaml
│
├── docs/
│ ├── api_docs.md
│ ├── architecture.md
│ └── usage.md
│
├── integrations/
│ ├── email_notifier.py
│ ├── firewall_adapter.py
│ ├── siem_exporter.py
│ └── webhook_notifier.py
│
├── scripts/
│ ├── run.sh
│ ├── setup.sh
│ └── simulate_attack.py
│
├── services/
│ ├── alert_service.py
│ ├── ips_service.py
│ ├── log_service.py
│ ├── report_service.py
│ └── threat_intel_service.py
│
├── tests/
│ ├── test_api.py
│ ├── test_detector.py
│ ├── test_firewall.py
│ └── test_parser.py
│
├── main.py
├── requirements.txt
├── README.md
└── .gitignore
```
⚙️ 安装与配置
1️⃣ 克隆仓库
git clone
cd Aegis-SIEM
2️⃣ 创建虚拟环境
python3 -m venv venv
source venv/bin/activate
3️⃣ 安装依赖
pip install -r requirements.txt --break-system-packages
4️⃣ 配置设置
编辑:
config/settings.yaml
设置:
- 端口
- 日志级别
- 检测阈值
5️⃣ 运行系统
python main.py
🧪 模拟攻击
python scripts/simulate_attack.py
这有助于测试:
- 检测引擎
- 关联
- 告警生成
🔔 告警与响应
- 电子邮件通知
- Webhook 告警
- 防火墙拦截(IPS 模式)
🐳 Docker 支持
docker-compose up --build
🧠 使用技术
- Python
- Flask (仪表板/API)
- Scapy (数据包分析)
- SQLite / JSON (存储)
- psutil (系统监控)
🎯 使用场景
- SOC 模拟
- 入侵检测与防御
- 安全研究与学习
- 威胁监控流水线
⚠️ 免责声明
本项目仅供教育和研究目的使用。
未经适当的安全验证,请勿在生产环境中使用。
👨💻 作者
作为专注于 SIEM、IPS 和威胁检测系统的高级网络安全项目的一部分而开发。
⭐ 未来改进
- 基于机器学习的威胁检测
- 分布式日志收集
- 云部署
- 高级可视化仪表板
标签:AI引擎, API鉴权, IPS, IP 地址批量处理, OISF, Python, Web仪表盘, 事件关联, 企业安全, 入侵防御系统, 告警通知, 基于签名的检测, 基于规则的检测, 威胁情报, 威胁检测与响应, 威胁猎捕, 安全信息与事件管理, 安全警报, 安全运营中心, 开发者工具, 异常检测, 插件系统, 搜索引擎爬取, 无后门, 无线安全, 日志管理, 网络安全, 网络安全审计, 网络攻击模拟, 网络映射, 网络资产管理, 自动化响应, 请求拦截, 逆向工具, 防火墙联动, 隐私保护, 集中监控