udit-prabhakar/Suricata-AI-Rules-Architect

# Suricata AI-Rules Architect 🛡️🤖 **Suricata AI-Rules Architect** 是一个专业的全栈桌面应用程序，旨在对 Suricata 入侵检测规则进行高级管理、解析和 AI 辅助生成。 最初构建该工具是为了弥合大规模网络安全与自动化威胁情报之间的差距，它专注于 **运营技术（OT）** 和 **工业控制系统（ICS）协议**（如 Modbus、DNP3、S7COMM 等）。 ### 🚀 关键特性 - **🔍 高级 Suricata 解析器：** 一个自定义构建的解析器/序列化引擎，能够处理复杂的规则头部和选项，包括元数据和多行格式。 - **🤖 AI 辅助规则生成：** 集成 **Groq SDK（LLM 驱动）**，基于 **MITRE ATT&CK for ICS** 框架建议规则优化、元数据标记和威胁类别对齐。 - **📦 工作区管理：** 基于 Electron 的目录选择与完整的文件系统集成，并支持持久化工作区状态。 - **🌿 集成 Git 工作流：** 直接访问 Git 操作（状态、差异、提交、推送），实现版本控制的规则管理。 - **🛡️ 安全优先设计：** 实现了路径遍历保护和安全的本地 API 交互处理。 ### 🏗️ 技术架构 - **前端：** 基于 React 的单页应用程序（SPA），专注于高密度数据管理。 - **后端：** Node.js/Express.js 服务器，处理本地文件系统 API 和 AI SDK 集成。 - **桌面封装：** 使用 Electron.js 提供原生独立体验，支持系统级对话框和本地存储。 - **AI 集成：** Groq SDK（针对 Llama-3/Gemma 优化），用于实时元数据推断和规则加固。 ### 🛠️ 核心逻辑：规则解析 该应用的核心是一个自定义的正则表达式驱动解析器，能够将 Suricata 规则分解为结构化的 JSON 对象： ``` // Example: Rule decomposition logic const rule = { header: { action: "alert", protocol: "tcp", ... }, options: [ { key: "msg", value: "Sensitive Data Access" }, ... ], metadata: [ { key: "afSeverity", value: "1" }, ... ] }; ``` ### 🛡️ OT 与 MITRE ATT&CK 对齐 此工具专门针对 **OT/ICS 安全环境**进行调优，可自动建议以下元数据： - `afThreatCategory`：网络行为异常、侦察等。 - `cyberKillStage`：与网络攻击七个阶段的对应关系。 - `MITRE Tactic/Technique`：自动映射到 ICS 特定的战术与技术（TTPs）。 ### 📥 快速开始 1. **克隆仓库：** git clone https://github.com/udit-prabhakar/Suricata-AI-Rules-Architect.git 2. **安装依赖：** npm install 3. **配置 AI（可选）：** 添加你的 `GROQ_API_KEY` 到 `.env` 文件，或通过应用内设置直接配置。 4. **启动：** npm start ### 👨‍💻 开发者信息 **Udit Prabhakar** *后端与安全工程师* [LinkedIn](https://linkedin.com/in/udit-prabhakar-m4v8r7s) | [个人主页](https://github.com/udit-prabhakar) ### ⚖️ 许可证 本项目采用 MIT 许可证授权 - 详细信息请参阅 [LICENSE](LICENSE) 文件。

标签：AI规则生成, DNP3, Electron, Express.js, Git集成, GNU通用公共许可证, Groq SDK, ICS安全, LLM, MITM代理, MITRE ATT&CK for ICS, Node.js, OT安全, React, S7COMM, Suricata, Syscalls, Unmanaged PE, 后端开发, 威胁情报, 安全可观测性, 安全设计, 实时元数据推理, 工业控制系统, 工作区管理, 开发者工具, 文件系统管理, 本地API, 桌面应用, 版本控制, 现代安全运营, 网络威胁检测, 网络安全研究, 规则优化, 规则加固, 规则管理, 规则解析, 路径遍历防护