mInhUis/AWS-log-detection-and-incident-response-3-tier-thriven-by-AI
GitHub: mInhUis/AWS-log-detection-and-incident-response-3-tier-thriven-by-AI
基于成本感知的三层级联架构,对 AWS CloudTrail 日志进行渐进式异常检测与安全事件分析。
Stars: 0 | Forks: 0
# AWS CloudTrail 上基于成本感知的级联异常检测
学士论文原型:一个三层级联系统,结合了 Isolation Forest
(第一层,CPU)、DeepLog LSTM(第二层,GPU)和 Llama 3.1 8B 4-bit + RAG
(第三层,本地 LLM),用于 CloudTrail 日志的安全事件分析。
论文的贡献在于**集成的成本感知级联设计**,而不是
任何单独的算法——每一层处理的事件比例严格小于前一层。
## 流水线一览
```
Raw CloudTrail JSON
─► Tier 1 Isolation Forest on entity-window features (~95% rejected)
─► Tier 2 DeepLog LSTM on Drain3 key sequences (~99.9% rejected cumulative)
─► Tier 3 Llama 3.1 8B 4-bit + RAG over MITRE ATT&CK → incident report
```
## 硬件假设
- **繁重的训练/推理:** Google Colab Pro(单 GPU,12 小时会话)。
- **本地开发/演示:** Dell Inspiron 5425,Ryzen 7 5825U,集成
Radeon 显卡,16 GB 内存。在 ML 方面视为**仅使用 CPU**。
## 目录布局
请参阅 [`CLAUDE.md` §8](CLAUDE.md) 获取权威的目录布局。
## 快速开始(在第 2 天之后——在合成正常数据存在之后)
```
python -m venv .venv && source .venv/bin/activate # Windows: .venv\Scripts\activate
pip install -r requirements.txt
pytest -q # smoke test
```
## 状态
第 1 天(2026-04-26):仓库已搭建,范围已锁定,合成正常数据
生成已排队至第 2 天。请参阅 [`data/README.md`](data/README.md)。
标签:AMSI绕过, Apex, AWS, Cloudflare, CloudTrail, DeepLog, DLL 劫持, DPI, Drain3, Isolation Forest, Llama 3.1, LLM, LSTM, MITRE ATT&CK, Python, RAG, Unmanaged PE, 人工智能安全, 原型系统, 合规性, 大语言模型, 威胁检测, 子域名变形, 孤立森林, 学士学位论文, 安全运营, 异常检测, 成本感知, 扫描框架, 无后门, 日志解析, 时序分析, 机器学习, 检索增强生成, 深度学习, 级联分类, 网络安全, 自动化分析, 证书伪造, 跨站脚本, 逆向工具, 长短期记忆网络, 隐私保护