Khush7349/ai-incident-response-system
GitHub: Khush7349/ai-incident-response-system
一个结合机器学习、规则引擎和 LLM 推理的 AI 驱动安全事件响应系统,用于实时检测、分析和解释可疑活动。
Stars: 0 | Forks: 0
# 🚨 AI 事件响应系统
一个基于 AI 驱动的安全监控系统,利用机器学习、基于规则的检测和 LLM 驱动的推理,实时检测、分析和解释可疑的系统活动。
## 🚀 概述
本项目模拟了一个**现代事件响应管道**。系统日志被实时流式传输,经过异常检测模型和行为规则处理,进行风险评分,并由 LLM 生成解释。
其目标是复现现实世界中的安全系统如何识别和调查威胁。
## 🔥 核心特性
- ⚡ 实时日志流式传输
- 🧠 基于机器学习的异常检测(Isolation Forest)
- ⚙️ 基于规则的威胁检测
- 登录激增检测
- IP 异常检测
- 权限滥用检测
- 📊 混合风险评分引擎(ML + 规则)
- 🤖 LLM 驱动的事件解释
- 🖥️ SOC 风格的监控与调查仪表盘
## 🧠 系统架构
```
Log Stream
↓
Preprocessing
↓
Feature Engineering
↓
ML Detection (Isolation Forest)
↓
Rule Engine
↓
Risk Scoring
↓
LLM Explanation
↓
Dashboard
```
## 📁 项目结构
```
ai-incident-response/
│
├── core/ # Pipeline + state management
├── detectors/ # ML detection layer
├── rules/ # Rule-based detection
├── scoring/ # Risk engine
├── intelligence/ # LLM + formatter
├── ingestion/ # Log generation + preprocessing
├── services/ # Utilities (logger, simulator)
├── dashboard/ # Streamlit UI
│
├── data/ # Generated logs
├── models/ # Trained ML models
│
├── train.py # Model training script
├── main.py # Real-time runner
├── config.py
└── requirements.txt
```
## ⚙️ 安装说明
### 1. 克隆代码库
- git clone https://github.com/your-username/ai-incident-response-system.git
- cd ai-incident-response-system
### 2. 创建虚拟环境
- python -m venv venv
- source venv/bin/activate # macOS/Linux
- venv\Scripts\activate # Windows
### 3. 安装依赖
pip install -r requirements.txt
### 4. 生成训练数据
python data/generate_logs.py
### 5. 训练模型
python train.py
### 6. 运行系统 (CLI 模式)
python main.py
### 7. 启动仪表盘
streamlit run dashboard/app.py
## 🧠 工作原理
1. 日志通过模拟流式系统生成
2. 对数据进行预处理并转换为特征
3. ML 模型检测异常
4. 规则引擎识别可疑的行为模式
5. 风险引擎计算最终的威胁评分
6. LLM 生成人类可读的解释
7. 仪表盘展示警报和洞察
## 📊 示例输出
事件 ID: log_48291
用户: user_3
操作: admin_access
风险评分: 85
风险等级: CRITICAL
⚠️ 警报
检测到多次快速登录尝试
来自陌生 IP 地址的访问
可疑的管理员级别活动
AI 解释:
该用户表现异常,出现了快速登录尝试以及来自新 IP 地址的提权访问,表明可能存在账户被盗用的风险。
## 👤 作者
**Khushi Sharma**
## ⭐ 如果你喜欢这个项目
欢迎为仓库点个 Star ⭐ 或贡献改进!
标签:AI安全, AMSI绕过, Apex, C2, Chat Copilot, DLL 劫持, IP异常检测, Isolation Forest, Kubernetes, LLM推理, PMD, Python, SOAR, SOC仪表盘, Streamlit, TCP/UDP协议, 云计算, 人工智能, 大语言模型, 威胁检测, 子域名变形, 安全事件调查, 安全运营中心, 实时流处理, 异常检测, 数据预处理, 无后门, 机器学习, 混合风险评分, 特征工程, 特权滥用检测, 用户模式Hook绕过, 登录激增检测, 网络安全, 网络映射, 规则引擎, 访问控制, 逆向工具, 隐私保护, 隔离森林