Cyber-Preston/ai-soc-analyst-assistant

# AI 驱动的 SOC 分析师助手 一个适合初学者的网络安全作品集项目，其功能类似于一个微型 SOC 分析师。 它接收 Linux/身份验证日志，检测可疑活动，创建安全警报，并使用 AI 风格的分析师引擎来解释发生的情况并推荐修复步骤。 ## 面向招聘人员的简介 本项目展示了： - Python 后端开发 - 安全日志分析 - 检测工程 - 事件响应思维 - 仪表盘开发 - Docker 部署 - AI 辅助的网络分析 ## 功能特性 - 上传或粘贴 Linux 身份验证日志 - 检测失败的 SSH 暴力破解尝试 - 检测成功的 SSH 登录 - 检测可疑的 root 登录尝试 - 生成风险评分：低、中、高、严重 - 生成分析师风格的解释 - 推荐修复步骤 - 在浏览器仪表盘中查看警报 - 支持本地运行或使用 Docker 运行 ## 技术栈 - Python - FastAPI - SQLite - Jinja2 模板 - Docker - 可选的 OpenAI API 集成 ## 快速开始 ### 1. 本地运行 ``` cd ai-soc-assistant python -m venv venv source venv/bin/activate # Linux/macOS # venv\Scripts\activate # Windows pip install -r requirements.txt uvicorn app.main:app --reload ``` 打开： ``` http://127.0.0.1:8000 ``` ### 2. 使用 Docker 运行 ``` docker compose up --build ``` 打开： ``` http://127.0.0.1:8000 ``` ## 演示日志 使用文件： ``` sample_logs/auth.log ``` 将内容粘贴到仪表盘中，然后点击 **Analyze Logs**。 ## 可选的 OpenAI 设置 本应用使用内置的本地分析师引擎，无需 API 密钥即可工作。 如需稍后使用 OpenAI，请设置： ``` export OPENAI_API_KEY="your_api_key_here" ``` 然后更新 `app/ai_engine.py` 以调用您首选的 OpenAI 模型。 ## 简历亮点 使用 Python、FastAPI、SQLite 和 Docker 构建了一个 AI 驱动的 SOC 分析师助手，用于分析 Linux 身份验证日志，检测 SSH 暴力破解活动，生成事件摘要，并通过 Web 仪表盘推荐修复步骤。 ## 项目结构 ``` ai-soc-assistant/ ├── app/ │ ├── main.py │ ├── detector.py │ ├── ai_engine.py │ ├── database.py │ └── static/ ├── sample_logs/ │ └── auth.log ├── docs/ │ └── architecture.md ├── requirements.txt ├── Dockerfile ├── docker-compose.yml └── README.md ``` ## 未来改进 - 添加 Suricata 或 Zeek 日志支持 - 添加 GeoIP 攻击者位置映射 - 添加 Slack 或 Discord 警报 - 添加 VirusTotal IP 信誉查询 - 添加 MITRE ATT&CK 映射 - 为仪表盘添加身份验证

标签：AI安全, AI风险缓解, ATT&CK框架, AV绕过, Chat Copilot, DLL 劫持, Docker, FastAPI, Jinja2, Linux日志, LLM评估, Ollama, OpenAI, Petitpotam, PoC, Python, Root权限提升检测, SQLite, SSH暴力破解, 内存规避, 后端开发, 大语言模型, 威胁情报, 安全仪表盘, 安全分析师, 安全分析引擎, 安全告警, 安全运营中心, 安全防御评估, 容器化部署, 开发者工具, 异常登录检测, 无后门, 暴力破解, 本地大模型, 网络安全, 网络安全项目, 网络映射, 自动化响应, 认证日志, 请求拦截, 逆向工具, 隐私保护, 风险评分