AsmaaBensair/ai-soc-analyst-assistant

# 🛡️ AI SOC 分析师助手 **日志分析 · 威胁检测 · SOC 自动化 · LLM 驱动** ## 📌 概述 AI SOC 分析师助手是一个**企业级网络安全平台**，能够分析原始日志、检测威胁、关联攻击、结合威胁情报进行富化，并通过交互式仪表板将所有内容可视化。 它结合以下技术模拟了真实的 **SOC（安全运营中心）** 工作流： * 基于规则的检测 * LLM 驱动的分析（Llama3 / Ollama） * 威胁情报富化 * SOAR 自动化 * 分析师反馈循环 ## ⚙️ 功能特性 ### 🔍 检测引擎 * 基于规则的检测： * XSS、SQL 注入、暴力破解 * LFI、RCE、扫描攻击 * LLM 驱动的告警生成 * 风险评分 + 置信度评估 ### 🔗 关联引擎 * 多日志攻击关联 * 攻击活动检测（多步骤攻击） * 关联风险评分 ### 🔍 威胁情报 (TI) * IP 信誉富化 * 恶意 / 可疑分类 * 外部验证以减少误报 ### ⚙️ SOAR (自动化) * 自动化响应剧本 * 工单生成模拟 * 升级至 SOC 二级响应 ### 🗺️ MITRE ATT&CK 映射 * 战术与技术映射 * 热力图可视化 ### 📊 仪表板 (Streamlit) * 交互式 SOC 仪表板 * 告警调查面板 * 攻击活动可视化 * 风险与严重性分析 * 威胁情报面板 * SOAR 追踪 ### 📈 评估与 AI 质量 * 告警质量评分 * 真阳性 / 假阳性追踪 * LLM 输出的幻觉检测 ### 💬 反馈循环 * 分析师 TP/FP 覆盖 * 假阳性评分校准 * 持续改进机制 ## 🏗️ 架构 ``` Logs → Rule Engine → LLM Analysis → Alert Generation → Correlation Engine → Threat Intel → SOAR → Dashboard → Feedback Loop ``` ## 📂 项目结构 ``` soc_project/ │ ├── dashboard_soc.py # Streamlit dashboard ├── feedback_loop.py # Analyst feedback system ├── threat_intel.py # TI enrichment module ├── rule_engine.py # Detection rules ├── correlation_engine.py # Attack correlation ├── evaluateur_complet.py # Evaluation system │ ├── data/ │ ├── results_docker.json │ ├── evaluation_report.json │ ├── requirements.txt └── README.md ``` ## 🚀 安装 ### 1. 克隆仓库 ``` git clone https://github.com/your-username/soc_project.git cd soc_project ``` ### 2. 安装依赖 ``` pip install -r requirements.txt ``` ### 3. (可选) 使用 Docker 运行 ``` docker-compose up -d --build ``` ## ▶️ 用法 ### 运行流水线 (生成告警) ``` python main.py --input data/logs.json --output data/results_docker.json ``` ### 启动仪表板 ``` streamlit run dashboard_soc.py ``` ## 📊 示例输出 * 带有严重性级别的告警 (严重 / 高 / 中 / 低) * 攻击类型 (SQLi、XSS、暴力破解…) * 攻击活动检测 * MITRE 映射 * 威胁情报富化 * SOAR 动作 ## 🧠 使用的技术 * Python * Streamlit * Pandas * Plotly * Ollama (Llama3) * Docker * 基于 JSON 的流水线 ## 🔐 使用场景 * SOC 分析师培训 * 网络安全研究项目 * SIEM/SOAR 模拟 * 日志分析自动化 * AI 驱动的威胁检测 ## ⚠️ 局限性 * 使用模拟或离线的威胁情报 (默认无实时数据源) * 基于 JSON 的存储 (不如 SIEM 工具那样具备可扩展性) * LLM 输出可能需要验证 (已包含幻觉处理机制) ## 🔮 未来改进 * 实时日志流处理 * 与 SIEM 工具集成 * API 后端 * 数据库支持 * 实时威胁情报 API ## 👩‍💻 作者 **Asmaa Bensair** 网络安全专业学生 | SOC 分析师爱好者

标签：AI SOC, AI风险缓解, AMSI绕过, BurpSuite集成, CISA项目, Clair, Cloudflare, DLL 劫持, IP 地址批量处理, Kubernetes, LFI, Llama3, LLM, LLM评估, MITRE ATT&CK, Ollama, PoC, Python, RCE, SOAR, SOC自动化, SQL注入检测, Streamlit, TP/FP追踪, Unmanaged PE, XSS检测, 云存储安全, 云计算, 交互式仪表盘, 企业安全, 告警生成, 大语言模型, 威胁情报, 威胁检测, 安全事件关联, 安全分析师辅助, 安全运营, 安全运营中心, 工单生成, 开发者工具, 开源大模型, 扫描框架, 插件系统, 攻击活动分析, 无后门, 暴力破解, 热力图, 网络安全, 网络安全审计, 网络扫描, 网络映射, 网络资产管理, 自动化响应, 规则引擎, 访问控制, 误报处理, 请求拦截, 逆向工具, 隐私保护, 风险评分