deadpoet/mainframe_security_intelligence_platform

GitHub: deadpoet/mainframe_security_intelligence_platform

基于多智能体 AI 的 z/OS RACF 安全日志分析平台,实现大型机威胁自动检测与修复命令生成。

Stars: 1 | Forks: 1

# 大型机 RACF SIEM 智能体 **一个代理式 AI 系统,用于分析合成的 SMF Type 80 (RACF) 日志以检测安全事件、执行威胁狩猎,并推荐针对 z/OS 的修复步骤。** [![Python](https://img.shields.io/badge/Python-3.11+-blue.svg)](https://www.python.org/) [![crewAI](https://img.shields.io/badge/crewAI-0.51+-orange.svg)](https://www.crewai.com/) [![RAG](https://img.shields.io/badge/RAG-Enabled-green.svg)]() ## 🎯 项目目标 将**传统 z/OS 大型机安全**(RACF + SMF 日志记录)与**现代 AI 驱动的 SIEM** 功能相结合。 本项目演示了如何应用代理式 AI(crewAI + RAG)来解析复杂的大型机安全日志——这在联邦政府、金融和企业环境中是一项罕见且极具价值的技能。 ## ✨ 主要特性 - **合成 SMF/RACF 日志生成器** - 创建带有注入攻击场景(暴力破解、访问违规、权限提升)的真实日志 - **多智能体 AI 工作流**: - **日志解析智能体** - 接收并结构化原始 SMF 样式日志 - **威胁狩猎智能体** - 使用 RAG 将事件与已知的大型机攻击模式进行匹配 - **事件响应智能体** - 生成通俗易懂的摘要以及 z/OS 修复命令 (JCL/TSO) - **知识库** - IBM Redbooks、RACF 最佳实践以及针对 z/OS / 大型机的 MITRE ATT&CK - **专业报告** - 整洁且符合审计要求的事件报告 ## 🛠️ 技术栈 - **编排**:crewAI + LangChain - **LLM**:Google Gemini(通过 Google AI Studio) - **RAG**:Chroma 向量数据库 - **数据**:JSON/CSV 格式的合成 SMF Type 80 (RACF) 日志 - **语言**:Python 3.11+ ## 🚀 快速开始 1. **克隆代码库** git clone https://github.com/deadpoet/mainframe-racf-siem-agent.git cd mainframe-racf-siem-agent 2. **安装依赖项** pip install -r requirements.txt 3. **生成合成日志** python mock_mainframe_smf.py 4. **运行 AI 智能体(即将推出 - 目前正在开发中)** python run_agent.py ### 安装说明 请确保您的系统上已安装 Python >=3.10 <3.14。本项目使用 [UV](https://docs.astral.sh/uv/) 进行依赖管理和包处理,提供无缝的设置和执行体验。 首先,如果您尚未安装,请安装 uv: ``` pip install uv ``` 接下来,导航到您的项目目录并安装依赖项: (可选)使用 CLI 命令锁定依赖项并进行安装: ``` crewai install ``` ### 自定义说明 **将您的 `OPENAI_API_KEY` 添加到 `.env` 文件中** - 修改 `src/mainframe_security_intelligence_platform/config/agents.yaml` 来定义您的智能体 - 修改 `src/mainframe_security_intelligence_platform/config/tasks.yaml` 来定义您的任务 - 修改 `src/mainframe_security_intelligence_platform/crew.py` 来添加您自己的逻辑、工具和特定参数 - 修改 `src/mainframe_security_intelligence_platform/main.py` 来为您的智能体和任务添加自定义输入 ## 📊 示例输出 - **检测到的事件:** - 高严重性:用户 BRUTEFORCE 从 IP 192.168.45.112 针对 TSO.LOGON 发生多次 RACF 登录失败(8 分钟内尝试 12 次)。 - 可能的攻击:凭据暴力破解攻击。 - **建议措施:** REVOKE BRUTEFORCE SETROPTS REFRESH RACLIST(GENERIC) SEARCH FILTER(UID(==BRUTEFORCE)) ## 🎓 为什么这个项目很重要 - 展示了深度的 z/OS + RACF 领域知识 - 展示了 AI 在传统系统中的实际应用(在政府和金融部门极受青睐) - 适合作为网络安全分析师、云安全、GRC 以及大型机安全职位的作品集项目 ## 🔮 未来增强计划 - 实时日志流模拟 - 与开源 SIEM(Wazuh / ELK)集成 - Web UI(Streamlit),用于日志上传和分析 - 支持额外的 SMF 记录类型(Type 30、110 等) 作者:deadpoet 专注领域:大型机安全 | 云安全 | AI 增强的网络安全
标签:Agentic AI, Chroma, crewAI, CSV导出, IBM, JCL, LangChain, PFX证书, PoC, PyRIT, Python, RACF, RAG, Ruby, SMF日志, TSO, z/OS, 人工智能代理, 企业安全, 协议分析, 合成数据, 向量数据库, 多智能体系统, 大型机安全, 子域名变形, 安全信息与事件管理, 安全报告, 搜索引擎爬取, 攻击检测, 数字取证, 数据生成, 无后门, 日志解析, 暴力破解, 权限提升, 检索增强生成, 漏洞修复, 知识库, 红队行动, 网络安全培训, 网络资产管理, 自动化脚本, 访问违规, 证书伪造, 轻量级, 逆向工具, 遗留系统, 金融安全