prudhvichalla/okta-threat-intelligence

# Okta 身份威胁情报系统 基于 ML 的安全分析系统，用于检测 Okta 日志中的真实身份威胁——暴力破解、撞库以及异常用户行为。 ## 实时仪表盘 [查看交互式 Tableau 仪表盘](#) ← 替换为您的 Tableau Public 链接 ## 项目概述 该系统分析了 5 天内 14 个用户和 6 个 IP 地址的 5,027 条真实 Okta 身份事件，使用基于规则和机器学习的方法自动检测和评估安全威胁。 ## 主要发现 - 检测到 2 个 IP 参与撞库（风险评分 100/100） - 将 mgr.henderson 标记为最高风险账户（24 次失败） - ML 模型将 kpatel 识别为最异常用户（94.2/100），尽管其活动量较低 - 检测到凌晨 3 点的非工作时间活动——无任何合法的业务理由 ## 技术栈 | 工具 | 用途 | |------|---------| | Python | 数据处理与 ML 检测引擎 | | pandas | 日志解析与特征工程 | | scikit-learn | Isolation Forest 异常检测 | | matplotlib | 探索性可视化 | | Tableau Public | 交互式威胁仪表盘 | | GitHub | 版本控制与项目展示 | ## 检测方法 1. **暴力破解检测**——标记在单小时内失败 3 次或以上的用户 2. **撞库检测**——标记针对 3 个或以上不同账户的 IP 3. **非工作时间检测**——标记早上 6 点之前或晚上 9 点之后的活动 4. **ML 异常检测**——基于用户行为特征的 Isolation Forest ## 项目结构 okta-threat-intelligence/ ├── data/ │ └── clean_logs.csv.xlsx ├── notebooks/ │ ├── 01_explore.py │ ├── 02_detection_engine.py │ └── 03_tableau_prep.py └── README.md ## 结果 - 识别出 3 个严重风险用户 - 检测到 2 个撞库 IP - 分析得出的成功率为 97.7%，失败率为 2.3% - 实施了 4 种威胁检测方法

标签：Apex, CCTV/网络接口发现, Isolation Forest, Okta, pandas, PoC, Python, scikit-learn, Streamlit, Tableau, 凭证填充, 威胁情报, 安全仪表盘, 开发者工具, 异常检测, 异常行为检测, 数据科学, 无后门, 暴力破解, 机器学习, 特征工程, 红队行动, 网络安全, 访问控制, 资源验证, 身份威胁检测, 逆向工具, 隐私保护, 零信任架构