jaideeprajdutta/AI-Based-Junior-SOCAnalyst

# 基于AI的本地网络监控与SOC分析师 一个强大的本地网络监控解决方案，可捕获可疑流量并利用AI进行智能威胁分类与事件响应。 ## 概述 此工具使用 `tshark` 监控本地网络流量以识别潜在威胁（特别关注 ICMP 洪泛模式）。当基于可配置阈值检测到可疑活动时，它会生成详细的 JSON 告警，并将其卸载到 AI 驱动的分析引擎（Airia）进行自动分类、风险评分和缓解策略生成。 ### 主要功能 - **实时流量捕获：** 使用 `tshark` 进行高性能数据包分析。 - **自动分类：** 将原始网络数据转换为可操作的安全告警。 - **AI 驱动分析：** 与 Airia AI 集成，提供执行摘要和 MITRE ATT&CK 映射。 - **可配置阈值：** 通过环境变量轻松调整监控灵敏度。 ## 前置条件 - **Python 3.8+** - **Wireshark/tshark：** 确保 `tshark` 已安装并在系统 PATH 中可用。 - *Linux:* `sudo apt install tshark` - *macOS:* `brew install wireshark` - *Windows:* 安装 Wireshark 并将 tshark 包含在 PATH 中。 - **Airia AI 账户：** 需要从 [Airia.ai](https://airia.ai) 获取有效的 API 密钥和 Pipeline ID。 ## 安装与设置 1. **克隆仓库：** git clone https://github.com/your-username/AI-Based-Junior-SOC.git cd AI-Based-Junior-SOC 2. **安装依赖：** pip install -r requirements.txt 3. **配置环境变量：** 复制示例配置文件并填入您的详细信息： cp .env.example .env 编辑 `.env` 文件，提供您的特定网络接口、目标 IP 和 Airia API 凭据。 ## 使用方法 1. **启动 SOC 监控器：** python app/main.py 2. **监控流程：** - 脚本将在指定接口上持续捕获流量。 - 如果流量超过定义的 `SOC_THRESHOLD`，则会在 `alerts/` 目录中生成告警。 - 然后，告警将发送至 AI 引擎进行详细分析。 - 分析报告将打印到控制台并本地存储。 ## 贡献者 我们欢迎社区的贡献！有关我们的行为准则和提交拉取请求的流程详情，请参阅 [贡献指南](CONTRIBUTING.md)。 ## 许可证 本项目根据 MIT 许可证授权 - 详情请参阅 [许可证文件](LICENSE)。（注意：请确保根目录中存在 LICENSE 文件。）

标签：AI驱动分析, AMSI绕过, Apex, Cloudflare, ICMP洪水检测, MITRE ATT&CK, Python, TShark, 事件分类, 人工智能, 威胁情报, 威胁检测, 安全警报分类, 安全运营中心, 开发者工具, 攻击面映射, 无后门, 本地网络监控, 机器学习, 用户模式Hook绕过, 结构化查询, 网络安全, 网络映射, 自动化安全, 逆向工具, 隐私保护, 风险评分