AbhishekJoshi1209/Threat-Detection-System
GitHub: AbhishekJoshi1209/Threat-Detection-System
一个全栈实时安全运营中心(SOC)仪表板项目,结合规则引擎与 Isolation Forest 机器学习对模拟服务器日志进行多层威胁检测和可视化。
Stars: 0 | Forks: 0
# ThreatScope — 安全威胁检测系统
一个全栈安全监控作品集项目,具备实时日志摄取、多层威胁检测(基于规则 + ML 异常检测)以及实时 React 仪表板。
## 架构
```
┌─────────────────┐ ┌──────────────┐ ┌──────────────────┐
│ Log Generator │───▶│ Log Parser │───▶│ Detection Engine │
│ (Mock Traffic) │ │ (Validation) │ │ (Rules + ML) │
└─────────────────┘ └──────────────┘ └────────┬─────────┘
│
┌──────▼──────┐
│ SQLite DB │
│ (Alerts) │
└──────┬──────┘
│
┌──────────▼──────────┐
│ FastAPI Server │
│ REST + WebSocket │
└──────────┬──────────┘
│
┌──────────▼──────────┐
│ React Dashboard │
│ (Vite + Tailwind) │
└─────────────────────┘
```
## 功能
### 后端 (Python)
- **模拟日志生成器** — 持续生成 JSON 日志流,并注入逼真的攻击模式
- **实时解析器** — 验证、丰富并规范化流式日志
- **基于规则的检测** — 暴力破解、不可能的行程、凭证填充、可疑的 user-agent、权限提升
- **ML 异常检测** — 使用 IsolationForest 进行行为异常标记
- **SQLite 告警存储** — 持久化告警数据库,支持索引查询
- **FastAPI 服务器** — 提供 REST API + WebSocket 用于实时仪表板数据推送
### 前端 (React + Tailwind CSS)
- **指标栏** — 动画 KPI 卡片(日志、告警、IP、威胁等级)
- **告警信息流** — 按严重程度颜色编码的实时威胁列表,带有滑入动画
- **时间序列图表** — Recharts 双轴面积图(日志量 + 告警频率)
- **模拟数据回退** — 仪表板在后端不可用时也可独立运行
## 快速开始
### 后端
```
cd backend
pip install -r requirements.txt
python main.py
```
API 启动于 `http://localhost:8000`。
### 前端
```
cd frontend
npm install
npm run dev
```
仪表板将在 `http://localhost:5173` 打开,并将 API 调用代理到后端。
## API Endpoints
| Method | Endpoint | Description |
|--------|----------|-------------|
| GET | `/api/metrics` | 聚合的日志/告警指标 |
| GET | `/api/alerts?limit=50&severity=` | 最近的告警,支持过滤 |
| GET | `/api/timeseries?window=60` | 每分钟的日志和告警计数 |
| WebSocket | `/ws/feed` | 实时告警和指标更新 |
## 检测规则
| 规则 | 触发条件 | 严重程度 |
|------|---------|----------|
| 暴力破解 | 同一 IP 在 60 秒内 >5 次登录失败 | Critical |
| 不可能的行程 | 同一用户在 1 小时内从相距 >5000km 的两个地理位置访问 | Critical |
| 凭证填充 | 120 秒内针对不同用户的登录失败次数 >10 | High |
| 可疑的 User-Agent | 已知的扫描器特征 (sqlmap, nikto, nmap, masscan) | Medium |
| 权限提升 | 在 ≥2 次失败尝试后成功执行管理员操作 | High |
| 异常行为 | IsolationForest 标记异常流量模式 | High |
## 技术栈
- **Python 3.10+** — asyncio, FastAPI, uvicorn, aiosqlite, scikit-learn
- **React 18** — Vite, Tailwind CSS v3, Recharts
- **SQLite** — 轻量级嵌入式告警存储
标签:AMSI绕过, AV绕过, FastAPI, React, Syscalls, 威胁检测, 安全运营中心, 异常检测, 网络映射, 计算机取证, 逆向工具