parthiv-lalakiya21/AI-Powered-SOC-Analyst-Agent

GitHub: parthiv-lalakiya21/AI-Powered-SOC-Analyst-Agent

该工具利用 Tshark 捕获网络流量并结合 Airia AI 自动检测 ICMP 泛洪、端口扫描和 SSH 暴力破解等安全威胁，生成包含风险评分与 MITRE 映射的结构化分析报告。

Stars: 0 | Forks: 0

# AI 驱动的 SOC 分析师 Agent ## 概述 AI 驱动的 SOC 分析师 Agent 是一个网络安全自动化项目，它结合了 Python、Airia AI、Tshark、Kali Linux 和 Ubuntu，用于模拟安全运营中心 (SOC) 的工作流程。该解决方案可捕获网络流量、检测可疑活动、生成结构化的安全警报，并利用 AI 执行自动化的威胁研判和事件分析。 ## 功能 * 检测 ICMP 泛洪 / 网络流量攻击 * 检测网络侦察和端口扫描活动 * 检测 SSH 暴力破解尝试 * 使用 Tshark 自动进行数据包捕获 * 生成结构化 JSON 格式的警报 * 使用 Airia AI 进行 AI 驱动的威胁分析 * MITRE ATT&CK 映射 * 风险评分和严重性分类 * 自动化事件响应建议 * 使用 Kali Linux 进行真实场景攻击模拟 ## 使用的技术 * Python 3 * Airia AI * Tshark / Wireshark * Kali Linux * Ubuntu 22.04 * Nmap * Hydra * Hping3 * JSON * Requests 库 ## 项目架构 ``` Kali Linux (Attacker) | | ICMP Flood / Nmap Scan / Hydra Attack v Ubuntu Server | | Tshark Packet Capture v Python SOC Agent | | Alert Generation (JSON) v Airia AI | | Threat Classification | Risk Scoring | MITRE ATT&CK Mapping v SOC Triage Report ``` ## 检测能力 | 攻击类型 | 检测内容 | | --------------- | ----------------------------- | | ICMP 泛洪 | 可疑网络流量 | | 端口扫描 | 网络侦察 / 扫描 | | SSH 暴力破解 | 暴力破解尝试 | ## 攻击模拟 ### ICMP 泛洪检测 ``` sudo hping3 --icmp --flood ``` ### 端口扫描检测 ``` nmap -p- ``` ### SSH 暴力破解检测 ``` hydra -l root -P /usr/share/wordlists/rockyou.txt ssh:// ``` ## 警报示例 ``` { "alert_id": "SOC-12345678", "alert_type": "Brute Force Attempt", "indicator_type": "ip", "indicator_value": "192.168.1.20", "destination_ip": "192.168.1.8", "evidence": { "packet_count": 150, "time_window_seconds": 60 } } ``` ## AI 分析示例 ``` { "threat_classification": "Brute Force Attempt", "risk_score": 85, "risk_level": "Critical", "confidence_level": "High", "mitre_mapping": { "technique_id": "T1110", "technique_name": "Brute Force" } } ``` ## 安装说明 ### 克隆仓库 ``` git clone https://github.com/yourusername/ai-soc-analyst-agent.git cd ai-soc-analyst-agent ``` ### 安装依赖 ``` sudo apt update sudo apt install tshark -y pip3 install requests ``` ## 截图 ### Airia 仪表盘 ![Wazuh 仪表盘](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/2602737ddb051112.jpg) ### Kali Linux（攻击者） ![活跃的 Agent](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/ba6c791d0b051120.jpg) ### 输出结果 ![安全警报](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/775da3b19f051122.jpg) ## 项目工作流程 1. 使用 Tshark 捕获网络流量。 2. 将捕获的数据包转换为 CSV 格式。 3. 分析流量模式和安全事件。 4. 根据预定义的阈值检测攻击。 5. 生成结构化的安全警报。 6. 将警报发送至 Airia AI。 7. 接收 AI 生成的威胁分析和响应建议。 ## 学习成果 * 网络流量分析 * 安全监控 * SOC 运营 * 威胁检测 * 事件响应 * MITRE ATT&CK 框架 * AI 辅助安全分析 * 数据包捕获和检查 * 网络安全自动化 ## 作者 Parthiv Lalakiya 网络安全与 SOC 分析师爱好者

标签：Airia AI, AMSI绕过, CTI, Python, SOC分析代理, Tshark, 威胁检测, 插件系统, 无后门, 网络安全, 自动化响应, 逆向工具, 隐私保护