Manasvi1412/SentinelAI

# SentinelAI — 驱动的 SOC 与 SIEM 平台      ## 概述 SentinelAI 是一个全栈的安全运营中心 (SOC) 平台，能够接入安全日志，使用 8 个行为检测引擎实时检测攻击，通过实时威胁情报丰富告警，并生成 AI 驱动的事件分析 —— 所有这些都映射到 MITRE ATT&CK 框架。 它被构建为一个功能性的 SIEM 原型，展示了端到端的检测工程、SOC 分析师工作流以及 AI 辅助的事件分诊。 ## 核心功能 ### 8 个检测引擎 — 映射 MITRE ATT&CK | 检测类型 | MITRE ID | 战术 | 方法 | |----------------------|-----------|----------------------|--------| | 暴力破解 | T1110 | 凭据获取 | 基于 IP + 事件类型的窗口化失败登录阈值 | | 端口扫描 | T1046 | 发现 | 基于滚动窗口的单 IP 探测速率分析 | | 恶意软件 C2 IOC | T1071 | 命令与控制 | 针对已知恶意 IP 的 IOC 订阅匹配 | | SQL 注入 | T1190 | 初始访问 | 多模式 payload 特征匹配 | | XSS 攻击 | T1059.007 | 执行 | Web 日志中的脚本/事件处理程序模式检测 | | 权限提升 | T1548 | 权限提升 | 认证日志中的危险 sudo 命令检测 | | 横向移动 | T1021 | 横向移动 | 跨会话的多账户访问关联 | | 数据外泄 | T1041 | 外泄 | 会话级别出站字节量异常 (>5MB) | ### AI 驱动的事件分析器 - 集成 **Groq API (LLaMA-3.3-70b)** 进行动态的、上下文感知的事件分诊 - 自动生成：风险摘要 · IOC 分类 · 攻击者意图 · 5 步补救 playbook - 基于规则的兜底引擎确保在没有 API 密钥的情况下实现 100% 的正常运行时间 ### 双源威胁情报 - **VirusTotal API** — 每个 IP 的恶意软件信誉及检测率 - **AbuseIPDB API** — 滥用置信度得分及报告历史 - 对接入的每个安全事件进行实时情报丰富 ### 攻击模拟引擎 - 8 个攻击场景模拟器：暴力破解、端口扫描、恶意软件 C2、SQLi、XSS、权限提升、横向移动、数据外泄 - 用于 SOC 分析师培训和检测规则验证的完整 APT 杀伤链模拟 ## 架构 ``` SentinelAI/ ├── app.py Flask app + RESTful API routes ├── detections/engine.py 8 behavioral detection algorithms ├── ai_engine/analyst.py Groq API (LLaMA-3.3-70b) + rule-based fallback ├── intelligence/intel.py VirusTotal + AbuseIPDB enrichment ├── collectors/collector.py auth.log parser + 8 attack simulators ├── database/store.py JSON persistence + alert dedup logic └── templates/ 6 analyst-facing dashboard views ├── index.html SOC overview — stats, charts, alert stream ├── alerts.html Alert triage — filter, resolve, bulk-resolve ├── logs.html Real-time event stream ├── incidents.html Incidents grouped by attacker IP + timeline ├── intel.html Threat intel IP lookup └── simulate.html Attack scenario launcher ``` ## 技术栈 | 组件 | 技术 | |-----------|-----------| | 后端 | Python 3.10+, Flask | | AI 分析 | Groq API — LLaMA-3.3-70b-versatile | | 威胁情报 | VirusTotal API, AbuseIPDB API | | 检测逻辑 | 自定义行为算法 | | 日志解析 | 基于 Regex 的 auth.log 收集器 | | 存储 | JSON 文件 (零 ORM 依赖) | | 前端 | HTML/CSS/JS, Jinja2 模板 | ## 快速开始 ``` git clone https://github.com/Manasvi1412/SentinelAI.git cd SentinelAI pip install flask python app.py # 打开 http://localhost:5000 ``` ### 可选 — 启用 AI 与威胁情报 ``` export GROQ_API_KEY=your_key # Free at console.groq.com export VIRUSTOTAL_API_KEY=your_key export ABUSEIPDB_API_KEY=your_key ``` ## 演示的 SOC 分析师工作流 - **告警分诊** — 严重性过滤 (CRITICAL / HIGH / MEDIUM)，批量解决，逐告警 AI 分析 - **事件管理** — 攻击者 IP 分组，完整事件时间线，多向量关联 - **威胁狩猎** — 带有事件类型过滤器的实时日志流，实时检测 pipeline - **威胁情报** — 具有双源信誉评分的按需 IP 丰富 - **检测验证** — 模拟攻击并实时验证检测引擎覆盖率 ## 展示的技能 `SIEM 开发` · `检测工程` · `MITRE ATT&CK` · `事件响应` · `威胁情报` · `IOC 分析` · `日志分析` · `AI 集成` · `REST API 设计` · `SOC 运营`

标签：CISA项目, CSV导出, DLL 劫持, Flask, IP 地址批量处理, PE 加载器, Python, Sysdig, 后端开发, 大语言模型, 威胁情报, 开发者工具, 插件系统, 无后门, 网络安全, 逆向工具, 隐私保护