luisforni/autonomous-ai-soc

# AI-SOC — 自主网络安全运营中心 [](https://python.org) [](https://fastapi.tiangolo.com) [](https://nextjs.org) [](LICENSE) 完全自主的 AI 驱动的安全运营中心平台。实时检测、分析和响应网络威胁。专为保护银行、医院、政府和中型企业而设计，支持 **14 个 AI 供应商** — 云端 API 和本地模型。**126 个专业代理。**包含完整的 Next.js 14 Web 界面，支持 PDF 报告、10 种语言的 i18n 以及实时仪表板。 ## 架构 ``` ┌─────────────────────────────────────────────────────┐ │ FastAPI REST API │ ├─────────────────────────────────────────────────────┤ │ Orchestrator │ │ (concurrencia, despacho, incidentes) │ ├──────────┬──────────┬──────────┬────────────────────┤ │Monitoring│ Threats │ Cloud │ Specialized │ │ (15 ag.) │ (20 ag.) │ (15 ag.) │ (10 ag.) │ ├──────────┬──────────┬──────────┬────────────────────┤ │OS Analys.│Containers│Compliance│ Analytics │ │ (10 ag.) │ (10 ag.) │ (10 ag.) │ (6 ag.) │ ├──────────┴──────────┴──────────┴────────────────────┤ │ AI Provider Layer (14 providers) │ │ Anthropic · OpenAI · Gemini · Bedrock · Mistral │ │ Groq · Cohere · Together · Perplexity · Ollama │ │ LM Studio · vLLM · llama.cpp · Azure OpenAI │ ├─────────────────────────────────────────────────────┤ │ PostgreSQL/TimescaleDB │ Redis │ Elasticsearch │ └─────────────────────────────────────────────────────┘ ``` ## 支持的 AI 供应商 | 供应商 | 类型 | 推荐模型 | |-----------|------|----------------------| | **Anthropic** | 云端 API | claude-opus-4-8, claude-sonnet-4-6 | | **OpenAI** | 云端 API | gpt-4o, gpt-4o-mini | | **Azure OpenAI** | 云端 API | gpt-4o (自定义 deployment) | | **Google Gemini** | 云端 API | gemini-1.5-pro, gemini-1.5-flash | | **AWS Bedrock** | 云端 API | anthropic.claude-opus-4-8-v1:0 | | **Mistral** | 云端 API | mistral-large-latest | | **Groq** | 云端 API (LPU) | llama-3.3-70b-versatile | | **Cohere** | 云端 API | command-r-plus | | **Together AI** | 云端 API | Llama-3.3-70B-Instruct-Turbo | | **Perplexity** | 云端 API | llama-3.1-sonar-large-128k-online | | **Ollama** | 本地 | llama3.3, mistral, phi4, qwen2.5 | | **LM Studio** | 本地 | 任何 GGUF | | **vLLM** | 本地 | Llama-3.3-70B-Instruct | | **llama.cpp** | 本地 | 任何 GGUF | ## 代理 (126) ### 监控 (15) | 代理 | 功能 | |--------|---------| | `SIEMMonitorAgent` | 集中式 SIEM 监控 | | `LogAnalyzerAgent` | 智能 log 分析 | | `NetworkTrafficMonitorAgent` | 网络流量监控 | | `PacketAnalyzerAgent` | 深度包检测 (DPI) | | `DNSMonitorAgent` | 检测 DNS tunneling 和 DGA | | `HTTPSMonitorAgent` | HTTPS 流量检测 | | `EmailSecurityMonitorAgent` | 电子邮件安全 | | `FileIntegrityMonitorAgent` | 文件完整性监控 | | `DatabaseActivityMonitorAgent` | 数据库活动监控 | | `APISecurityMonitorAgent` | 实时 API 安全 | | `EndpointMonitorAgent` | 端点监控 | | `CloudActivityMonitorAgent` | 云环境活动 | | `IdentityAccessMonitorAgent` | 身份与访问监控 | | `PrivilegedAccessMonitorAgent` | PAM — 特权访问 | | `ComplianceMonitorAgent` | 持续合规监控 | ### 操作系统分析 (10) | 代理 | 功能 | |--------|---------| | `LinuxAnalyzerAgent` | Linux 安全分析 | | `WindowsAnalyzerAgent` | Windows 安全分析 | | `MacOSAnalyzerAgent` | macOS 安全分析 | | `LinuxForensicsAgent` | Linux 系统取证 | | `WindowsForensicsAgent` | Windows 系统取证 | | `LinuxHardeningAgent` | Linux 系统加固 | | `WindowsHardeningAgent` | Windows 系统加固 | | `PatchManagementAgent` | 补丁与漏洞管理 | | `RegistryAnalyzerAgent` | Windows 注册表分析 | | `SyslogAnalyzerAgent` | syslog 分析 | ### 云 (15) | 代理 | 功能 | |--------|---------| | `CloudAnalyzerAgent` | 多云分析 | | `AWSAnalyzerAgent` | AWS 安全 | | `AzureAnalyzerAgent` | Azure 安全 | | `GCPAnalyzerAgent` | Google Cloud 安全 | | `AWSCloudTrailAgent` | CloudTrail 审计 | | `AWSGuardDutyAgent` | GuardDuty 集成 | | `AzureSentinelAgent` | Microsoft Sentinel 集成 | | `AzureADAnalyzerAgent` | Azure Active Directory 安全 | | `GCPCloudArmorAgent` | Google Cloud Armor | | `S3SecurityAgent` | S3 存储桶安全 | | `IAMAnalyzerAgent` | IAM 策略分析 | | `ServerlessSecurityAgent` | serverless 功能安全 | | `CloudStorageAnalyzerAgent` | 云存储安全 | | `CloudNetworkAnalyzerAgent` | 云网络安全 | | `MultiCloudPostureAgent` | 多云安全态势 | ### 容器 (10) | 代理 | 功能 | |--------|---------| | `KubernetesAnalyzerAgent` | Kubernetes 集群安全 | | `DockerAnalyzerAgent` | Docker 容器安全 | | `ContainerImageScannerAgent` | 容器镜像扫描 | | `KubernetesRBACAgent` | Kubernetes RBAC | | `PodSecurityAgent` | Pod 安全 | | `ContainerNetworkAgent` | 容器网络安全 | | `HelmChartAnalyzerAgent` | Helm Charts 分析 | | `ServiceMeshAnalyzerAgent` | service mesh 安全 (Istio) | | `ContainerRegistryAgent` | 容器镜像仓库安全 | | `K8sAdmissionControllerAgent` | K8s Admission controller | ### 威胁检测 (20) | 代理 | 功能 | |--------|---------| | `MalwareDetectorAgent` | 恶意软件检测 | | `PhishingDetectorAgent` | 网络钓鱼检测 | | `RansomwareDetectorAgent` | 勒索软件检测 | | `APTDetectorAgent` | APT 检测 | | `LateralMovementDetectorAgent` | 横向移动检测 | | `DataExfiltrationDetectorAgent` | 数据泄露检测 | | `PrivilegeEscalationDetectorAgent` | 权限提升检测 | | `BruteForceDetectorAgent` | 暴力破解检测 | | `SQLInjectionDetectorAgent` | SQL 注入检测 | | `XSSDetectorAgent` | XSS 检测 | | `ZeroDayDetectorAgent` | 0-day 检测 | | `InsiderThreatDetectorAgent` | 内部威胁检测 | | `DDoSDetectorAgent` | DDoS 检测 | | `C2DetectorAgent` | C2/C&C 检测 | | `CryptominingDetectorAgent` | 加密挖矿检测 | | `RootkitDetectorAgent` | Rootkit 检测 | | `FilelessMalwareDetectorAgent` | 无文件恶意软件检测 | | `SupplyChainDetectorAgent` | 供应链攻击检测 | | `SocialEngineeringDetectorAgent` | 社会工程学检测 | | `AnomalyDetectorAgent` | 基于 AI 的异常检测 | ### 威胁情报 (15) | 代理 | 功能 | |--------|---------| | `OSINTInvestigatorAgent` | OSINT 调查 | | `ThreatIntelAggregatorAgent` | 情报聚合 | | `IOCEnricherAgent` | IOC 富化 | | `CVEAnalyzerAgent` | CVE 分析 | | `DarkWebMonitorAgent` | 暗网监控 | | `ThreatActorProfilerAgent` | 威胁行为者画像 | | `MITREATTACKAnalyzerAgent` | MITRE ATT&CK 框架 | | `VulnerabilityIntelAgent` | 漏洞情报 | | `BrandProtectionAgent` | 品牌保护 | | `DomainIntelligenceAgent` | 域名情报 | | `IPReputationAgent` | IP 信誉 | | `CertificateTransparencyAgent` | 证书透明度 | | `PasteSiteMonitorAgent` | pastebin/网站监控 | | `SocialMediaIntelAgent` | 社交媒体情报 | | `GeolocationAnalyzerAgent` | 地理位置分析 | ### 事件响应 (15) | 代理 | 功能 | |--------|---------| | `IncidentResponderAgent` | 响应协调 | | `AutoRemediationAgent` | 自动修复 | | `ForensicsCollectorAgent` | 取证收集 | | `MemoryForensicsAgent` | 内存取证 | | `DiskForensicsAgent` | 磁盘取证 | | `NetworkForensicsAgent` | 网络取证 | | `EvidenceCollectorAgent` | 证据收集 | | `ChainOfCustodyAgent` | 数字监管链 | | `IsolationAgent` | 隔离受损系统 | | `PasswordResetAgent` | 大规模凭据重置 | | `AccountLockoutAgent` | 锁定受损账户 | | `FirewallRuleManagerAgent` | 防火墙规则管理 | | `BackupRecoveryAgent` | 从备份恢复 | | `PostIncidentAnalyzerAgent` | 事后分析 | | `LessonsLearnedAgent` | 经验教训 | ### 合规 (10) | 代理 | 功能 | |--------|---------| | `ComplianceAuditorAgent` | 合规审计 | | `ReportGeneratorAgent` | 报告生成 | | `ExecutiveDashboardAgent` | 执行仪表板 | | `SLAMonitorAgent` | SLA 监控 | | `KPITrackerAgent` | 安全 KPI 跟踪 | | `RiskScorerAgent` | 风险评分 | | `AuditTrailManagerAgent` | 审计跟踪管理 | | `PolicyEnforcerAgent` | 策略执行 | | `SecurityScorecardAgent` | 安全记分卡 | | `RegulatoryReporterAgent` | 监管报告 (GDPR, HIPAA, PCI) | ### 高级分析 (6) | 代理 | 功能 | |--------|---------| | `UEBAAnalyzerAgent` | 用户与实体行为分析 — 内部威胁检测 | | `ThreatHunterAgent` | 主动搜索高级威胁 (APT, LOLBins, C2) | | `DeceptionManagerAgent` | Honeypots、canary token 和主动诱捕 | | `NetworkBaselinerAgent` | 网络基线及 drift/异常检测 | | `VulnerabilityManagerAgent` | 漏洞管理与优先级排序 (CVSS + EPSS + KEV) | | `SOAROrchestatorAgent` | 使用 playbook 编排自动化响应 | ### 特定行业专业 (10) | 代理 | 行业 | |--------|---------| | `BankingSecurityAgent` | 银行与金融科技 | | `HealthcareSecurityAgent` | 医院与医疗保健 | | `GovernmentSecurityAgent` | 政府与关键基础设施 | | `ICSAnalyzerAgent` | ICS/SCADA 与工业 | | `MobileSecurityAgent` | 移动安全 | | `IoTSecurityAgent` | 物联网 | | `BlockchainSecurityAgent` | 区块链与 DeFi | | `AIMLSecurityAgent` | AI/ML 系统安全 | | `CodeSecurityAgent` | DevSecOps 与代码 | | `APIGatewaySecurityAgent` | API 网关 | ## 技术栈 | 层级 | 技术 | |------|------------| | 前端 | Next.js 14 App Router + Tailwind CSS | | API | FastAPI + Uvicorn | | AI | 14 个供应商 (云端 + 本地) | | 数据库 | PostgreSQL + TimescaleDB | | 缓存 | Redis | | 搜索/SIEM | Elasticsearch | | 消息传递 | Kafka / Redis Pub/Sub | | 监控 | Prometheus + Grafana | | 容器 | Docker + Kubernetes | | CI/CD | GitHub Actions | ## 快速开始 ### 1. 克隆并配置 ``` git clone https://github.com/luisforni/autonomous-ai-soc.git cd autonomous-ai-soc cp .env.example .env ``` ### 2. 在 `.env` 中选择 AI 供应商 ``` # 云端（需要 API key） AI_PROVIDER=anthropic ANTHROPIC_API_KEY=sk-ant-... # 本地无网络（需要已安装 Ollama） AI_PROVIDER=ollama OLLAMA_MODEL=llama3.3 # ollama pull llama3.3 ``` ### 3. 启动基础设施 ``` make docker-up ``` ### 4. 安装依赖并运行 ``` make install make dev ``` ### 5. 验证 ``` curl http://localhost:8888/health curl http://localhost:8888/api/v1/agents ``` ### 6. 访问 Web 界面 打开 [http://localhost:3030](http://localhost:3030) — 仪表板、目标扫描、126 个代理、警报、文档以及 PDF 报告导出。 ## 端口 | 服务 | 端口 | |----------|--------| | 后端 API | http://localhost:8888 | | 前端 | http://localhost:3030 | | Kibana | http://localhost:5602 | | Prometheus | http://localhost:9292 | | Grafana | http://localhost:3004 (admin / aisoc2024) | ## 客户行业 - **银行与金融科技** — PCI-DSS、SWIFT、实时欺诈检测 - **医院与医疗保健** — HIPAA 合规、患者数据保护 - **政府** — 国家安全、关键基础设施保护 - **中型企业** — SOC-as-a-Service、24/7 保护 ## Web 界 - **仪表板** — 实时指标、风险评分、最新警报 - **扫描** — 使用 126 个代理并行分析域名、IP 和 URL - **代理** — 包含类别、优先级和状态的完整目录 - **警报** — 包含严重性、代理和时间戳的 feed - **文档** — 所有代理的指南，包含 MITRE 技术、风险和工具 - **PDF 报告** — 执行导出，包含摘要、代理表格和详细结果 - **i18n** — 西班牙语、英语、葡萄牙语、法语、德语、意大利语、中文、日语、阿拉伯语、俄语 ## 作者 **Luis Forni** — 安全架构师 & 主开发人员 *AI-SOC — 由人工智能驱动的自主网络安全*

标签：AI安全运营中心, AMSI绕过, AV绕过, FastAPI, GitHub, OSINT调查, Python, 动态调试, 域环境安全, 多智能体编排, 威胁检测, 子域名突变, 实时处理, 搜索引擎查询, 无后门, 测试用例, 自动化响应, 自定义DNS解析器, 自定义请求头, 请求拦截, 逆向工具