AI-Security-Internships-2026/02-soc-copilot-threat-analysis

# SOC Co-pilot：LLM 辅助的威胁分析与警报分类评估 ## 研究问题 设计一个由 LLM 驱动的安全运营中心（SOC）co-pilot，能够自动对安全警报进行分类评估，结合威胁情报上下文对其进行丰富，并生成通俗易懂的分析师报告。 ## 目标 1. 针对该主题进行系统性的文献综述。 2. 设计并实现一个概念验证原型。 3. 在真实或基准数据集上评估该原型。 4. 在最终的技术报告中记录研究发现。 5. 向研究小组展示结果。 ## 预期交付物 | 交付物 | 截止日期 | |---|---| | 文献综述（`docs/literature-review.md`） | 第 2 周 | | 架构设计文档（`docs/proposal.md`） | 第 3 周 | | 可运行的原型（`src/`） | 第 6 周 | | 评估结果（`experiments/results/`） | 第 7 周 | | 最终报告（`docs/final-report.md`） | 第 8 周 | ## 推荐技术栈 ``` Python, LangChain, OpenAI API, Elasticsearch, FastAPI, Streamlit ``` 有关锁定的依赖项，请参阅 `requirements.txt`。 ## 每周工作流程 ``` Monday – Review weekly tasks in tasks/week-XX.md Tue–Thu – Implementation / experiments Friday – Document progress in docs/weekly-progress.md Friday – Open weekly Pull Request from your branch → dev ``` ## 分支策略 | 分支 | 用途 | |---|---| | `main` | 仅限经过主管审核的稳定代码 | | `dev` | 集成分支 —— 在此处合并每周的 PR | | `-week-XX` | 你每周的工作分支 | **学生严禁直接推送到 `main`。** ## Pull Request 策略 - 每周一个 PR，指向 `dev` 分支。 - PR 标题格式：`[Week XX] 简要描述` - PR 描述必须引用每周的任务文件，并概述所完成的工作。 - 在合并之前，必须由主管或同学进行审查。 ## 入门指南 ``` # 1. Clone the repository git clone https://github.com/AI-Security-Internships-2026/02-soc-copilot-threat-analysis.git cd 02-soc-copilot-threat-analysis # 2. 创建并激活 virtual environment python -m venv .venv source .venv/bin/activate # Windows: .venv\Scripts\activate # 3. Install dependencies pip install -r requirements.txt # 4. 创建你的 weekly branch git checkout dev git pull origin dev git checkout -b your-name-week-01 # 5. 运行 starter script python src/main.py ``` ## 主管说明 本仓库由 **CNIT/PNTLab Pisa, TECIP, Scuola Superiore Sant'Anna** 管理。 在进行架构更改之前，请联系你的主管。 所有代码必须是原创的，或已正确注明出处。 **不要**提交 API 密钥、密码或大型数据集 —— 请参阅 `.gitignore`。

标签：AV绕过, DLL 劫持, FastAPI, Kubernetes, LangChain, Petitpotam, Python, 告警分诊, 大语言模型, 威胁情报, 安全运营, 开发者工具, 扫描框架, 无后门, 轻量级, 逆向工具