geethsuryakalleda18-wq/ai-security-log-analyzer
GitHub: geethsuryakalleda18-wq/ai-security-log-analyzer
基于 Python 的轻量级安全日志分析工具,通过自动化检测和自然语言摘要生成帮助 SOC 团队快速识别网络异常并完成事件分类。
Stars: 0 | Forks: 0
# AI 辅助安全日志分析与网络异常检测
这是一个专注于 SOC 风格日志审查、网络异常检测和事件摘要生成的作品集项目,适用于网络安全、NOC 和网络工程工作流。
## 概述
本项目通过分析身份验证、DNS 和网络流量日志,来识别可疑行为,例如登录失败激增、可疑的 DNS 活动、异常目标端口、被拒绝的防火墙流量以及可能的暴力破解尝试。随后,它会生成实用的事件摘要,供 SOC 分析师、网络工程师和 IT 支持团队在事件分类和升级处理时使用。
本项目特意保持轻量化,并使用 Python 在本地运行。其中的“AI 辅助”部分通过根据分析结果生成的结构化自然语言事件摘要来体现。这使得项目易于运行,同时仍能展示 AI 风格的摘要生成如何支持安全监控和故障排除。
## 功能
- 解析 CSV 安全和网络事件日志
- 根据源 IP 和用户检测登录失败激增
- 标记可疑的 DNS 查询和高风险域名
- 识别被拒绝的防火墙流量和异常目标端口
- 根据严重程度和置信度对分析结果进行评分
- 生成包含证据和建议操作的易读事件摘要
- 实时监控 CSV 日志以获取新事件
- 检查活动的 macOS TCP 连接的高风险端口
- 包含示例日志和测试,便于进行可重复的演示
## 展示技能
- 安全监控与日志分析
- 事件响应分类
- TCP/IP、DNS、身份验证和防火墙故障排除
- Python 脚本与自动化
- SOC 文档与升级处理记录
- 网络异常检测
- 支持漏洞和访问控制审查
## 项目结构
```
ai-security-log-analyzer/
data/
sample_events.csv
src/
ai_security_log_analyzer/
analyzer.py
cli.py
__init__.py
tests/
test_analyzer.py
README.md
requirements.txt
```
## 快速开始
```
python3 -m venv .venv
source .venv/bin/activate
python -m ai_security_log_analyzer.cli data/sample_events.csv
```
如果在未安装包的情况下运行,请设置 `PYTHONPATH`:
```
PYTHONPATH=src python -m ai_security_log_analyzer.cli data/sample_events.csv
```
## 实时日志监控模式
当其他脚本、安全工具或日志导出程序正在向 CSV 文件追加数据行时,请使用监控模式:
```
PYTHONPATH=src python -m ai_security_log_analyzer.cli data/sample_events.csv --watch
```
该工具会监控新增的数据行,并在新事件匹配到可疑登录、DNS、防火墙或高风险端口模式时,输出实时警报。
## Mac 网络快照
运行本地网络快照以查看此 Mac 上的活动 TCP 连接:
```
PYTHONPATH=src python -m ai_security_log_analyzer.cli --mac-snapshot
```
此模式使用 macOS 内置的网络输出,且不需要管理员权限。它是一个用于监控和学习的工具,不能替代杀毒软件、EDR、防火墙策略或托管的 SIEM 覆盖范围。
## 运行测试
```
PYTHONPATH=src python -m unittest discover -s tests
```
## 示例输出
```
High Severity Finding: Failed login spike detected from 203.0.113.24
Evidence: 7 failed login events against admin and vpn.user accounts within the dataset.
Recommended Actions: Validate source IP reputation, review VPN/authentication logs, confirm MFA status, and block or rate-limit the source if activity is unauthorized.
```
## 简历匹配度
本项目可支持以下方面的简历经验:
- SIEM 风格的警报审查
- Linux 和身份验证日志分析
- DNS 和网络流量调查
- 事件响应文档记录
- 端点和访问控制验证
- AI 辅助的事件摘要生成
标签:IP 地址批量处理, Python, 安全运营, 扫描框架, 无后门, 网络异常检测, 逆向工具