Danush-Aries/network-intrusion-analyzer

GitHub: Danush-Aries/network-intrusion-analyzer

一款 AI 驱动的 Suricata 网络入侵告警分析器,将海量原始告警关联压缩并通过 Claude 进行智能分诊,在终端输出可操作的事件仪表板。

Stars: 0 | Forks: 0

# 网络入侵分析器 **输入 Suricata EVE 日志。输出由 Claude 分诊的事件仪表板。** ![Python](https://img.shields.io/badge/Python-3.11%2B-3776AB?logo=python&logoColor=white) ![Suricata](https://img.shields.io/badge/Suricata-IDS-red) ![Claude](https://img.shields.io/badge/Claude-sonnet--4--6-D97757?logo=anthropic&logoColor=white) ![Rich](https://img.shields.io/badge/UI-Rich-8A2BE2) ![License](https://img.shields.io/badge/License-MIT-yellow) 一款由 AI 驱动的 Suricata 告警分析器。它能解析 EVE JSON 日志,将成千上万条原始告警关联为少数几个连贯的事件,将每个事件发送给 Claude 进行分诊,并渲染出一个带有严重性指示条、威胁摘要和补救步骤的彩色终端仪表板。 ## 为什么开发这个工具 一台配置不当的 Web 服务器每小时就能产生 10,000 条 Suricata 告警,其中大部分都是重复的同一种攻击。人工阅读这些告警是不可能的。该工具将这种海量信息压缩为一小部分事件,并添加 AI 上下文(“这是一次 Log4Shell 探测,可能是自动化的,请封锁 IP 并打补丁”),让你能够在终端内切实采取行动——无需 Kibana。 ## 60 秒内试用 ``` git clone https://github.com/Danush-Aries/network-intrusion-analyzer cd network-intrusion-analyzer pip install -r requirements.txt # 可选:启用 Claude 分类 cp .env.example .env # 添加 ANTHROPIC_API_KEY=... python main.py --input data/sample_eve.json ``` 没有 API key?该工具会自动回退到确定性的基于家族的分诊——仪表板依然可以正常工作。 ## 工作原理 ``` Suricata EVE JSON | v +-- parser/ ---------------+ | JSON array + NDJSON | +-------------|------------+ v +-- correlator/ -----------+ | src IP + attack family | | time-window grouping | +-------------|------------+ v +-- analyzer/ -------------+ | Claude sonnet-4-6 | | (prompt-cached batches) | | fallback: rules-only | +-------------|------------+ v +-- ui/ + reporter/ -------+ | Rich terminal dashboard | | JSON + Markdown export | +--------------------------+ ``` 内置 10 条真实的 Suricata 规则,涵盖端口扫描、SQLi、XSS、SSH/FTP 暴力破解、C2 beacons、DNS/ICMP 隧道、Log4Shell 和 EternalBlue。 ## 截图 ## 技术栈 | 层级 | 技术 | |---|---| | IDS 输入 | Suricata EVE JSON(数组或 NDJSON) | | 解析/关联 | 纯 Python —— 无外部 DB | | AI 分诊 | Anthropic Claude sonnet-4-6,支持 prompt caching | | 回退机制 | 基于规则的确定性分诊(无需 key) | | UI | Rich(终端仪表板、严重性指示条、详情面板) | | 报告 | JSON + Markdown 导出 | ## Danush 的更多作品 属于更广泛的 AI + 安全工具栈的一部分: - [jarvis](https://github.com/Danush-Aries/jarvis) —— 便携式多提供商 AI 助手(语音/Web/CLI) - [breachintel](https://github.com/Danush-Aries/breachintel) —— OSINT 泄露情报聚合器 - [cve-advisor](https://github.com/Danush-Aries/cve-advisor) —— AI 驱动的 CVE 分诊与补丁推荐 - [llm-fragility-lab](https://github.com/Danush-Aries/llm-fragility-lab) —— LLM 鲁棒性对抗测试实验室 - [leakhub](https://github.com/Danush-Aries/leakhub) —— API endpoint 与密钥暴露索引器 - [autonomous-coding-agent](https://github.com/Danush-Aries/autonomous-coding-agent) —— 双 Agent 自主编码系统 由 [Dhanush](https://github.com/Danush-Aries) 构建 —— AI 工程 + 网络安全。 ## 许可证 MIT。
标签:DLL 劫持, Python, Suricata, 告警分析, 大语言模型, 安全运营, 扫描框架, 无后门, 现代安全运营, 终端UI, 逆向工具