Danush-Aries/network-intrusion-analyzer
GitHub: Danush-Aries/network-intrusion-analyzer
一款 AI 驱动的 Suricata 网络入侵告警分析器,将海量原始告警关联压缩并通过 Claude 进行智能分诊,在终端输出可操作的事件仪表板。
Stars: 0 | Forks: 0
# 网络入侵分析器
**输入 Suricata EVE 日志。输出由 Claude 分诊的事件仪表板。**





一款由 AI 驱动的 Suricata 告警分析器。它能解析 EVE JSON 日志,将成千上万条原始告警关联为少数几个连贯的事件,将每个事件发送给 Claude 进行分诊,并渲染出一个带有严重性指示条、威胁摘要和补救步骤的彩色终端仪表板。
## 为什么开发这个工具
一台配置不当的 Web 服务器每小时就能产生 10,000 条 Suricata 告警,其中大部分都是重复的同一种攻击。人工阅读这些告警是不可能的。该工具将这种海量信息压缩为一小部分事件,并添加 AI 上下文(“这是一次 Log4Shell 探测,可能是自动化的,请封锁 IP 并打补丁”),让你能够在终端内切实采取行动——无需 Kibana。
## 60 秒内试用
```
git clone https://github.com/Danush-Aries/network-intrusion-analyzer
cd network-intrusion-analyzer
pip install -r requirements.txt
# 可选:启用 Claude 分类
cp .env.example .env
# 添加 ANTHROPIC_API_KEY=...
python main.py --input data/sample_eve.json
```
没有 API key?该工具会自动回退到确定性的基于家族的分诊——仪表板依然可以正常工作。
## 工作原理
```
Suricata EVE JSON
|
v
+-- parser/ ---------------+
| JSON array + NDJSON |
+-------------|------------+
v
+-- correlator/ -----------+
| src IP + attack family |
| time-window grouping |
+-------------|------------+
v
+-- analyzer/ -------------+
| Claude sonnet-4-6 |
| (prompt-cached batches) |
| fallback: rules-only |
+-------------|------------+
v
+-- ui/ + reporter/ -------+
| Rich terminal dashboard |
| JSON + Markdown export |
+--------------------------+
```
内置 10 条真实的 Suricata 规则,涵盖端口扫描、SQLi、XSS、SSH/FTP 暴力破解、C2 beacons、DNS/ICMP 隧道、Log4Shell 和 EternalBlue。
## 截图
## 技术栈
| 层级 | 技术 |
|---|---|
| IDS 输入 | Suricata EVE JSON(数组或 NDJSON) |
| 解析/关联 | 纯 Python —— 无外部 DB |
| AI 分诊 | Anthropic Claude sonnet-4-6,支持 prompt caching |
| 回退机制 | 基于规则的确定性分诊(无需 key) |
| UI | Rich(终端仪表板、严重性指示条、详情面板) |
| 报告 | JSON + Markdown 导出 |
## Danush 的更多作品
属于更广泛的 AI + 安全工具栈的一部分:
- [jarvis](https://github.com/Danush-Aries/jarvis) —— 便携式多提供商 AI 助手(语音/Web/CLI)
- [breachintel](https://github.com/Danush-Aries/breachintel) —— OSINT 泄露情报聚合器
- [cve-advisor](https://github.com/Danush-Aries/cve-advisor) —— AI 驱动的 CVE 分诊与补丁推荐
- [llm-fragility-lab](https://github.com/Danush-Aries/llm-fragility-lab) —— LLM 鲁棒性对抗测试实验室
- [leakhub](https://github.com/Danush-Aries/leakhub) —— API endpoint 与密钥暴露索引器
- [autonomous-coding-agent](https://github.com/Danush-Aries/autonomous-coding-agent) —— 双 Agent 自主编码系统
由 [Dhanush](https://github.com/Danush-Aries) 构建 —— AI 工程 + 网络安全。
## 许可证
MIT。
标签:DLL 劫持, Python, Suricata, 告警分析, 大语言模型, 安全运营, 扫描框架, 无后门, 现代安全运营, 终端UI, 逆向工具