che626/security-llm-platform

# Security LLM Platform 一个用于 SOC 风格分诊的防御性 AI 安全分析工作台：输入原始日志，输出证据、IOC、RAG 上下文、攻击链记录、SOAR playbook 和报告。 ## 为什么开发这个项目 安全 AI 演示通常止步于一个聊天框。本项目专注于分析师或后端审查员可以检查的工作流程： 1. 保留输入证据， 2. 解释为什么会产生某项发现， 3. 检索本地安全知识作为稳定的兜底方案， 4. 通过 API 暴露相同的行为， 5. 生成响应计划而不执行破坏性操作。 ## 审查要点 - **Backend/API**：用于健康检查、聊天、日志分析、IOC 提取、攻击链分析、RAG 检索和 SOAR 模拟的 FastAPI endpoint。 - **AI 安全边界**：默认规则 + RAG 兜底；可选的 model provider 是增强功能，而非必要依赖。 - **安全工作流**：SSH 暴力破解、SQL 注入、扫描和类似 C2 的发现与证据和响应建议相关联。 - **自动化规范**：SOAR playbook 采用 YAML 格式，进行模拟执行，且对于高风险操作具备审批感知能力。 - **可维护性**：包含 CI、pytest 覆盖率、发布检查、文档和明确的限制说明。 - **研究扩展**：DeepSpeed ZeRO / LoRA 脚手架作为未来的实验性工作记录在文档中，并未夸大为生产级训练。 ## 截图 该应用有意避开了花哨的 AI 仪表盘，转向更加紧凑的分析师工作台。    可以在本地审查期间生成更多截图： ``` docs/assets/workbench.png docs/assets/dashboard.png docs/assets/log-analysis.png docs/assets/soar.png docs/assets/api-docs.png ``` 建议的审查流程：登录 -> 加载示例数据 -> 工作台 -> 仪表盘 -> 日志分析器 -> SOAR 生成器 -> FastAPI 文档。 ## 架构 ``` flowchart LR User[Analyst / Reviewer] --> UI[Streamlit Dashboard] UI --> Local[Local Rule + RAG Fallback] UI --> API[FastAPI Backend] API --> Analyze[Security Analysis Services] API --> RAG[Security Knowledge Base] API --> SOAR[SOAR YAML Generator] API --> Model[Optional Ollama / OpenAI-compatible API] Analyze --> Report[Markdown / HTML / CSV Reports] SOAR --> Report ``` 在没有 model server 的情况下，默认行为也是稳定的：当后端或 model provider 不可用时，UI 会回退到基于本地规则的分析和 RAG 模板。 ## 快速开始 ### 1. 创建环境 ``` python -m venv .venv .\.venv\Scripts\activate pip install -r requirements.txt ``` 可选的 ML / vector / DeepSpeed 依赖项： ``` pip install -r requirements-ml.txt ``` ### 2. 启动前端 ``` streamlit run streamlit_app.py ``` 打开： ``` http://localhost:8501 ``` ### 3. 可选后端 ``` python -m uvicorn backend.main:app --host 127.0.0.1 --port 8000 --reload ``` 打开 API 文档： ``` http://127.0.0.1:8000/docs ``` ## 演示账户 这些账户仅供本地演示审查使用： | 用户名 | 密码 | 角色 | |---|---|---| | `admin` | `Admin#2026` | 完整演示访问权限 | | `analyst` | `Analyst#2026` | 分析与响应工作流 | | `researcher` | `Research#2026` | RAG、评估和训练演示 | 请勿在实际部署中重复使用这些凭据。 ## 核心工作流 1. 以 `admin` 身份登录。 2. 点击 **加载示例数据** 来填充仪表盘。 3. 打开 **日志分析器** 并加载混合攻击样本。 4. 审查 IOC 提取和攻击链分析。 5. 生成 SOAR YAML playbook 并模拟执行。 6. 导出 Markdown / HTML / CSV 报告。 7. 查看作为可选研究扩展的 DeepSpeed ZeRO 页面。 ## API 概览 | 方法 | Endpoint | 用途 | |---|---|---| | `GET` | `/health` | 服务健康检查 | | `GET` | `/api/model/config` | 读取本地 model provider 配置 | | `POST` | `/api/model/config` | 更新本地 model provider 配置 | | `POST` | `/api/model/test` | 测试 Ollama model 连通性 | | `POST` | `/api/chat` | RAG 辅助的安全助手 | | `POST` | `/api/log/analyze` | 日志分析、IOC 提取、攻击链 | | `POST` | `/api/flow/explain` | 流量摘要解释 | | `POST` | `/api/ioc/extract` | IOC 提取 | | `POST` | `/api/attack-chain/analyze` | 攻击链重建 | | `POST` | `/api/rag/retrieve` | 知识库查找 | | `POST` | `/api/soar/generate` | 自然语言转 SOAR YAML | | `POST` | `/api/soar/simulate` | 模拟 SOAR 执行 | 更多细节：[docs/API.md](docs/API.md) ## 质量检查 ``` python scripts/check_project.py pytest -q ``` 这些检查涵盖 Python 语法、核心冒烟测试、API 行为、高风险仓库构件和常见的密钥模式。 ## 防御性安全边界 本项目属于防御性和教育性质。它侧重于日志分诊、事件分析、知识查找以及模拟响应规划。不应将其用于生成攻击性利用步骤、规避逻辑、凭据窃取工作流或破坏性自动化操作。 生成的 SOAR 操作默认为模拟执行。诸如拦截或隔离等高风险响应操作需要在生成的 playbook 中进行人工批准。 ## 作品集摘要 可用于简历的描述： ## 文档 - [架构](docs/ARCHITECTURE.md) - [API 参考](docs/API.md) - [部署指南](docs/DEPLOYMENT.md) - [作品集笔记](docs/PORTFOLIO.md) - [使用指南](USAGE_GUIDE.md) ## 许可证 MIT License。详见 [LICENSE](LICENSE)。

标签：AI风险缓解, AV绕过, BurpSuite集成, CISA项目, DLL 劫持, FastAPI, IP 地址批量处理, Kubernetes, Petitpotam, SOAR, SOC分析, Streamlit, 大语言模型, 安全规则引擎, 安全运营, 扫描框架, 插件系统, 检索增强生成, 网络测绘, 访问控制, 逆向工具