AI-Guardian

AI-Native Security Operations Platform

智能驱动 · 证据闭环 · 协同处置 · 经验沉淀

Agent-Driven Network Security Traffic Monitoring & Analysis Platform The next-generation AI-powered security operations collaboration platform. It features intelligent alert triage, asset correlation, coordinated incident response, and automated report generation. This platform serves as a formidable new tool for safeguarding network operations. --- ## 什么是 AI-Guardian **AI-Guardian** 是一款以 **AI Agent** 为核心引擎的新一代安全运营平台。它不是简单的告警管理工具，而是一个完整的 **安全智能中枢**——从日志接入到威胁研判，从协同处置到经验沉淀，全链路由 AI 驱动。 **核心理念：** 让 AI 承担 80% 的重复研判工作，让安全人员聚焦于真正的决策。 ### 与传统 SIEM/SOC 的区别 | 维度 | 传统方案 | AI-Guardian | |:---|:---|:---| | 告警研判 | 人工逐条分析，效率低 | AI Agent 自动研判，基于证据链生成结构化结论 | | 日志适配 | 依赖厂商插件，扩展性差 | 可视化正则规则引擎，适配任意格式 | | 知识沉淀 | 存在人脑中，人员流失即丢失 | STE 经验库，闭环告警自动转化为可复用知识 | | 处置流程 | 口头协调，状态不透明 | 四阶段工作流 + 角色权限 + 消息推送 | | 报告输出 | 手工拼凑，耗时耗力 | 模板引擎一键生成 Markdown / Excel / CSV | ## 架构 ``` ┌─────────────────────┐ │ AI-Guardian Web │ │ React + Ant Design │ └──────────┬──────────┘ │ REST API ┌──────────┴──────────┐ │ AI-Guardian Backend │ │ FastAPI + ORM │ │ │ │ ┌─────────────────┐ │ │ │ AI Agent 引擎 │ │ │ │ LangGraph 驱动 │ │ │ └─────────────────┘ │ │ ┌────┐ ┌────┐ ┌────┐ │ │ │告警│ │资产│ │情报│ │ │ └────┘ └────┘ └────┘ │ │ ┌────┐ ┌────┐ ┌────┐ │ │ │规则│ │模板│ │报告│ │ │ └────┘ └────┘ └────┘ │ └──────────┬──────────┘ ┌────────────┴────────────┐ ┌────┴────┐ ┌─────┴─────┐ │PostgreSQL│ │ Redis │ └─────────┘ └───────────┘ ``` ## 核心能力 ### 🧠 AI Agent 引擎 - **自主任务建模**：Agent 根据告警上下文自动规划研判步骤 - **证据检索与关联**：自动拉取资产信息、威胁情报、历史相似告警 - **结构化反思**：对研判结果自我校验，发现矛盾时主动补查 - **经验提取与复用**：闭环告警沉淀为 STE 经验，后续研判自动检索 - **多模型兼容**：OpenAI / DeepSeek / 通义千问 / 智谱 / 硅基流动 / Ollama ### 📊 告警生命周期管理 - **统一解析**：原始日志 → 正则提取 → 结构化字段 → 资产关联 → 情报增强 - **智能去重**：基于 `alert_hash` 的精确去重，跨时间窗口追踪 - **四阶段流转**：监测 → 研判 → 处置 → 闭环，支持认领/指派/强制解锁 - **实时协作**：消息中心推送、认领释放机制、状态流转通知 ### 🔗 资产与威胁情报 - **资产中心**：个体 + 网段资产，Excel 批量导入，自动关联告警 IP - **威胁情报**：集成主流情报源，自动查询 IP/域名信誉 - **IP 名单**：黑白名单 + CIDR 匹配，毫秒级判定 ### 📝 报告与导出 - **模板引擎**：消息 / Excel / CSV 模板，拖拽式字段拼接 - **报告中心**：从告警数据、运营总览一键生成结构化报告 - **Webhook**：告警到达/状态变更自动推送至企业微信、钉钉 ## 快速开始 ``` git clone https://github.com/HankLEE-1/AI-Guardian.git cd AI-Guardian cp .env.example .env docker compose up -d --build ``` | 服务 | URL | |:---|:---| | Web 控制台 | `http://localhost:8080` | | API 文档 | `http://localhost:8000/docs` | | 健康检查 | `http://localhost:8000/healthz` | 默认管理员：`admin / admin123` ## 模块 | 模块 | 描述 | |:---|:---| | **Dashboard** | 告警趋势，状态分布，平均响应时间，Top 来源 | | **Log Parser** | 粘贴原始日志 → 自动提取字段 → 资产匹配 → 保存为告警 | | **Alert Workbench** | Hash 搜索，认领/释放，状态流转，AI 分析，TI 查询，CSV 导出 | | **AI Center** | Prompt 管理，多轮分析对话，STE 经验库 | | **Asset Center** | 个体/CIDR 资产，Excel 导入/导出，负责人与区域管理 | | **Message Center** | 工作流通知，未读告警，基于 Hash 的快速跳转 | | **Report Center** | 从模板和运营数据创建/编辑/导出报告 | | **Rule Center** | 带有设备级适配和规则生成器的正则规则引擎 | | **Template Center** | 消息 / Excel / CSV 模板，带拖拽式字段构建器 | | **IP Lists** | 白名单/黑名单，支持 CIDR 匹配，批量导入/导出 | | **Admin** | 用户、角色、项目、设备、审计日志、任务监控 | ## 角色与权限 | 角色 | 范围 | 关键权限 | |:---|:---|:---| | `admin` | 系统 | 完全访问权限：用户管理、强制解锁、删除、全局配置 | | `monitor` | 监测 | 同步告警、解析日志、导入历史 | | `analyst` | 研判 | 认领告警、AI 分析、TI 查询、升级/关闭 | | `disposer` | 处置 | 认领处置、封禁 IP、退回研判、确认关闭 | | `viewer` | 只读 | 查看所有数据，无写入权限 | ## 技术栈 | 层级 | 技术 | |:---|:---| | Backend | FastAPI + SQLAlchemy + Pydantic + Alembic | | Frontend | React 18 + TypeScript + Ant Design + Vite | | Database | PostgreSQL 16 (Docker) / SQLite (本地开发) | | Cache | Redis 7 | | AI 引擎 | LangGraph + OpenAI-Compatible API | | Excel | openpyxl | | 部署 | Docker Compose + Nginx 反向代理 | ## 演示数据 首次启动时自动初始化： - **用户**：`demo_analyst / demo123456`，`demo_viewer / demo123456` - **项目**：红队演练、日常 SOC 运营 - **设备**：WAF、NDR、态势感知平台 - **资产**：Portal、Trading API、DB、终端、WebLogic 服务器、CIDR 网段 - **规则**：通用五元组 + 设备特定解析器 - **模板**：调查报告、Excel 行、CSV 导出 ## 许可证 [Apache License 2.0](./LICENSE)

AI-Guardian — 从被动告警分诊到主动威胁情报
_{由 HankLee 用 ❤️ 构建}

标签：AV绕过, FastAPI, React, Syscalls, 告警研判, 安全运营, 扫描框架, 搜索引擎查询, 流量监控, 测试用例, 自动化响应, 请求拦截, 逆向工具