Minx-nf/Log-Threat-Detection-System

# 🛡️ SOC 威胁检测与 SIEM 系统 专为企业设计的 Security Information and Event Management (SIEM) 系统，旨在实现集中式 LAN 日志监控、实时威胁情报和自动化事件响应。 ## 🚀 核心功能 * **集中式 SOC 仪表盘**：由 Flask 驱动的实时 Web 界面，提供高级分析与底层日志探索。 * **智能威胁检测**：针对 SQL Injection、XSS、Path Traversal、暴力破解和端口扫描的启发式检测。 * **威胁情报**：集成 **AbuseIPDB** API，具备内存缓存和可配置的 IP 白名单功能，实现准确且性能优化的信誉检查。 * **分布式遥测**：基于 Python 的轻量级 Windows Event Log 收集器代理，支持通过 PowerShell 自动化部署。 * **自动化文档**：使用 `ReportLab` 即时生成基于矢量的 PDF 安全报告。 * **弹性基础设施**：使用 Elasticsearch 进行集中式存储，并采用 24 小时滚动安全评分算法。 ## 🛠 技术栈 * **后端**：Python 3.x, Flask (RESTful API), `pywin32` * **数据存储**：Elasticsearch (NoSQL), Kibana (可视化) * **前端**：HTML5, CSS3, JavaScript (ApexCharts) * **安全**：`bcrypt` (身份验证), HMAC 风格的 API 密钥验证 ## ⚙️ 设置与安装 ### 1. 中央服务器设置 1. **初始化 Stack**： docker-compose up -d 2. **环境配置**： 在根目录下创建一个 `.env` 文件（确保将其添加到 `.gitignore` 中）： SECRET_KEY=generate_a_long_random_string ADMIN_PASSWORD_HASH=generate_bcrypt_hash COLLECTOR_API_KEY=your_64_character_hex_key ABUSEIPDB_API_KEY=your_abuseipdb_key WHITELIST_IPS=127.0.0.1,192.168.1. 3. **启动 SOC**： pip install -r requirements.txt python backend/app.py *仪表盘访问地址：`http://localhost:5000`* ### 2. LAN 收集器部署 要监控您网络上的端点： 1. 确保客户端和服务器位于同一子网中。 2. 在客户端上运行部署脚本（以管理员身份）： .\backend\install_collector_task.ps1 -ServerUrl http://SERVER_IP:5000 ## 🔒 安全实现 | 层级 | 实现细节 | |-------|-----------------------| | **管理员身份验证** | `bcrypt` 哈希（12 轮） | | **数据接入安全** | 授权的 `X-API-Key` 握手 | | **威胁分析** | 预编译 regex 引擎以提升速度 | | **信誉检查** | AbuseIPDB API（带有每小时缓存） | | **误报处理** | 可配置的 `WHITELIST_IPS` | | **密钥管理** | 通过 .gitignore 将 .env 排除在 Git 之外 | ## 📂 项目结构 ``` soc-threat-detector/ ├── backend/ # Flask API, Detector engine, Elasticsearch handlers ├── frontend/ # Jinja2 templates, static CSS/JS ├── reports/ # Auto-generated PDF incident reports ├── docker-compose.yml # Elastic Stack infrastructure └── requirements.txt # Python dependencies ``` ## 🔮 未来增强功能 * 集成 SMTP/电子邮件以发送紧急警报通知。 * 针对多分析师工作流实现 Role-Based Access Control (RBAC)。 * 扩展至 Syslog 收集器，以实现对 Linux 环境的监控。

标签：AI合规, CISA项目, Elasticsearch, Flask, SIEM系统, 后端开发, 威胁情报, 安全运营中心(SOC), 开发者工具, 插件系统, 请求拦截, 越狱测试, 逆向工具