huynhtrungcsc/genai-soc-labs
GitHub: huynhtrungcsc/genai-soc-labs
收录29个生成式AI实验的单体仓库,专注将大语言模型和RAG技术应用于SOC安全运营工作流的工程化实践。
Stars: 1 | Forks: 0
# GenAI SOC Labs
应用于安全运营中心(SOC)工作流和 AI 网络安全工程的生成式 AI 系统。
[](LICENSE)
[](#lab-catalog)
[](#scope)
[](#roadmap)
[概述](#overview) · [实验目录](#lab-catalog) · [架构](docs/architecture.md) · [评估](docs/evaluation.md) · [安全](SECURITY.md) · [贡献](CONTRIBUTING.md)
## 概述
`genai-soc-labs` 是一个包含 29 个动手实验的单体仓库(monorepo)作品集,专注于生成式 AI 与网络安全的交叉领域。主要关注点是 SOC 工程:事件响应、威胁狩猎、SIEM 工作流、威胁情报、SOAR 辅助、取证时间线以及分析师赋能。
目标是展示实用的 AI 网络安全工程,而不仅仅是 prompt 的使用。每个实验都旨在发展成为一个生产级 Web 应用,包含身份验证、基于角色的访问控制、清晰的用户体验、部署、评估以及负责任的安全边界。
## 范围
本仓库专为具有 SOC 专长的 AI 网络安全工程师作品集而组织。
核心工程主题:
- LLM 辅助的调查工作流
- 针对安全知识的检索增强生成(RAG)
- 日志解析、标准化与关联
- 带有引用和证据的面向分析师的解释
- 针对敏感响应操作的人工审批
- 安全即设计的应用脚手架
- 针对 hallucination、precision、recall 和实际效用的评估
## 实验目录
| # | 实验 | 领域 | 方法 | 路线 |
|---|---|---|---|---|
| 01 | [IncidentLens: AI Incident Report Assistant](labs/01-incidentlens-incident-report/) | 事件响应 | LLM + RAG | Flagship |
| 02 | [QueryForge: Natural Language SIEM Assistant](labs/02-queryforge-siem-assistant/) | 威胁狩猎 | LLM + Text-to-Query | Flagship |
| 03 | [ThreatPulse: AI Threat Intelligence Briefing](labs/03-threatpulse-threat-intel/) | 威胁情报 | RAG + LLM | Flagship |
| 04 | [PhishGuard: Context-Aware Phishing Detection](labs/04-phishguard-phishing-detection/) | 邮件安全 | LLM + Classification | Backlog |
| 05 | [HardeningPilot: CIS/ISO Security Advisor](labs/05-hardeningpilot-compliance-advisor/) | 合规与加固 | RAG + LLM | Backlog |
| 06 | [BehaviorSentinel: UEBA Risk Detection](labs/06-behaviorsentinel-ueba/) | 内部威胁 | Anomaly Detection + LLM | Backlog |
| 07 | [PlaybookOps: SOAR Response Assistant](labs/07-playbookops-soar-assistant/) | SOAR | LLM + Workflow | Flagship |
| 08 | [RiskRanker: Vulnerability Prioritization Engine](labs/08-riskranker-vulnerability-risk/) | 漏洞管理 | LLM + Analytics | Backlog |
| 09 | [MalwareLens: Static Malware Analysis Assistant](labs/09-malwarelens-static-analysis/) | 恶意软件分析 | LLM + Static Analysis | Backlog |
| 10 | [VendorShield: Third-Party Risk Assessor](labs/10-vendorshield-third-party-risk/) | 第三方风险 | RAG + LLM | Backlog |
| 11 | [AwareOps: Security Awareness & Phishing Simulation](labs/11-awareops-security-awareness/) | 安全意识 | LLM + Personalization | Backlog |
| 12 | [LeakWatch: Data Leak Monitoring Assistant](labs/12-leakwatch-data-leak-monitoring/) | 数据泄露监控 | LLM + Monitoring | Backlog |
| 13 | [NetBeacon: C2 & Exfiltration Detection](labs/13-netbeacon-c2-exfil-detection/) | 网络检测 | ML + LLM | Flagship |
| 14 | [PolicyRAG: Security Policy Assistant](labs/14-policyrag-security-policy/) | 策略管理 | RAG + LLM | Backlog |
| 15 | [CodeTriage: SAST Finding Assistant](labs/15-codetriage-sast-assistant/) | 应用安全 | LLM + Code Analysis | Backlog |
| 16 | [AuditFlow: Compliance Evidence Generator](labs/16-auditflow-evidence-reporting/) | 合规报告 | RAG + LLM | Backlog |
| 17 | [SurfaceMap: Attack Surface Management AI](labs/17-surfacemap-attack-surface/) | ASM | LLM + Recon | Backlog |
| 18 | [ForensicTrace: Investigation Timeline Builder](labs/18-forensictrace-timeline-builder/) | 数字取证 | LLM + Correlation | Flagship |
| 19 | [SOCMentor: Tier-1 Analyst Assistant](labs/19-socmentor-tier1-assistant/) | SOC Assistant | RAG + LLM | Flagship |
| 20 | [CloudGuardAI: CSPM Risk Advisor](labs/20-cloudguardai-cspm/) | 云安全 | LLM + Analytics | Backlog |
| 21 | [FraudSignal: Transaction Fraud Detection](labs/21-fraudsignal-fraud-detection/) | 欺诈检测 | ML + LLM | Backlog |
| 22 | [RedReport: Defensive Red Team Reporting Assistant](labs/22-redreport-redteam-reporting/) | 进攻性安全(防御用途) | LLM + RAG | Backlog |
| 23 | [PrivacyPilot: Vietnam PDPD Compliance Assistant](labs/23-privacypilot-pdpd-compliance/) | 数据隐私合规 | RAG + LLM | Backlog |
| 24 | [DeepfakeShield: Synthetic Media Detection](labs/24-deepfakeshield-detection/) | Deepfake 检测 | Vision/Audio + LLM | Backlog |
| 25 | [ExecBrief: Executive Security Reporting AI](labs/25-execbrief-security-brief/) | 高管报告 | LLM + Analytics | Backlog |
| 26 | [DataSentinel: Data Classification & DLP Assistant](labs/26-datasentinel-dlp-classification/) | 数据保护 | LLM + Classification | Backlog |
| 27 | [BreachSim: Defensive Attack Simulation Planner](labs/27-breachsim-defense-validation/) | 违规模拟 | LLM + RAG | Backlog |
| 28 | [AccessMind: IAM Governance Reviewer](labs/28-accessmind-iam-governance/) | 身份治理 | LLM + Analytics | Backlog |
| 29 | [IoTWatch: IoT/OT Security Monitoring AI](labs/29-iotwatch-iot-ot-security/) | IoT/OT 安全 | ML + LLM | Backlog |
## 仓库结构
```
genai-soc-labs/
README.md
CONTRIBUTING.md
LICENSE
SECURITY.md
CODE_OF_CONDUCT.md
docs/
architecture.md
evaluation.md
roadmap.md
security-and-ethics.md
source-briefs.tsv
labs/
01-incidentlens-incident-report/
README.md
02-queryforge-siem-assistant/
README.md
...
29-iotwatch-iot-ot-security/
README.md
shared/
README.md
.github/
ISSUE_TEMPLATE/
PULL_REQUEST_TEMPLATE.md
```
## 实施标准
每个完成的实验都应达到相同的最低标准:
- 完整的 Web 应用程序,而不仅仅是 notebook 或 CLI 原型
- 在可安全公开的情况下,通过公共的演示 URL 进行在线部署
- 身份验证和基本的基于角色的访问控制
- 针对分析师工作流的清晰 UI/UX
- 适合公开发布的样本数据或合成数据集
- 有文档记录的架构和安全假设
- 针对模型质量和操作风险的评估说明
- 仅限于防御性安全的负责任使用边界
## 路线图
旗舰级 SOC 实验会优先推进:
1. IncidentLens: AI Incident Report Assistant
2. QueryForge: Natural Language SIEM Assistant
3. ThreatPulse: AI Threat Intelligence Briefing
4. PlaybookOps: SOAR Response Assistant
5. NetBeacon: C2 & Exfiltration Detection
6. ForensicTrace: Investigation Timeline Builder
7. SOCMentor: Tier-1 Analyst Assistant
请参阅 [docs/roadmap.md](docs/roadmap.md) 获取完整计划。
## 负责任的使用
这些实验旨在用于防御性安全、教育以及经过授权的企业安全工作流。它们避免漏洞生成、恶意软件创建、凭据滥用或未经授权的侦察。请参阅 [docs/security-and-ethics.md](docs/security-and-ethics.md) 和 [SECURITY.md](SECURITY.md)。
## 许可证
基于 [MIT License](LICENSE) 发布。标签:C2, DLL 劫持, SOC运营, 大语言模型, 学习教程, 安全运营中心, 生成式AI, 索引, 网络安全, 网络映射, 逆向工具, 隐私保护