chatterji/powershell-behavioral-analytics-pipeline

GitHub: chatterji/powershell-behavioral-analytics-pipeline

基于行为特征工程和统计异常检测的企业安全分析管道,将每日数万条 PowerShell 调查候选压缩至 1–2 条高风险脚本。

Stars: 0 | Forks: 0

# 行为 PowerShell 威胁检测 ### 使用行为特征工程、统计异常检测和基于 Hadoop 的数据处理的企业网络安全分析 ## 执行摘要 现代企业环境每天都会产生海量的 PowerShell 活动。该组织的 SIEM 平台已经将企业安全遥测数据过滤到每天约 **50,000 次 PowerShell 执行**,需要进行进一步审查。虽然与原始事件量相比这已经大幅减少,但剩余的调查队列仍远超安全分析师实际能够调查的范围。领导层要求团队确定 AI 和行为分析是否能够将这些事件进一步优先级排序,转化为可控的日常工作量。 与组织的红队合作,发现了两个始终与恶意 PowerShell 脚本相关的行为特征: * 异常长的脚本长度 * 异常低的空白字符密度 这些行为特征被整合到一个基于 Hadoop 的分析 pipeline 中,将调查工作量从 **每天 50,000+ 个** 脚本减少到大约 **1--2 个**需要分析师 审查的高风险异常值。 \--- ## 业务挑战 该组织需要: * 每天分析所有 PowerShell 活动 * 优先安排分析师的调查 * 补充现有 SIEM 的能力 * 提高威胁狩猎效率 * 降低运营风险 \--- ## 解决方案概述 该解决方案实施了一个可重复的分析工作流: 企业 PowerShell 日志 → Python 收集 → Hadoop (HDFS) → 特征 工程 → 线性回归 → 残差分析 → 可视化 → 威胁狩猎团队 特征工程包括: * 脚本长度 * 空白字符计数 这些简单但有意义的行为特征将正常的 管理脚本与异常活动区分开来。 \--- ## 每日分析 Pipeline 1. 收集前一天的 PowerShell 日志 2. 加载到 Hadoop 3. 构建分析型 DataFrame 4. 计算行为特征 5. 拟合回归模型 6. 计算残差 7. 识别异常值 8. 生成分析师报告 \--- ## 业务成果 指标 之前 之后 \--- 每日 PowerShell 脚本 800,000+ 50,000+ 需要审查的脚本 50,000+ 1--2 调查量缩减 --- >99.99% \--- ## 运营效益 * 减轻分析师工作量 * 改善优先级排序 * 可解释的分析 * 可扩展的 Hadoop 工作流 * 可重复的每日执行 \--- ## 技术栈 * Python * Hadoop / HDFS * pandas * NumPy * scikit-learn * matplotlib \--- ## 经验教训 * 领域专业知识驱动更好的 AI。 * 特征工程比算法复杂性更重要。 * 简单、可解释的分析通常优于不必要的复杂 模型。 * AI 应该辅助分析师,而不是取代他们。 \--- ## 未来增强 * Isolation Forest * Autoencoders * One-Class SVM * Spark * LLM 辅助分析 * 可解释 AI * 实时流处理 \--- ## 保密性 生产日志、专有代码、主机名、IP 地址和其他 机密组织信息已被刻意排除。 在适当的地方使用了合成的示例。 \--- ## 关于作者 **Devin Chatterji** AI 策略 • 企业分析 • 网络安全分析 • 数据 科学 \--- ## 关键要点 此代码库展示了: * 行为特征工程 * 企业网络安全分析 * 可解释 AI * 基于 Hadoop 的数据处理 * 面向生产的分析 pipeline * 通过可衡量的业务成果体现的 AI 领导力
标签:AMSI绕过, Hadoop, OpenCanary, Python, 大数据分析, 威胁检测, 异常检测, 无后门, 网络安全, 逆向工具, 隐私保护