HITEN-AIRY/THREATLENS
GitHub: HITEN-AIRY/THREATLENS
基于 AI 的 SOC 警报分诊平台,通过机器学习、威胁情报和 LLM 将原始安全告警转化为分析师可直接使用的调查报告。
Stars: 1 | Forks: 0
# ThreatLens
**ThreatLens** 是一个基于 AI 的安全运营中心 (SOC) 分诊平台,旨在自动化调查和优先处理网络安全警报。该项目结合了机器学习、威胁情报、MITRE ATT&CK 框架和大型语言模型 (LLM),将原始安全警报转化为可操作的、分析师可直接使用的 incident 报告。
ThreatLens 无需 SOC 分析师手动调查每个警报,而是通过检测可疑活动、利用外部威胁情报丰富警报、将观察到的行为映射到 MITRE ATT&CK 技术、计算上下文风险评分以及生成全面的调查摘要,来简化分诊流程。
## 核心功能
* **基于 AI 的异常检测**,使用网络流量数据集(例如 CICIDS2017)
* **安全关联引擎**,用于智能警报丰富
* **MITRE ATT&CK 映射**,用于识别攻击者的战术和技术
* **威胁情报集成**,结合外部信誉和 IOC 来源
* **严重性与风险评分**,用于警报优先级排序
* **基于 LLM 的 incident 分诊**,用于自动化调查摘要和响应建议
* **分析师可直接使用的报告**,助力安全运营中心更快做出决策
## 项目工作流
```
Network Traffic / Logs
│
▼
AI Anomaly Detection
│
▼
Security Alert
│
▼
Security Correlation Engine
├── Alert Normalization
├── IOC Extraction
├── Threat Intelligence Enrichment
├── MITRE ATT&CK Mapping
└── Severity Scoring
│
▼
LLM-Based Triage Agent
│
▼
Analyst Investigation Report
│
▼
SOC Dashboard / Incident Response
```
## 技术栈
* Python
* 机器学习 (Scikit-learn / TensorFlow / PyTorch)
* FastAPI
* MITRE ATT&CK 框架
* 威胁情报 API (AbuseIPDB, AlienVault OTX, VirusTotal)
* 大型语言模型 (LLM)
* JSON & REST API
## 目标
ThreatLens 旨在通过将人工智能与网络安全最佳实践相结合,减少警报疲劳、改善 incident 优先级排序并加速 SOC 调查。该平台使安全团队能够专注于高优先级威胁,同时自动执行重复性的分析任务。
标签:C2, Cloudflare, DLL 劫持, MITRE ATT&CK, Python, 凭据扫描, 告警分诊, 大语言模型, 威胁情报, 安全运营, 开发者工具, 异常检测, 扫描框架, 无后门, 逆向工具