vignesh8310/LocalAI-SIEM-Resource-Optimized-Threat-Detection-Incident-Response-Pipeline

GitHub: vignesh8310/LocalAI-SIEM-Resource-Optimized-Threat-Detection-Incident-Response-Pipeline

基于 Python 和本地量化 LLM 构建的轻量级 SIEM 流水线,通过正则预过滤、本地 AI 威胁验证和 Discord 交互式取证,在消费级硬件上实现零成本的内部安全监控与事件响应。

Stars: 0 | Forks: 0

# LocalAI-SIEM-资源优化威胁检测与事件响应流水线 一个使用 Python 构建的本地 AI 驱动的 SIEM 流水线。使用高速 regex 过滤器在网络干扰数据产生前将其丢弃,然后通过 Ollama 将异常路由到量化的本地 LLM (`llama3.2:3b`) 进行威胁验证。具有持久化的 SQLite 存储功能,并可通过交互式 Discord SOC bot 访问 RAG 取证引擎。 ## 🏗️ 软件架构与设计 ### 1. 摄取与预过滤 * **动态文件追踪 (Tail-ing):** 通过低开销的文件指针偏移 (`file.seek`) 来监控目标操作系统的日志流。 * **确定性过滤:** 使用预编译的 `re.compile` 正则表达式引擎对字符串进行筛选以丢弃正常流量,保护本地 GPU VRAM 免受处理疲劳。 ### 2. 认知分析 (Edge AI 引擎) * **本地推理核心:** 利用本地托管的 `llama3.2:3b` 实例来评估异常,无需付费的 SaaS API 或云网络依赖。 * **结构化输出:** 执行严格的系统 prompt 规则,以保证纯粹、结构化的 JSON token 返回,从而实现自动化的下游 pipeline 处理。 ### 3. 取证持久化与 RAG (检索增强生成) * **数据层:** 将验证后的安全警报保存到优化的本地 SQLite schema (`siem_history.db`) 中。 * **上下文注入:** 动态过滤、聚合并将历史数据库遥测行直接注入到活跃的 LLM prompt 内存缓冲区中,以实现具备上下文感知的运营审查。 ### 4. 交互式接口与警报 (Discord 集成) * **自主 Webhook 派发 (`siem_shipper.py`):** 利用出站 HTTP POST payload,在威胁验证后立即将结构化、带有颜色编码的 JSON 富嵌入通知卡片传输到事件响应频道。 * **异步命令网关 (`soc_bot.py`):** 使用 `discord.ext.commands` 建立与 Discord Gateway 的持久双向连接。这使得脚本能拦截特权消息意图(如 `!summary` 或 `!investigate`)并将其直接路由到本地 RAG 引擎。 ## 📦 项目结构 * `siem_shipper.py` — **自主警报 Agent:** 将动态文件追踪引擎直接连接到 AI 核心,并通过出站 Discord Webhook payload 推送格式化的富嵌入通知卡片。 * `soc_bot.py` — **交互式安全助手:** 运行并发的多线程环境。为日志摄取生成一个后台工作线程,同时保持主线程处于打开状态,以通过异步 Discord Bot API 监听交互式聊天命令。 ## 🤖 交互式 SOC 命令 (`soc_bot.py`) 在已连接的 Discord 服务器文本频道中直接输入这些命令以查询 Agent: * `!summary` - 提取历史数据库日志,将其加载到 edge-AI 上下文块中,以生成执行系统概要简报。 * `!investigate ` - 执行针对性的 SQL `LIKE` 通配符搜索,以提取威胁足迹并编译自动化的深度取证时间线报告。 * `!fix ` - 咨询本地智能核心,生成一份即时、带有项目符号的技术事件响应剧本。 * `!lookup ` - 集成出站威胁情报 web hooks,以运行开源的地理位置基础设施审计。 * `!metrics` - 直接在 SQLite 数据库内执行实时数学计数,以返回最近的威胁数量。 ## 💡 关键架构亮点 * **100% 数据隐私与零成本:** 严格在内部 localhost 环境中运行。 * **故障预防安全网:** 实现 packet 切片循环,将过长的 AI 输出拆分为清晰的 1900 字符的字符串数组,完全绕过 Discord 原生的 2000 字符传输阈值。 * **低硬件占用:** 量身定制的资源边界,经过优化可在配备 4GB VRAM 的消费级硬件(笔记本 RTX 2050 目标配置)上流畅运行。 ### 实时系统警报 Screenshot (309) ### 交互式查询接口 Screenshot (312) Screenshot 2026-07-04 111908 Screenshot (310) Screenshot (311) ### 运行时执行日志 (Local Host 终端) Screenshot 2026-07-04 114037 Screenshot 2026-07-04 113942
标签:AI风险缓解, AMSI绕过, Discord机器人, DLL 劫持, LLM评估, Ollama, Python, 大语言模型, 威胁检测, 库, 应急响应, 无后门, 本地AI, 逆向工具