JW2WW/Home-Network-AI-Threat-Hunter

GitHub: JW2WW/Home-Network-AI-Threat-Hunter

一个结合 RAG 和大语言模型的安全遥测分析平台,通过自然语言交互帮助安全团队从海量日志中快速识别可疑活动、重构事件并完成调查。

Stars: 0 | Forks: 0

# AI 威胁猎手 一个由 AI 驱动的威胁狩猎和安全调查平台,它从终端、服务器、网络设备和安全工具收集遥测数据,以识别可疑活动、重构事件,并协助进行基于自然语言的安全调查。 ## 概述 现代系统会产生海量的安全遥测数据: * Windows 事件日志 * Sysmon 事件 * DNS 日志 * 防火墙日志 * 身份验证日志 * Linux 系统日志 * 容器日志 * 应用程序日志 对于家庭实验室、小型组织甚至大型企业来说,手动审查这些数据既困难、耗时,又往往不切实际。 AI Threat Hunter 充当了一名智能安全分析师,它可以持续审查遥测数据、识别可疑活动、关联事件,并允许用户使用自然语言调查安全事件。 示例: 该平台结合了日志聚合、威胁检测、时间线分析、检索增强生成(RAG)以及 AI 辅助调查工作流。 # 问题陈述 安全团队通常面临以下挑战: * 海量日志 * 告警疲劳 * 误报 * 分析师资源有限 * 事件关联困难 * 事件调查缓慢 * 跨系统的可见性有限 大多数环境已经收集了检测威胁所需的数据。 挑战在于如何将这些数据转化为可执行的情报。 AI Threat Hunter 有助于弥合这一差距。 # 核心功能 ## 日志收集 收集并标准化来自以下来源的遥测数据: ### Windows * Windows 事件日志 * Sysmon * PowerShell 日志 * 安全日志 * 任务计划程序事件 ### Linux * Syslog * Auditd * 身份验证日志 * 系统日志 ### 网络 * DNS 日志 * 防火墙日志 * VPN 日志 * 代理日志 ### 基础设施 * Docker 日志 * Kubernetes 日志 * 应用程序日志 * 反向代理日志 ## AI 威胁狩猎 使用自然语言调查环境。 示例: ### 常规调查 ### 身份验证分析 ### 网络调查 ### 终端分析 ### 持久化检测 ### 横向移动分析 ## 安全时间线重构 自动重构事件时间线。 示例: ``` 09:15 User Login 09:18 PowerShell Started 09:21 External DNS Lookup 09:23 Scheduled Task Created 09:27 New Network Connection ``` 为调查人员提供安全事件按时间顺序的视图。 ## 威胁检测 检测可疑活动,例如: * 暴力破解尝试 * 异常登录 * 可疑的 PowerShell 执行 * 持久化机制 * 创建新服务 * 权限提升活动 * 异常网络连接 * DNS 异常 ## IOC 发现 识别妥协指标(IOC),包括: * 可疑 IP 地址 * 可疑域名 * 恶意文件哈希 * 已知威胁指标 * 罕见网络目的地 ## 可解释 AI 每一项发现都有证据支持。 该平台提供: * 源日志 * 事件标识符 * 时间线参考 * 检测依据 * 置信度评分 AI 发现始终可追溯到原始遥测数据。 ## MITRE ATT&CK 映射 自动将活动映射到 MITRE ATT&CK 框架。 示例: ``` T1059 Command and Scripting Interpreter T1053 Scheduled Task T1078 Valid Accounts ``` 帮助分析师了解攻击者的行为和战术。 ## 安全调查工作区 通过以下功能支持调查工作流: * 保存的调查 * 时间线视图 * 证据追踪 * IOC 追踪 * 案例管理 * 可导出的报告 ## 每日安全简报 生成每日或每周的摘要。 示例: ``` Security Status: Healthy New Findings: • 2 unusual login attempts • 1 suspicious PowerShell execution Warnings: • New DNS activity to previously unseen domain Recommended Actions: • Review PowerShell activity • Verify user account activity ``` # 调查示例 ### 提问 ``` Did anything suspicious happen this week? ``` ### 回答 ``` Potential Findings: 1. New PowerShell execution observed on workstation WS-04 2. DNS requests made to uncommon domains 3. Service account logged in from a new source IP 4. Multiple failed RDP logins followed by a successful login Risk Assessment: Medium Recommended Investigation: Review PowerShell execution and authentication logs. ``` # 架构 ``` Windows Event Logs Sysmon DNS Logs Firewall Logs Linux Logs Application Logs │ ▼ ┌──────────────────────┐ │ Collection Layer │ └──────────┬───────────┘ ▼ ┌──────────────────────┐ │ Log Aggregation │ │ Loki / Elasticsearch │ └──────────┬───────────┘ ▼ ┌──────────────────────┐ │ Detection Engine │ │ Sigma Rules │ └──────────┬───────────┘ ▼ ┌──────────────────────┐ │ PostgreSQL │ │ Metadata Store │ └──────────┬───────────┘ ▼ ┌──────────────────────┐ │ RAG Pipeline │ └──────────┬───────────┘ ▼ ┌──────────────────────┐ │ OpenAI / Claude │ └──────────┬───────────┘ ▼ ┌──────────────────────┐ │ Investigation UI │ └──────────────────────┘ ``` # 技术栈 ## 后端 * Python * FastAPI * PostgreSQL ## AI * OpenAI GPT 模型 * Anthropic Claude * 检索增强生成(RAG) ## 日志聚合 * Grafana Loki * Elasticsearch(可选) ## 安全遥测 * Sysmon * Windows 事件转发 * Auditd * DNS 日志 * 防火墙日志 ## 检测 * Sigma 规则 * MITRE ATT&CK 映射 ## 前端 * React * TailwindCSS ## 部署 * Docker * Docker Compose * Linux # 示例问题 ### 威胁狩猎 ### 身份验证 ### 终端安全 ### 网络分析 ### 持久化 ### 事件调查 ### 风险评估 # 未来增强功能 ## AI 检测工程 自动生成检测规则。 示例: 生成: * Sigma 规则 * 告警逻辑 * 检测说明 ## 自动化威胁情报富化 集成: * 威胁情报源 * IOC 数据库 * 信誉服务 * 恶意软件库 ## 威胁模拟 通过以下方式进行验证: * 攻击模拟 * 检测测试 * 紫队演练 ## 自主调查 自动执行: * 日志关联 * 时间线生成 * IOC 富化 * 初步分类分流 ## 家庭实验室安全运营中心 将家庭实验室转变为一个微型 SOC 环境,具备以下能力: * 威胁狩猎 * 检测工程 * 事件响应 * 安全监控 # 展示的技能 本项目展示了: * 威胁狩猎 * 检测工程 * 安全监控 * 日志分析 * 事件响应 * AI 集成 * 检索增强生成(RAG) * 安全自动化 * 数据工程 * 可观测性 * Python 开发 * 企业安全概念 # 为什么这很重要 大多数组织都会收集安全数据,但难以从中提取有意义的见解。 AI Threat Hunter 结合了遥测、检测逻辑、AI 推理和可解释的调查工作流,以帮助分析师更快地识别和理解威胁。 目标不是取代安全专业人员,而是提供更好的可见性、更快的调查和更有效的威胁狩猎。 # 许可证 MIT 许可证 # 免责声明 本项目仅用于教育、研究、防御性安全和威胁狩猎目的。用户在生产环境中采取行动之前,有责任验证所有的发现和建议。
标签:AI大模型, 安全调查, 安全运营, 扫描框架, 测试用例, 版权保护, 请求拦截, 逆向工具