ujhsdfaufk389/Ai-powerd-threat-and-soc
GitHub: ujhsdfaufk389/Ai-powerd-threat-and-soc
基于 FastAPI 构建的 AI 驱动网络安全平台,整合孤立森林异常检测、梯度提升欺诈检测、MITRE ATT&CK 威胁情报映射和 Playbook 自动化事件响应,面向企业级实时威胁监控与合规管理。
Stars: 0 | Forks: 0
# AI 驱动的网络安全与威胁检测平台
一个由 AI 驱动的网络安全平台,用于实时威胁检测、行为分析、欺诈检测和自动化事件响应。专为乌兹别克斯坦快速数字化的经济而构建,旨在应对针对企业、政府机构和关键基础设施日益复杂的网络威胁。
## 功能
### AI/ML 检测引擎
- **行为异常检测** — 基于孤立森林的无监督学习,用于检测内部威胁、受损账户和零日行为异常
- **欺诈检测引擎** — 使用 Gradient Boosting 分类器进行实时交易欺诈检测、身份盗用预防和支付欺诈
- **威胁情报平台** — IOC 匹配、MITRE ATT&CK 战术映射、基于正则表达式的日志分析(SQLi、XSS、勒索软件等)
- **自动化事件响应** — Playbook 驱动的自动化修复,支持操作:封禁 IP、隔离 endpoint、禁用账户、终止进程、收集取证数据
### 安全与合规
- 对静态数据使用 AES-256-GCM 加密
- JWT 身份验证和基于角色的访问控制
- 全面的审计日志,保留期为 365 天
- 符合 ISO 27001 标准
- 支持乌兹别克斯坦数据本地化
- 多语言界面(乌兹别克语、俄语、英语)
### API 与集成
- 具有自动生成 OpenAPI/Swagger 文档的 RESTful API
- 实时检测 endpoint
- 支持批处理
- 面向 SIEM/SOAR 平台的 Webhook 集成
## 快速开始
### 前置条件
- Python 3.11+
- Docker 和 Docker Compose(可选)
### 本地开发
```
# 克隆并安装
cd ai-cybersecurity-platform
pip install -r requirements.txt
# 运行 API
python -m src.main
```
### Docker 部署
```
docker-compose up -d
```
API 将在 `http://localhost:8000` 提供
交互式 API 文档:`http://localhost:8000/docs`
## 项目结构
```
ai-cybersecurity-platform/
├── src/
│ ├── main.py # FastAPI application entry point
│ ├── config.py # Configuration (Pydantic Settings)
│ ├── api/
│ │ ├── routes.py # API endpoints
│ │ ├── schemas.py # Request/response models
│ │ └── middleware.py # Security, language, logging middleware
│ ├── models/
│ │ ├── anomaly_detector.py # Behavioral anomaly detection (Isolation Forest)
│ │ ├── fraud_detector.py # Fraud detection (Gradient Boosting)
│ │ ├── threat_intel.py # Threat intelligence & IOC matching
│ │ └── incident_response.py # Automated incident response playbooks
│ ├── core/
│ │ ├── security.py # JWT, password hashing
│ │ ├── encryption.py # AES-256-GCM, RSA encryption
│ │ ├── audit.py # Audit logging
│ │ └── database.py # Database connection
│ └── utils/
│ └── data_processor.py # Data parsing and feature extraction
├── data/
│ ├── sample/ # Sample training data
│ └── models/ # Trained model storage
├── docs/
│ ├── architecture.md # System architecture document
│ └── api.md # API reference
├── notebooks/
│ └── model_training.ipynb # Model training notebook
├── tests/
├── Dockerfile
├── docker-compose.yml
└── requirements.txt
```
## API Endpoint
| 方法 | 路径 | 描述 |
|--------|------|-------------|
| GET | `/health` | 系统健康检查 |
| GET | `/dashboard/stats` | 仪表盘统计信息 |
| POST | `/detect/anomaly` | 行为异常检测 |
| POST | `/detect/anomaly/batch` | 批量异常检测 |
| POST | `/detect/fraud` | 欺诈检测 |
| POST | `/detect/fraud/batch` | 批量欺诈检测 |
| POST | `/analyze/log` | 日志条目的威胁分析 |
| POST | `/ioc/check` | 检查指标是否匹配已知的 IOC |
| POST | `/threat-feed/ingest` | 接入威胁情报源 |
| GET | `/threat-feed/recent` | 最近的威胁情报 |
| POST | `/incidents/create` | 创建安全事件 |
| GET | `/incidents/active` | 活跃事件 |
| GET | `/incidents/resolved` | 已解决的事件 |
| POST | `/model/train` | 训练 ML 模型 |
## 训练模型
```
# 使用 Jupyter notebook
jupyter notebook notebooks/model_training.ipynb
# 或通过 API
curl -X POST http://localhost:8000/api/v1/model/anomaly/train \
-H "Content-Type: application/json" \
-d '{"training_data": [...]}'
```
## 合规性
该平台旨在符合以下标准:
- **乌兹别克斯坦网络安全法** — 数据本地化,国家数字身份认证集成
- **ISO 27001** — 加密、访问控制、事件管理
- **GDPR** — 数据最小化、审计追踪、删除权
## 许可证
专有软件 — 乌兹别克斯坦 IT Park
标签:AMSI绕过, Apex, AV绕过, CISA项目, FastAPI, IP 地址批量处理, Python, 威胁检测, 异常检测, 无后门, 机器学习, 版权保护, 网络安全, 自动化响应, 请求拦截, 跨平台, 逆向工具, 隐私保护