ujhsdfaufk389/Ai-powerd-threat-and-soc

GitHub: ujhsdfaufk389/Ai-powerd-threat-and-soc

基于 FastAPI 构建的 AI 驱动网络安全平台,整合孤立森林异常检测、梯度提升欺诈检测、MITRE ATT&CK 威胁情报映射和 Playbook 自动化事件响应,面向企业级实时威胁监控与合规管理。

Stars: 0 | Forks: 0

# AI 驱动的网络安全与威胁检测平台 一个由 AI 驱动的网络安全平台,用于实时威胁检测、行为分析、欺诈检测和自动化事件响应。专为乌兹别克斯坦快速数字化的经济而构建,旨在应对针对企业、政府机构和关键基础设施日益复杂的网络威胁。 ## 功能 ### AI/ML 检测引擎 - **行为异常检测** — 基于孤立森林的无监督学习,用于检测内部威胁、受损账户和零日行为异常 - **欺诈检测引擎** — 使用 Gradient Boosting 分类器进行实时交易欺诈检测、身份盗用预防和支付欺诈 - **威胁情报平台** — IOC 匹配、MITRE ATT&CK 战术映射、基于正则表达式的日志分析(SQLi、XSS、勒索软件等) - **自动化事件响应** — Playbook 驱动的自动化修复,支持操作:封禁 IP、隔离 endpoint、禁用账户、终止进程、收集取证数据 ### 安全与合规 - 对静态数据使用 AES-256-GCM 加密 - JWT 身份验证和基于角色的访问控制 - 全面的审计日志,保留期为 365 天 - 符合 ISO 27001 标准 - 支持乌兹别克斯坦数据本地化 - 多语言界面(乌兹别克语、俄语、英语) ### API 与集成 - 具有自动生成 OpenAPI/Swagger 文档的 RESTful API - 实时检测 endpoint - 支持批处理 - 面向 SIEM/SOAR 平台的 Webhook 集成 ## 快速开始 ### 前置条件 - Python 3.11+ - Docker 和 Docker Compose(可选) ### 本地开发 ``` # 克隆并安装 cd ai-cybersecurity-platform pip install -r requirements.txt # 运行 API python -m src.main ``` ### Docker 部署 ``` docker-compose up -d ``` API 将在 `http://localhost:8000` 提供 交互式 API 文档:`http://localhost:8000/docs` ## 项目结构 ``` ai-cybersecurity-platform/ ├── src/ │ ├── main.py # FastAPI application entry point │ ├── config.py # Configuration (Pydantic Settings) │ ├── api/ │ │ ├── routes.py # API endpoints │ │ ├── schemas.py # Request/response models │ │ └── middleware.py # Security, language, logging middleware │ ├── models/ │ │ ├── anomaly_detector.py # Behavioral anomaly detection (Isolation Forest) │ │ ├── fraud_detector.py # Fraud detection (Gradient Boosting) │ │ ├── threat_intel.py # Threat intelligence & IOC matching │ │ └── incident_response.py # Automated incident response playbooks │ ├── core/ │ │ ├── security.py # JWT, password hashing │ │ ├── encryption.py # AES-256-GCM, RSA encryption │ │ ├── audit.py # Audit logging │ │ └── database.py # Database connection │ └── utils/ │ └── data_processor.py # Data parsing and feature extraction ├── data/ │ ├── sample/ # Sample training data │ └── models/ # Trained model storage ├── docs/ │ ├── architecture.md # System architecture document │ └── api.md # API reference ├── notebooks/ │ └── model_training.ipynb # Model training notebook ├── tests/ ├── Dockerfile ├── docker-compose.yml └── requirements.txt ``` ## API Endpoint | 方法 | 路径 | 描述 | |--------|------|-------------| | GET | `/health` | 系统健康检查 | | GET | `/dashboard/stats` | 仪表盘统计信息 | | POST | `/detect/anomaly` | 行为异常检测 | | POST | `/detect/anomaly/batch` | 批量异常检测 | | POST | `/detect/fraud` | 欺诈检测 | | POST | `/detect/fraud/batch` | 批量欺诈检测 | | POST | `/analyze/log` | 日志条目的威胁分析 | | POST | `/ioc/check` | 检查指标是否匹配已知的 IOC | | POST | `/threat-feed/ingest` | 接入威胁情报源 | | GET | `/threat-feed/recent` | 最近的威胁情报 | | POST | `/incidents/create` | 创建安全事件 | | GET | `/incidents/active` | 活跃事件 | | GET | `/incidents/resolved` | 已解决的事件 | | POST | `/model/train` | 训练 ML 模型 | ## 训练模型 ``` # 使用 Jupyter notebook jupyter notebook notebooks/model_training.ipynb # 或通过 API curl -X POST http://localhost:8000/api/v1/model/anomaly/train \ -H "Content-Type: application/json" \ -d '{"training_data": [...]}' ``` ## 合规性 该平台旨在符合以下标准: - **乌兹别克斯坦网络安全法** — 数据本地化,国家数字身份认证集成 - **ISO 27001** — 加密、访问控制、事件管理 - **GDPR** — 数据最小化、审计追踪、删除权 ## 许可证 专有软件 — 乌兹别克斯坦 IT Park
标签:AMSI绕过, Apex, AV绕过, CISA项目, FastAPI, IP 地址批量处理, Python, 威胁检测, 异常检测, 无后门, 机器学习, 版权保护, 网络安全, 自动化响应, 请求拦截, 跨平台, 逆向工具, 隐私保护