Awais1329/Enhancing-wazuh-SIEM-with-cross-layer-secuity-and-AI-based-anamoly-detection--FYP-Project

GitHub: Awais1329/Enhancing-wazuh-SIEM-with-cross-layer-secuity-and-AI-based-anamoly-detection--FYP-Project

基于 Wazuh SIEM 集成机器学习实现跨主机、网络和云层智能异常检测与安全告警的集中式安全监控平台。

Stars: 1 | Forks: 0

# 通过跨层安全和基于 AI 的异常检测增强 Wazuh SIEM ![Python](https://img.shields.io/badge/Python-3.x-blue) ![Wazuh](https://img.shields.io/badge/Wazuh-4.14-green) ![Machine Learning](https://img.shields.io/badge/Machine-Learning-orange) ![License](https://img.shields.io/badge/License-MIT-red) ## 概述 **通过跨层安全和基于 AI 的异常检测增强 Wazuh SIEM** 是一个毕业设计项目 (FYP),旨在通过集成 **Machine Learning** 进行智能异常检测,从而增强 **Wazuh Security Information and Event Management (SIEM)** 平台的能力。 传统的 SIEM 系统主要依靠预定义的规则和特征码来识别网络威胁。虽然这对于检测已知攻击非常有效,但这些方法在识别以前未见过的或复杂的攻击时可能会遇到困难。本项目通过将基于 AI 的异常检测与 Wazuh 集成,从而改善了跨多个环境的安全监控,解决了这一局限性。 拟议的系统从 **Host**、**Network** 和 **Cloud** 环境中收集安全日志,使用 Wazuh 对其进行处理,利用经过训练的机器学习模型对其进行分析,并通过 Wazuh Dashboard 将基于规则的告警和 AI 生成的告警进行可视化展示。 # 项目目标 本项目的目标是: - 部署一个集中式的 Wazuh SIEM 平台。 - 监控 Host、Network 和 Cloud 环境。 - 从多个来源收集安全日志。 - 将 Machine Learning 与 Wazuh 集成。 - 使用 AI 模型检测异常活动。 - 生成智能安全告警。 - 在 Wazuh Dashboard 上显示 AI 生成的告警。 - 提高跨多个安全层的威胁检测准确性。 # 主要功能 - 使用 Wazuh 的集中式 SIEM 平台 - 跨层安全监控 - 使用 Wazuh Agents 进行主机监控 - 网络安全监控 - 云安全监控 - 基于 AI 的异常检测 - 基于规则的告警生成 - Machine Learning 集成 - 实时仪表盘可视化 - 统一的安全监控平台 # 系统架构 拟议的架构包括: - Host Layer - Network Layer - Cloud Layer - Wazuh Agents - Wazuh Manager - Wazuh Indexer - AI Engine - Wazuh Dashboard 完整的架构和工作流程可在以下文档中查看: 📄 **[架构文档](Architecture/README.md)** # 仓库结构 ``` . ├── Architecture/ │ ├── Architecture.jpeg │ └── README.md │ ├── Screenshots/ │ ├── Logs disply dashboard.jpeg │ ├── connected devices.jpeg │ ├── logs picture.jpeg │ └── README.md │ ├── VIDEO/ │ └── README.md │ ├── datasets/ │ └── README.md │ ├── docs/ │ ├── AI-engine.md │ ├── Agent-configuration.md │ ├── installation.md │ ├── wazuh-deployment.md │ ├── dashboard.md │ └── README.md │ ├── inference/ │ ├── ai_enriched.json │ ├── ai_to_wazuh.ipynb │ ├── fusion_engine.ipynb │ ├── fusion_runtime.ipynb │ ├── main_pipeline.ipynb │ ├── wazuh_ai_fusion_pipeline_cells.ipynb │ └── README.md │ ├── models/ │ ├── host_final.pkl │ ├── cloud_rf_final.pkl │ ├── dos_ddos_scaler.pkl │ └── README.md │ ├── presentation/ │ └── final ppt of fyp.pptx │ ├── thesis/ │ ├── Updated Thesis 7.6.26.docx │ └── README.md │ ├── training/ │ ├── Host.ipynb │ ├── network.ipynb │ ├── cloud.ipynb │ ├── test.ipynb │ └── README.md │ └── README.md ``` # 使用的技术 | 类别 | 技术 | |-----------|------------| | SIEM | Wazuh | | Dashboard | Wazuh Dashboard | | 搜索引擎 | Wazuh Indexer | | Machine Learning | Scikit-learn | | 编程语言 | Python | | 虚拟化 | VMware Workstation | | 云平台 | OpenStack | | IDS | Suricata | | 操作系统 | Ubuntu 22.04 LTS | # Machine Learning 模型 AI Engine 针对不同的安全层使用不同的机器学习模型。 | 安全层 | Machine Learning 模型 | |---------------|------------------------| | Host Layer | Isolation Forest | | Network Layer | Random Forest | | Cloud Layer | Random Forest | AI Engine 会分析安全日志、检测异常行为,并生成集成到 Wazuh SIEM 平台中的智能告警。 # 部署环境 | 组件 | 部署环境 | |-----------|------------------------| | Wazuh Server | Ubuntu 22.04 LTS (VMware Virtual Machine) | | Host Layer | Linux Virtual Machine | | Network Layer | Linux Virtual Machine | | Cloud Layer | OpenStack Virtual Machine | | AI Engine | Windows Host Machine | # 安装 详细的安装说明可在以下文档中找到: - 📄 [安装指南](docs/installation.md) - 📄 [Wazuh 部署](docs/wazuh-deployment.md) - 📄 [Agent 配置](docs/Agent-configuration.md) - 📄 [AI Engine](docs/AI-engine.md) - 📄 [Dashboard](docs/dashboard.md) 本项目使用官方的 Wazuh Quick Start 进行安装。 ``` curl -sO https://packages.wazuh.com/4.14/wazuh-install.sh && sudo bash ./wazuh-install.sh -a ``` 要在受监控的终端上安装 Wazuh Agent: ``` sudo apt update sudo apt install wazuh-agent ``` # 文档 项目文档位于 **docs** 目录中。 | 文件 | 描述 | |------|-------------| | installation.md | 环境配置和软件安装 | | wazuh-deployment.md | Wazuh 部署指南 | | Agent-configuration.md | Wazuh Agent 配置 | | AI-engine.md | AI Engine 工作流程 | | dashboard.md | Dashboard 说明 | # 数据集 AI 模型是使用公开的网络安全数据集进行训练的。 | 层级 | 数据集 | |--------|----------| | Host | ADFA-IDS | | Network | CICIDS2017 | | Cloud | Cloud Intrusion Detection Dataset | 更多信息: 📄 **[数据集文档](datasets/README.md)** # AI 工作流程 AI Engine 执行以下任务: - 从 Wazuh Manager 接收原始日志。 - 对收集的安全数据进行预处理。 - 提取机器学习特征。 - 执行经过训练的机器学习模型。 - 检测异常行为。 - 生成基于 AI 的告警。 - 将告警发送回 Wazuh Manager。 - 通过 Wazuh Dashboard 显示 AI 生成的告警。 # 截图 展示以下内容的项目截图: - 已连接的 Wazuh Agents - 安全事件仪表盘 - 日志分析 - 威胁狩猎 可在以下位置查看: 📄 **[Dashboard 截图](Screenshots/README.md)** # 项目演示 本仓库包含一个完整实现的演示视频。 该视频演示了: - Wazuh 部署 - Wazuh Agent 注册 - Host 监控 - Network 监控 - Cloud 监控 - AI 模型执行 - AI 告警生成 - Dashboard 可视化 更多信息: 📄 **[项目演示](VIDEO/README.md)** # 训练 机器学习模型训练笔记本位于 **training** 文件夹中。 包含的笔记本: - Host.ipynb - network.ipynb - cloud.ipynb - test.ipynb # 推理 Pipeline AI 推理笔记本位于 **inference** 文件夹中。 推理 Pipeline 执行以下操作: - 日志预处理 - 特征提取 - AI 预测 - 告警生成 - 与 Wazuh 集成 # 结果 拟议的系统成功展示了: - 集中式日志收集 - 多层安全监控 - 基于 AI 的异常检测 - 基于规则的告警和 AI 生成的告警 - Dashboard 可视化 - Host 监控 - Network 监控 - Cloud 监控 # 未来改进 潜在的未来增强功能包括: - Deep Learning 模型 - SOAR 集成 - 威胁情报源 - Docker 部署 - Kubernetes 监控 - 自动化事件响应 - 电子邮件和 SMS 通知 - 实时流分析 # 作者 **Muhammad Awais** 计算机科学理学学士 (BSCS) 国家科技大学 (NUTECH) # 致谢 本项目使用了以下开源技术和公开可用的数据集: - Wazuh - OpenStack - Python - Scikit-learn - Canadian Institute for Cybersecurity (CIC) - UNSW Canberra Cyber ⭐ **如果您觉得这个项目有帮助,请考虑在 GitHub 上给它点个 Star。**
标签:Apex, Metaprompt, Wazuh, 异常检测, 机器学习, 逆向工具