AnishBale16/RECONVEC-AI

GitHub: AnishBale16/RECONVEC-AI

一款基于本地 AI 的事件响应分诊工具,通过多源日志关联分析与攻击链重建来消除安全运营中的告警疲劳。

Stars: 0 | Forks: 0

# RECONVEC-AI RECONVEC - Real-time Exploit Orchestration & Vulnerability Expression Correlator 是一款本地化、隐私优先的事件响应分诊工具,旨在消除告警疲劳。 ## 🎯 项目目标 传统的 SIEM 会用数百条孤立的告警让分析师应接不暇。本项目演示了如何使用 Python、SQLite 和本地 AI 来解析多源日志、跟踪对抗性会话状态、将操作映射到 MITRE ATT&CK 框架,并在 Web 仪表板中以可视化方式呈现重构的时间线,从而实现快速分诊。 ## 🏗️ 架构图 +------------------+ +-----------------+| Windows Sysmon | | Zeek Network || (Endpoint Logs) | | (Network Logs) |+--------+---------+ +--------+--------+| |+------------+------------+| (Raw JSON/CSV)v+-------------------+| Python Parser |+---------+---------+| (Normalized)v+-------------------+| SQLite Database |+---------+---------+| (Event Batches)v+-------------------+| Ollama LLM | <--> [MITRE ATT&CK Mapping]+---------+---------+| (Enriched Timeline)v+-------------------+| Flask Dashboard |+-------------------+ ## ⚙️ 安装与设置 ### 前置条件 - Python 3.12+ - 已安装并在本地运行 [Ollama](https://ollama.com) ### 1. 克隆并设置环境 ``` git clone https://github.com cd ai-attack-chain-reconstructor python -m venv venv source venv/bin/activate # On Windows: .\venv\Scripts\activate pip install -r requirements.txt ``` ### 2. 配置 AI 模型 通过 Ollama 拉取首选的侧重安全的模型或通用指令模型: ``` ollama pull llama3 ``` ### 3. 初始化数据库并解析示例日志 ``` # 初始化 SQLite 表 sqlite3 database/siem.db < database/schema.sql # 将测试日志摄取到数据库中 python -m parsers.sysmon_parser --file tests/mock_attack.json ``` ### 4. 运行重建和 Web 服务器 ``` # 通过 Ollama 处理事件以生成链 python src/engine.py # 启动 Flask dashboard python app.py ``` 在 Web 浏览器中访问 `http://127.0.0.1:5000`。 ## 🚀 未来路线图 - [ ] **图数据库集成:** 从 SQLite 迁移到 Neo4j,以深度可视化进程和 IP 之间的关系。 - [ ] **实时流处理:** 增加 Kafka 或 RabbitMQ 支持,以处理实时日志流,而不是批处理文件。 - [ ] **向量嵌入:** 使用内部向量数据库(例如 ChromaDB)搜索过往事件,并识别相同的攻击者 playbook。 - [ ] **自动化 playbook 生成:** 允许 Ollama 根据攻击链生成特定的修复命令(例如,用于隔离终端的特定 PowerShell 命令)。
标签:AI风险缓解, ATT&CK映射, DLL 劫持, PKI安全, Python, 大语言模型, 安全运营, 库, 应急响应, 扫描框架, 无后门, 逆向工具, 速率限制处理