AnishBale16/RECONVEC-AI
GitHub: AnishBale16/RECONVEC-AI
一款基于本地 AI 的事件响应分诊工具,通过多源日志关联分析与攻击链重建来消除安全运营中的告警疲劳。
Stars: 0 | Forks: 0
# RECONVEC-AI
RECONVEC - Real-time Exploit Orchestration & Vulnerability Expression Correlator 是一款本地化、隐私优先的事件响应分诊工具,旨在消除告警疲劳。
## 🎯 项目目标
传统的 SIEM 会用数百条孤立的告警让分析师应接不暇。本项目演示了如何使用 Python、SQLite 和本地 AI 来解析多源日志、跟踪对抗性会话状态、将操作映射到 MITRE ATT&CK 框架,并在 Web 仪表板中以可视化方式呈现重构的时间线,从而实现快速分诊。
## 🏗️ 架构图
+------------------+ +-----------------+| Windows Sysmon | | Zeek Network || (Endpoint Logs) | | (Network Logs) |+--------+---------+ +--------+--------+| |+------------+------------+| (Raw JSON/CSV)v+-------------------+| Python Parser |+---------+---------+| (Normalized)v+-------------------+| SQLite Database |+---------+---------+| (Event Batches)v+-------------------+| Ollama LLM | <--> [MITRE ATT&CK Mapping]+---------+---------+| (Enriched Timeline)v+-------------------+| Flask Dashboard |+-------------------+
## ⚙️ 安装与设置
### 前置条件
- Python 3.12+
- 已安装并在本地运行 [Ollama](https://ollama.com)
### 1. 克隆并设置环境
```
git clone https://github.com
cd ai-attack-chain-reconstructor
python -m venv venv
source venv/bin/activate # On Windows: .\venv\Scripts\activate
pip install -r requirements.txt
```
### 2. 配置 AI 模型
通过 Ollama 拉取首选的侧重安全的模型或通用指令模型:
```
ollama pull llama3
```
### 3. 初始化数据库并解析示例日志
```
# 初始化 SQLite 表
sqlite3 database/siem.db < database/schema.sql
# 将测试日志摄取到数据库中
python -m parsers.sysmon_parser --file tests/mock_attack.json
```
### 4. 运行重建和 Web 服务器
```
# 通过 Ollama 处理事件以生成链
python src/engine.py
# 启动 Flask dashboard
python app.py
```
在 Web 浏览器中访问 `http://127.0.0.1:5000`。
## 🚀 未来路线图
- [ ] **图数据库集成:** 从 SQLite 迁移到 Neo4j,以深度可视化进程和 IP 之间的关系。
- [ ] **实时流处理:** 增加 Kafka 或 RabbitMQ 支持,以处理实时日志流,而不是批处理文件。
- [ ] **向量嵌入:** 使用内部向量数据库(例如 ChromaDB)搜索过往事件,并识别相同的攻击者 playbook。
- [ ] **自动化 playbook 生成:** 允许 Ollama 根据攻击链生成特定的修复命令(例如,用于隔离终端的特定 PowerShell 命令)。
标签:AI风险缓解, ATT&CK映射, DLL 劫持, PKI安全, Python, 大语言模型, 安全运营, 库, 应急响应, 扫描框架, 无后门, 逆向工具, 速率限制处理