Junaid-1972/AI-Driven-Log-Analyser

GitHub: Junaid-1972/AI-Driven-Log-Analyser

基于 LLM 的网络安全日志分析助手,帮助 SOC 团队自动从 CSV 日志中检测异常并生成结构化安全报告。

Stars: 0 | Forks: 0

# AI-Driven-Log-Analyser 本项目展示了安全运营中心 (SOC) 自动化的深度发展。这是一个基于 AI 的网络安全日志分析智能体,能够自动化执行异常检测并生成专业的 SOC 报告。该工具旨在支持 NIST CSF 的检测/响应以及 ISO 27001 附录 A.5 和 A.8,帮助安全团队高效地将原始日志转化为可操作的情报。 # 网络安全日志分析 AI Agent 开发 **项目报告** **报告日期:** 2026年7月14日 **编写人:** Junaid ## 执行摘要 我们成功开发并演示了一个使用 Python 构建的功能完备的 AI 驱动网络安全日志分析 agent。该应用程序允许用户上传日志文件(CSV 格式),自动执行异常和威胁分析,并生成专业的 SOC 风格报告。 尽管在库安装和环境配置的初始设置中遇到了一些挑战,但演示展示了端到端的完整功能。该 agent 利用 LLM 能力(通过 OpenRouter)提供关于可疑用户活动、拒绝的操作、异常协议和潜在威胁的可操作性洞察。 ## 项目目标 - 构建一个用户友好的 Web 界面,用于上传和分析网络安全日志。 - 集成 AI/LLM,以智能检测异常、可疑行为和潜在威胁。 - 生成结构化的 SOC(安全运营中心)报告,总结关键发现。 - 支持常见的网络安全用例:日志分析、威胁检测、IP 调查和活动总结。 **[截图:执行摘要与目标]** ## 技术实现 - **前端:** Streamlit - **后端:** Python 3.12,包含 pandas、streamlit、crewai 等核心库,并通过 OpenRouter API 集成 LLM。 - **数据处理:** 包含网络流量、IP 地址、端口、协议、操作和用户详情的 CSV 日志文件。 - **AI 层:** 使用 OpenRouter API 进行基于 LLM 的分析和报告生成。 **[截图:VS Code 编辑器中的完整 Python 脚本]** ## 开发过程与挑战 1. **初始设置** - 编写并审查了脚本。 - 遇到了多个 Python 环境问题(Python 3.14 兼容性问题,通过使用 Python 3.12 解决)。 2. **库安装** - 通过终端安装了所需的包。 - 某些包需要额外的依赖项。 3. **API 配置** - OpenRouter API 密钥配置(通过 `.env` 文件加载)。 - 通过修正路径和拼写错误,解决了初始导入和命令错误。 4. **应用程序启动** - 命令:`streamlit run Buildings.py` - 本地服务器在 `http://localhost:8501` 成功启动。 **[截图:显示 Streamlit 服务器启动的终端输出]** ## 演示流程与结果 ### 第一步:应用程序界面 - 界面整洁,标题为 **“JUNAID AI Agent for Cybersecurity Use Cases”**。 - 包含用于上传日志的文件上传区域。 **[截图:Junaid AI Agent Web 界面全貌]** ### 第二步:日志上传 - 成功上传了示例日志文件(`company_h_logs.csv`)。 **[截图:日志文件上传成功界面]** ### 第三步:执行分析 - 提交了分析提示词。 - AI agent 处理了数据并生成了一份综合报告。 **[截图:分析执行与 Agent 发现]** ### 示例报告的关键发现(2026年6月24日) **[截图:生成的 SOC 报告 – 关键发现与概述]** **[截图:生成的 SOC 报告 – 威胁与建议]** ## 成就与影响 - **功能完备的原型:** 成功地从代码过渡到交互式 Web 应用,再到可操作的安全报告。 - **实用价值:** 自动化繁琐的日志分析,帮助 SOC 分析师专注于高优先级的威胁。 - **可扩展性:** 框架支持更多用例(威胁检测、IP 调查、活动总结)。 ## 经验教训 - 环境一致性(Python 版本、虚拟环境)对于依赖管理至关重要。 - 妥善处理 `.env` 中的 API 密钥可以防止运行时错误。 ## 结论 此 AI Agent 项目为智能网络安全助手奠定了坚实的基础。成功的演示——从克服设置障碍到交付精美的 SOC 风格报告——突显了技术能力和实际解决问题的能力。 该项目有效地将传统的日志分析与现代 AI 能力连接起来,为现实世界中的安全运营提供了巨大的潜力。 **[截图:最终报告结论或应用程序概述]** **报告结束**
标签:AI助手, DLL 劫持, Kubernetes, Python, Streamlit, 大语言模型, 安全运营, 扫描框架, 无后门, 访问控制, 逆向工具