Junaid-1972/AI-Driven-Log-Analyser
GitHub: Junaid-1972/AI-Driven-Log-Analyser
基于 LLM 的网络安全日志分析助手,帮助 SOC 团队自动从 CSV 日志中检测异常并生成结构化安全报告。
Stars: 0 | Forks: 0
# AI-Driven-Log-Analyser
本项目展示了安全运营中心 (SOC) 自动化的深度发展。这是一个基于 AI 的网络安全日志分析智能体,能够自动化执行异常检测并生成专业的 SOC 报告。该工具旨在支持 NIST CSF 的检测/响应以及 ISO 27001 附录 A.5 和 A.8,帮助安全团队高效地将原始日志转化为可操作的情报。
# 网络安全日志分析 AI Agent 开发
**项目报告**
**报告日期:** 2026年7月14日
**编写人:** Junaid
## 执行摘要
我们成功开发并演示了一个使用 Python 构建的功能完备的 AI 驱动网络安全日志分析 agent。该应用程序允许用户上传日志文件(CSV 格式),自动执行异常和威胁分析,并生成专业的 SOC 风格报告。
尽管在库安装和环境配置的初始设置中遇到了一些挑战,但演示展示了端到端的完整功能。该 agent 利用 LLM 能力(通过 OpenRouter)提供关于可疑用户活动、拒绝的操作、异常协议和潜在威胁的可操作性洞察。
## 项目目标
- 构建一个用户友好的 Web 界面,用于上传和分析网络安全日志。
- 集成 AI/LLM,以智能检测异常、可疑行为和潜在威胁。
- 生成结构化的 SOC(安全运营中心)报告,总结关键发现。
- 支持常见的网络安全用例:日志分析、威胁检测、IP 调查和活动总结。
**[截图:执行摘要与目标]**
## 技术实现
- **前端:** Streamlit
- **后端:** Python 3.12,包含 pandas、streamlit、crewai 等核心库,并通过 OpenRouter API 集成 LLM。
- **数据处理:** 包含网络流量、IP 地址、端口、协议、操作和用户详情的 CSV 日志文件。
- **AI 层:** 使用 OpenRouter API 进行基于 LLM 的分析和报告生成。
**[截图:VS Code 编辑器中的完整 Python 脚本]**
## 开发过程与挑战
1. **初始设置**
- 编写并审查了脚本。
- 遇到了多个 Python 环境问题(Python 3.14 兼容性问题,通过使用 Python 3.12 解决)。
2. **库安装**
- 通过终端安装了所需的包。
- 某些包需要额外的依赖项。
3. **API 配置**
- OpenRouter API 密钥配置(通过 `.env` 文件加载)。
- 通过修正路径和拼写错误,解决了初始导入和命令错误。
4. **应用程序启动**
- 命令:`streamlit run Buildings.py`
- 本地服务器在 `http://localhost:8501` 成功启动。
**[截图:显示 Streamlit 服务器启动的终端输出]**
## 演示流程与结果
### 第一步:应用程序界面
- 界面整洁,标题为 **“JUNAID AI Agent for Cybersecurity Use Cases”**。
- 包含用于上传日志的文件上传区域。
**[截图:Junaid AI Agent Web 界面全貌]**
### 第二步:日志上传
- 成功上传了示例日志文件(`company_h_logs.csv`)。
**[截图:日志文件上传成功界面]**
### 第三步:执行分析
- 提交了分析提示词。
- AI agent 处理了数据并生成了一份综合报告。
**[截图:分析执行与 Agent 发现]**
### 示例报告的关键发现(2026年6月24日)
**[截图:生成的 SOC 报告 – 关键发现与概述]**
**[截图:生成的 SOC 报告 – 威胁与建议]**
## 成就与影响
- **功能完备的原型:** 成功地从代码过渡到交互式 Web 应用,再到可操作的安全报告。
- **实用价值:** 自动化繁琐的日志分析,帮助 SOC 分析师专注于高优先级的威胁。
- **可扩展性:** 框架支持更多用例(威胁检测、IP 调查、活动总结)。
## 经验教训
- 环境一致性(Python 版本、虚拟环境)对于依赖管理至关重要。
- 妥善处理 `.env` 中的 API 密钥可以防止运行时错误。
## 结论
此 AI Agent 项目为智能网络安全助手奠定了坚实的基础。成功的演示——从克服设置障碍到交付精美的 SOC 风格报告——突显了技术能力和实际解决问题的能力。
该项目有效地将传统的日志分析与现代 AI 能力连接起来,为现实世界中的安全运营提供了巨大的潜力。
**[截图:最终报告结论或应用程序概述]**
**报告结束**
标签:AI助手, DLL 劫持, Kubernetes, Python, Streamlit, 大语言模型, 安全运营, 扫描框架, 无后门, 访问控制, 逆向工具