📂 项目名称
LogGuard:基于 AI 异常检测与地理围栏的分布式日志安全审计系统 (LogGuard: Distributed Log Security Audit System Based on AI & Geo-fencing)
🏗️ 1. 系统架构设计 (System Architecture)
你实现了一套标准的 分布式 C/S (Client-Server) 架构,模拟了企业级安全运维场景。
数据采集层 (Edge Layer):分布在各个业务服务器上的轻量级探针,负责“听”。
传输层 (Transport Layer):基于 HTTP/HTTPS 的安全数据通道,负责“传”。
分析层 (Core Layer):中心化的数据处理引擎,负责“算”。
展示层 (Visual Layer):基于 Web 的态势感知大屏,负责“看”。
核心功能实现 (Core Implementation)
A. 分布式探针 (The Agent)
技术实现:Python (requests, time, re) + Systemd 守护进程。
功能:
实时监听:自动轮询 Web 服务器(如 Nginx)的访问日志。
断点续传:具备基本的错误重试机制,确保网络波动时探针不挂。
安全上报:实现了 API Key / Token 鉴权机制,防止非法数据伪造上传。
B. 智能威胁分析引擎 (The Brain)
规则引擎 (Rule-based):
使用正则表达式 (Regex) 精准识别 SQL 注入 (' OR '1'='1)、XSS 跨站脚本、WebShell 扫描 等已知攻击特征。
AI 异常检测 (AI-based):
集成 Scikit-learn 的 孤立森林算法 (Isolation Forest),无需标注数据即可识别流量异常(如频率突增、非正常时间访问)。
模块 采用技术 作用
开发语言 Python 3.9+ 全栈开发核心
后端框架 Flask 构建 RESTful API 接口
前端可视化 ECharts 5.0 数据大屏与地理热力图渲染
数据库/存储 SQLite / SQLAlchemy 存储日志与统计结果
地理信息 MaxMind GeoIP2 真实 IP 地理位置解析
机器学习 Scikit-learn 异常流量建模 (Isolation Forest)
自动化运维 Ansible / Docker (可选) 批量部署与环境一致性
测试 Pytest 单元测试与代码质量保证
评论