安全仪表盘告诉你什么触发了警报,但未必告诉你发生了什么。
这是我做NetGuard Gemma 4本地SOC分析师项目的出发点。它是一套本地优先的网络安全演示方案,用Gemma 4当分析师,处理脱敏后的安全遥测数据。
传统安全运营中心(SOC)的工作流里,分析师每天要面对海量孤立警报。这个项目尝试换个思路:把一段Suricata或Wazuh风格的日志块丢给Gemma 4,让它把事件串成结构化的 incident 报告。不是每条警报单独看,而是让模型读整个事件窗口,输出攻击时间线、受影响资产、建议响应步骤,以及置信度评分。
核心目标是给小规模SOC工作流加一个本地分析层——能读嘈杂的遥测数据,关联相关事件,生成可用的incident报告,同时不把敏感日志发到外部托管模型。
本地演示包含什么
样本日志窗口设计了一个多阶段攻击模式:外部IP扫描、可疑登录、横向移动尝试、数据外联。关键不在于Gemma 4总结单条警报,而在于它被要求把整个序列串起来。
演示视频是无声 walkthrough,展示GitHub仓库、本地NetGuard界面、脱敏样本日志,以及Gemma 4的结构化incident输出。
项目最终本地审计结果:11项全部通过。我还加了防护机制,过大的日志窗口会在进入本地推理前被拒绝。
技术选型:为什么是Gemma 4 E4B Q8_0
通过Ollama本地运行Gemma 4 E4B Q8_0。选这个型号是因为项目需要本地推理安全日志,不是要一个庞大的托管模型。目标是在本地硬件上保持实用性,同时让Gemma 4承担核心分析任务。
Gemma 4是这个项目的核心推理引擎,不只是用来写文案或做通用聊天回复。
主接口是POST /analyze-logs,向Gemma 4发送脱敏日志窗口,要求返回严格JSON格式的incident报告,包含:攻击时间线、受影响资产、建议响应步骤、置信度评分。
本地优先的安全设计
安全日志可能暴露内网IP、用户名、主机名和网络行为。这就是为什么项目围绕本地推理和脱敏输入来设计。
脱敏器保留有用的事件结构,同时替换敏感值。这让模型能基于真实的遥测数据推理,又不会在演示中暴露私有数据。
本地优先设计的技术栈:Ollama运行Gemma 4 E4B Q8_0,自定义日志脱敏器,基于JSON的严格输出模式,本地FastAPI后端,轻量Web界面。
从单条警报到日志窗口解剖
这个项目最强的版本不是单条警报分析。更强的思路是日志窗口解剖——单条警报能告诉你有可疑行为发生,一系列事件能告诉你整个incident的故事。
Gemma 4的价值就在这里:读取多条相关事件,转成分析师风格的报告。
下一步计划
接下来会扩展UI,做成更丰富的NetGuard仪表盘面板,包括:实时日志流可视化,可交互的时间线视图,与现有SIEM工具的集成点,可配置的检测规则界面。
这个项目是给小型SOC工作流装一个本地分析师大脑。Gemma 4读取证据窗口,关联相关活动,返回防御者真正能用的结构化报告。
GitHub Release地址:https://github.com/cbw29512/GeminiHackathon/releases/tag/demo-v1
主仓库:https://github.com/cbw29512/GeminiHackathon
热门跟贴