AI自动化安全应急响应排查系统

本项目旨在为企业安全运营团队提供一套全自动化的Linux服务器应急响应排查系统，大幅降低人工排查的时间成本和技术门槛。系统通过Web管理界面统一管理资产，一键下发排查任务，自动执行250+项安全检测，覆盖用户权限、文件系统、网络连接、进程行为、持久化后门、Rootkit、Webshell、挖矿木马、横向移动、数据窃取等8大安全模块。核心业务流程为：资产录入 → 创建排查任务 → 自动SSH连接目标服务器 → 执行全模块检测 → 生成风险评分和深度分析报告。系统支持仪表盘实时展示风险态势，报告中心提供HTML/Markdown双格式输出，支持IOC（攻击指标）自动提取汇总，帮助安全人员快速定位威胁并制定处置方案。

整体采用前后端分离架构，后端使用Go语言开发RESTful API，前端使用Vue.js构建SPA单页应用，数据存储采用SQLite轻量级数据库。技术栈包括：Gin框架处理HTTP路由、JWT认证鉴权、GORM操作数据库、SSH远程执行检测脚本。

我负责系统全部模块的设计与开发，主要成果包括：
1. 设计并实现了8大检测模块共250+项检测规则，覆盖SUID后门、PAM注入、LD_PRELOAD劫持、SSH CA证书后门、memfd无文件攻击、内核线程伪装等高级威胁
2. 实现了SUID白名单30+项、内核线程智能识别等误报消除机制，将误报率降低至接近0%
3. 开发了深度分析报告引擎，自动生成执行摘要、关键发现TOP5、风险全景图、IOC汇总等专业内容

遇到的难点：Linux内核线程被误判为隐藏恶意进程，通过分析/proc/[pid]/status中的Kthread标志和ppid=2的特征进行精准区分；Cron任务解析时注释行被误报为NOPASSWD提权，通过正则增加行首注释符排除逻辑解决。