基于深度学习的实时入侵检测系统：神经网络与SIEM的融合实践

介绍sharvesh830在GitHub发布的neural-network-ids项目（2026-06-16）。该生产级系统采用双阶段深度学习架构，可检测15种攻击类型，准确率达95.61%，并与Wazuh SIEM深度集成，提供实时监测、多渠道告警及自动化响应能力，为中小型企业SOC建设提供可落地方案。

传统规则IDS难以应对复杂未知威胁，深度学习为网络安全带来新可能。本项目结合神经网络与SIEM构建实时入侵检测方案，基于CICIDS2017数据集（80万流量样本）训练，识别15种攻击类型，准确率95.61%，助力中小企业SOC建设。

核心为双阶段检测机制：1.多分类神经网络识别15种已知攻击（如DDoS、DoS Hulk等，DDoS检测精度99.2%）；2.自编码器检测未知异常。系统支持实时流量捕获，提取网络流特征（包大小、时间间隔等），亚秒级延迟（100ms/流），吞吐量超1000流/秒，内存占用约2GB。

检测到威胁后通过多渠道告警：控制台彩色输出（含攻击类型、置信度、IP等）；与Wazuh SIEM深度集成，事件标准化转发至Wazuh管理器；智能邮件告警（速率限制、聚合策略，仅高/严重级别）。同时支持威胁情报集成，查询IP信誉、历史记录等丰富告警信息。

具备自动化响应能力：SEVERE级威胁自动封禁攻击源IP（默认1小时），支持白名单/黑名单、手动解封、阈值可调。部署采用分布式架构：Windows 11主机（训练环境，PyTorch+CICIDS2017）；Ubuntu虚拟机（生产环境，Wazuh组件+推理引擎）。系统要求Python3.8+、PyTorch、Scapy等。

适用场景：1.中小企业SOC建设（替代昂贵商业设备）；2.安全培训与演练（学习入侵检测原理）；3.红蓝对抗（蓝队监测工具）；4.IoT/工控网络保护（轻量级资源占用）。

该项目展示深度学习在网络安全的应用价值，通过双阶段架构、SIEM集成等提供完整解决方案。未来可改进方向：引入Transformer提升时序建模、支持HTTP/2等协议解析、集成MITRE ATT&CK框架。是开源社区值得研究二次开发的资源。