技能库 1312 个

使用正则表达式或Logstash/Filebeat将不同格式的安全日志（Syslog、JSON、CEF）解析为结构化字段，提取关键攻击特征。

通过Elastic Maps或Leaflet将威胁情报（恶意IP、C2域名）在地图上进行可视化标注，支持热力图和聚类分析。

利用Python（ReportLab/Pandas）自动生成包含图表和指标的PDF/html安全周报/月报，支持模板化排版

通过统计聚类算法（如DBSCAN）对重复告警进行聚合，并可视化展示降噪前后的告警密度对比

基于资产扫描结果和漏洞库，使用Neo4j或Cytoscape绘制漏洞与资产的关联网络图，标注高危路径

使用Grafana、Kibana等工具，基于安全日志（如WAF、IPS、EDR）构建实时攻击事件可视化看板，支持按攻击类型、源IP、时间维度过滤

使用 ECharts 或 Plotly 生成多事件时间线对比图，展示攻击时序、告警趋势及响应时间间隔

基于MITRE ATT&CK框架，利用D3.js或Diagramming工具自动生成攻击链流程图，展示攻击者TTPs及关联事件

编写Spark/Flink作业对安全日志进行清洗、转换、富化（如GeoIP、DNS解析），加载至数据仓库。

基于图数据库（如Neo4j）构建攻击路径图谱，自动生成从入口点到失陷主机的溯源关系图

配置各类安全设备（如防火墙、IDS/IPS）和系统日志的采集规则，确保日志完整接入大数据平台。

实现基于时间窗口和相似度的告警去重、聚合算法，减少误报和重复告警，提升安全运营效率。

利用机器学习算法（孤立森林、自编码器等）对NetFlow等流量数据建模，检测DDoS、扫描等网络异常。

从AlienVault OTX、MISP等威胁情报源自动提取IOC（IP、域名、Hash），并标准化导入威胁检测系统（如SIEM、IDS/IPS）。

编写关联规则，将多源安全日志（如Splunk、ELK、自研引擎）关联为完整攻击链事件

开发实时流式计算任务（如Flink），计算每秒攻击次数、资产风险评分等安全KPI

解析IDS日志，提取特征用于训练机器学习分类模型

使用SHAP或LIME对安全机器学习模型的决策进行解释，生成可视化报告，辅助安全分析师理解模型行为

使用监督学习算法（如随机森林、XGBoost、深度学习）训练分类器，从网络流量数据中识别恶意流量模式，适用于网络安全攻防场景中的入侵检测系统（IDS）开发。

在联邦学习框架下，通过安全聚合机制保护客户端梯度隐私，防止恶意参与方或中央服务端窃取敏感信息。

对恶意软件API调用序列进行无监督聚类，发现未知变种

生成对抗性攻击样本并设计防御机制，增强模型鲁棒性，适用于安全机器学习工程师在网络安全攻防场景中评估和加固模型。

开发脚本自动将模型检测到的安全事件上报至SIEM系统

训练NLP模型对邮件内容进行二分类，识别钓鱼邮件