本文提出 Smart-SIEM，一个为开源 Wazuh SIEM 平台设计的 AI 模块，旨在解决传统基于规则的关联引擎在检测多步 Web 应用攻击时缺乏上下文感知的问题。核心贡献包括：1) 为每个源 IP 构建行为上下文向量，包含 HTTP 响应状态分布、峰值规则触发计数及最近最多 N 个历史事件的 MITRE ATT&CK 技术频率；2) 两级混合级联模型：第一级使用 LightGBM 进行二分类（攻击/正常），第二级使用 XGBoost 进行六类攻击类型分类。实验在 46,454 个精心构造的 Wazuh 安全事件上进行，结果显示上下文特征使所有测试的梯度提升算法在二分类平均宏 F1 从约 0.705 提升至 0.947-0.967（平均增益 +0.254），在六类分类中提升至 0.876-0.914（平均增益 +0.324）。混合级联模型在二分类上达到 0.967 F1，六类分类上达到 0.914 F1。特别地，Wazuh 原生规则引擎对暴力破解和认证破坏事件的检测率为 0%，而 AI 模块分别检测到 100% 和 98.3%。此外，自适应重训练机制能应对概念漂移：当出现未知攻击类型时，F1 从 0.905 降至 0.465，但在合并语料库上重训练后恢复至 0.814。该研究适合 SIEM 安全分析师、AI 安全研究员及 SOC 团队阅读，提供了将行为画像与 MITRE ATT&CK 框架集成到开源 SIEM 中的可行方案。