❗Redline❗
Threat Hunter: 行为日志分析引擎🛡️

Redline 是一款开源日志分析引擎，旨在从系统/进程日志中识别可疑行为、潜在恶意软件活动和异常执行链。它利用行为启发式、LOLBin 检测和执行关联技术，提供清晰的建议以及安全事件的英文描述。

点击此处在线使用 REDLINE

⤹ 功能特性 ⤸

🔺可疑行为检测

检测高风险路径、命令、进程和网络活动。

🔺LOLBIN 与父子进程分析

识别 Living-off-the-Land 二进制文件和异常进程链。

🔺信号堆叠 / 关联分析

跨日志行整合多个指标以评估威胁评分。

🔺英文描述

自动生成活动可疑原因的解释说明。

🔺执行时间线可视化

按时间顺序追踪每个用户/进程的可疑事件。

🔺处置建议

根据行为评分建议拦截 (BLOCK)、监控 (MONITOR) 或放行 (ALLOW)。

🔺即用型 Python 代码

代码整洁、模块化，易于扩展以支持自定义威胁指标。

⚙️ 安装说明

克隆仓库： git clone https://github.com/Glitchingreality/REDLINE.git cd redline 安装依赖： pip install -r requirements.txt

📝 使用方法

针对 CSV 日志文件运行分析器： python redline.py sample_logs.csv CSV 格式示例： ``` timestamp,user,process,parent,path,action,policy 2026-01-22 08:53:01,frank,certutil.exe,cmd.exe,C:\Windows\Temp,FileWrite,Blocked 2026-01-22 08:53:05,frank,certutil.exe,cmd.exe,C:\Windows\Temp,FileWrite,Blocked 2026-01-22 08:53:08,frank,cmd.exe,explorer.exe,C:\Windows\Temp,ProcessStart,Allowed ``` 输出内容包括： - 每行日志的评分、建议和推理 - 带有可疑活动高亮的执行时间线 - 关键行为和升级点的叙述性摘要
🖥️ 示例输出
``` === Execution Timeline for frank === [08:53:01] cmd.exe → certutil.exe (ProcessStart) • Suspicious command: cmd.exe • Suspicious command: certutil • LOLBIN execution chain detected: cmd.exe → certutil ▲ Elevated activity Narrative Summary: User 'frank' exhibited suspicious behavior beginning at 08:53:01, starting with 'certutil.exe'. The activity progressed through multiple events and culminated in 'cmd.exe'. Key observed behaviors include LOLBIN chains, suspicious commands, and correlated indicators. ⚠ Escalation detected at certutil.exe (08:53:01) ```










#

"独自上路太危险！拿着这个..."
[☄️🧙🏾‍♂️](https://glitchingreality.github.io)

标签：AMSI绕过, BurpSuite集成, DNS 解析, EDR辅助, IP 地址批量处理, Kubernetes, LOLBins检测, Python安全工具, Web报告查看器, 事件关联分析, 启发式分析, 威胁检测, 安全事件响应, 安全合规, 异常检测, 恶意软件识别, 执行链可视化, 知识库安全, 系统日志, 网络代理, 网络信息收集, 网络安全, 网络安全审计, 进程链分析, 逆向工具, 隐私保护