jcabangonzalez/logsec-toolkit
GitHub: jcabangonzalez/logsec-toolkit
基于规则的威胁检测与 AI 驱动报告生成相结合的 Python CLI 工具,用于离线分析 Apache 和 OWASP Juice Shop 日志中的安全事件。
Stars: 0 | Forks: 0
# LogSec 工具包
用于 Apache 访问日志和 OWASP Juice Shop docker 日志的防御性日志分析 CLI。
将基于规则的威胁检测与 AI 驱动的分析相结合(Claude + Gemini 备用方案)。
专为实验室环境中的防御性安全实践和基于日志的威胁检测而设计。
## 功能
- Apache/Nginx 访问日志解析与分析
- 高频 IP 检测与流量分析
- 4xx / 5xx 错误追踪
- 暴力破解登录检测启发式算法
- 漏洞扫描器检测
- Flood/DDoS 攻击模式检测
- OWASP Juice Shop docker 日志解析
- 可疑管理员登录指标检测(实验室环境)
- 按 IP 统一的统一风险评分(LOW / MEDIUM / HIGH / CRITICAL)
- 通过 Claude API 生成 AI 驱动的安全报告(Gemini 备用方案)
- JSON 格式的结构化输出
- 命令行界面 (CLI)
## 安装
克隆仓库:
```
git clone https://github.com/jcabangonzalez/logsec-toolkit.git
cd logsec-toolkit
```
## 设置
```
pip install anthropic google-genai python-dotenv requests
```
创建 `.env` 文件并配置 `ANTHROPIC_API_KEY` 和 `GEMINI_API_KEY`。
## 使用方法
PYTHONPATH=logsec-toolkit/src python3 -m logsec apache logsec-toolkit/samples/access.log
### Apache 日志安全分析器
分析 Apache 访问日志并检测可疑活动。
#### 运行分析器
```
python3 analyzer.py access.log
```
#### 检测内容
* 按请求量排名的最高频 IP 地址
* HTTP 错误统计
* 可能的暴力破解登录尝试
* 可疑的高频 IP 活动
### Apache 日志
```
PYTHONPATH=src python3 -m logsec.cli apache samples/access.log --top 5
```
### OWASP Juice Shop 日志
```
PYTHONPATH=src python3 -m logsec.cli juice samples/juice_shop_docker.log --top 10
```
### JSON 输出示例
```
{
"summary": {
"total_requests": 10,
"errors_4xx": 0,
"errors_5xx": 0
},
"top_ips": [
{"ip": "127.0.0.1", "count": 5},
{"ip": "192.168.1.10", "count": 5}
],
"alerts": [
{
"type": "brute_force",
"endpoint": "/login",
"ip": "192.168.1.10",
"attempts": 5
}
]
}
```
## 技术栈
- Python 3.10+
- Anthropic Claude API (claude-haiku-4-5)
- Google Gemini API (备用方案)
- argparse, collections, re, dotenv
标签:AI分析, AMSI绕过, Apache日志分析, CISA项目, Claude API, DDoS检测, Gemini API, Nginx日志分析, OWASP Juice Shop, Python, Web安全, 免杀技术, 威胁检测, 安全日志分析, 异常检测, 无后门, 日志解析, 暴力破解检测, 漏洞扫描器检测, 瑞士军刀, 红队行动, 网络安全, 蓝队分析, 证书伪造, 逆向工具, 防御性安全, 隐私保护