luixzsantos/Security-Analysis-Engine

# 安全分析引擎 ## 项目描述 一个能够处理系统日志、网络文件和源代码以检测可疑行为和潜在漏洞的安全分析平台。 该系统采用模块化和服务导向架构，旨在学习软件架构、信息安全和多语言开发。 启发本项目的工具： - Wireshark - SonarQube # 🎯 学术目标 培养以下方面的技能： - 软件架构 - 数据分析 - 信息安全 - 分布式 API - 多语言开发 # 🧠 技术 ### 语言 - Python → CLI 和脚本 - C# → 后端 API - Kotlin → 分析引擎 - Node.js → 服务间集成 ### 数据库 PostgreSQL # 🏗 系统架构 ``` CLI (Python) ↓ API Backend (C#) ↓ Analysis Engine (Kotlin) ↓ Database ``` 流程： 1. 用户通过 CLI 执行分析 2. CLI 将数据发送给 API 3. API 处理并保存数据 4. 引擎分析事件 5. 生成告警 # 📁 仓库结构 ``` security-analysis-engine/ cli-python/ api-csharp/ analysis-engine-kotlin/ integration-node/ database/ tests/ docs/ ``` # ⚙️ 系统模块 ## CLI (终端界面) 功能： 直接通过终端执行分析。 计划命令： ``` security-engine scan logs.txt security-engine analyze network.pcap security-engine check code/ ``` 职责： - 读取文件 - 将数据发送给 API - 显示结果 ## 后端 API 功能： 管理模块间的通信。 初始端点： ``` POST /scan/logs POST /scan/network POST /scan/code GET /alerts GET /events ``` 职责： - 接收文件 - 验证数据 - 存入数据库 - 发送给分析引擎 ## 分析引擎 系统核心模块。 职责： - 处理日志 - 检测可疑模式 - 生成安全告警 检测类型： ### 暴力破解 连续超过 5 次登录失败。 ### 可疑登录 来自不同 IP 的登录。 ### 事件洪水 短时间内产生大量事件。 ### 端口扫描 快速连接多个端口。 # 🧪 结果示例 输入： ``` login failed login failed login failed login failed login failed ``` 输出： ``` ALERT: Possible brute force attack IP: 192.168.1.25 Attempts: 5 ``` # 📊 使用的结构和算法 数据结构： - 列表 - 映射 - 队列 - 事件计数器 算法： - 频率分析 - 模式匹配 - 异常检测 # 👥 工作分工 ## Luiz Fernando 负责安全和分析。 任务： - Python CLI - Kotlin 分析引擎 - 检测规则 - 分析算法 ## Matheus Ventura 负责架构和后端。 任务： - C# API - 服务间集成 - 数据库 - 集成测试 # 📅 开发路线图 ## 第 1 周 — 项目结构 目标：准备环境和架构。 任务： - [x] 创建 GitHub 仓库 - [ ] 创建文件夹结构 - [ ] 配置数据库 - [ ] 创建初始 API - [ ] 创建基础 CLI 本周目标： ✔ CLI 向 API 发送数据 ## 第 2 周 — 数据处理 目标：系统处理日志。 任务： - [ ] 实现日志发送 - [ ] 将事件保存到数据库 - [ ] 创建日志解析器 - [ ] 集成测试 本周目标： ✔ 系统存储事件 ## 第 3 周 — 分析引擎 目标：检测攻击。 任务： - [ ] 创建 Kotlin 引擎 - [ ] 实现检测规则 - [ ] 生成自动告警 - [ ] 使用模拟数据进行测试 本周目标： ✔ 系统检测可疑事件 ## 第 4 周 — 优化 目标：提升项目质量。 任务： - [ ] 改进算法 - [ ] 创建自动化测试 - [ ] 技术文档 - [ ] 架构审查 本周目标： ✔ 系统可用版本 # 📚 文档 创建： ### README.md 内容： - 项目描述 - 架构 - 技术 - 安装说明 - 使用示例 ### 图表 - 系统架构 - 数据流 - 服务间通信 # 🚀 未来改进 初始版本之后： - 支持网络分析 - 基于机器学习的检测 - 源代码分析 - 插件系统 - 与防火墙集成 # 🎯 预期成果 在项目结束时，你们将拥有： - 一个功能完备的安全分析引擎 - 多语言架构 - 分布式 API 经验 - 强大的学术和专业作品集项目 # 📂 安全分析引擎 项目主页。 页面内容： - 项目描述 - 技术 - GitHub 链接 - 总体路线图 子页面： ``` Security Analysis Engine │ ├── 📁 1. Project Overview ├── 📁 2. Architecture ├── 📁 3. Modules ├── 📁 4. Database ├── 📁 5. Algorithms ├── 📁 6. Development Roadmap ├── 📁 7. Tasks ├── 📁 8. Documentation ├── 📁 9. Research └── 📁 10. Future Improvements ``` # 📁 1. 项目概述 内容： ``` Project Overview │ ├── 📄 Project Description ├── 📄 Objectives ├── 📄 Technologies └── 📄 Team Roles ``` ### 项目描述 系统总体描述。 ### 目标 - 提升语言知识 - 学习分布式架构 - 创建作品集项目 ### 技术 使用的语言： - Python - C# - Kotlin - Node.js # 📁 2. 架构 ``` Architecture │ ├── 📄 System Architecture ├── 📄 Service Communication └── 📄 Data Flow ``` ### 系统架构 流程： ``` CLI (Python) ↓ API (C#) ↓ Analysis Engine (Kotlin) ↓ Database ``` # 📁 3. 模块 ``` Modules │ ├── 📁 CLI ├── 📁 API Backend ├── 📁 Analysis Engine └── 📁 Integration Service ``` ## 📂 CLI ``` CLI │ ├── 📄 Commands ├── 📄 Implementation └── 📄 Tests ``` 命令示例： ``` security-engine scan logs.txt security-engine analyze network.pcap security-engine check code/ ``` ## 📂 后端 API ``` API Backend │ ├── 📄 Endpoints ├── 📄 Authentication └── 📄 Data Processing ``` 端点： ``` POST /scan/logs POST /scan/network POST /scan/code GET /alerts ``` ## 📂 分析引擎 ``` Analysis Engine │ ├── 📄 Log Analysis ├── 📄 Detection Rules └── 📄 Alert Generation ``` 初始规则： - 暴力破解 - 可疑登录 - 事件洪水 - 端口扫描 ## 📂 集成服务 ``` Integration Service │ ├── 📄 Event Routing └── 📄 Service Communication ``` # 📁 4. 数据库 ``` Database │ ├── 📄 Schema ├── 📄 Tables └── 📄 Queries ``` 表： events alerts # 📁 5. 算法 ``` Algorithms │ ├── 📄 Data Structures ├── 📄 Pattern Detection └── 📄 Anomaly Detection ``` 内容： 结构： - 列表 - 映射 - 队列 算法： - 频率分析 - 模式匹配 # 📁 6. 开发路线图 ``` Development Roadmap │ ├── 📄 Week 1 Setup ├── 📄 Week 2 Data Processing ├── 📄 Week 3 Detection Engine └── 📄 Week 4 Optimization ``` # 📁 7. 任务 此页面是 **Notion 中的任务数据库**。 建议列： ``` Task Status Priority Module Assigned To Deadline ``` 示例： | 任务 | 状态 | 模块 | | --- | --- | --- | | 创建 CLI | 待办 | CLI | | 创建 API | 进行中 | 后端 | | 实现暴力破解检测 | 待办 | 分析引擎 | # 📁 8. 文档 ``` Documentation │ ├── 📄 README ├── 📄 Setup Guide ├── 📄 API Documentation └── 📄 System Diagrams ``` # 📁 9. 研究 技术研究页面。 ``` Research │ ├── 📄 Log Analysis ├── 📄 Security Detection Techniques └── 📄 Network Analysis ``` 学习工具： - Wireshark - SonarQube # 📁 10. 未来改进 ``` Future Improvements │ ├── 📄 Machine Learning Detection ├── 📄 Network Traffic Analysis ├── 📄 Plugin System └── 📄 Cloud Deployment ``` # 📂 项目结构 (用于在 VS Code 中打开) ``` security-analysis-engine/ │ ├── cli-python/ │ ├── main_cli.py │ ├── log_sender.py │ └── requirements.txt │ ├── api-csharp/ │ ├── Program.cs │ ├── Controllers/ │ │ └── LogController.cs │ ├── Models/ │ │ └── LogRequestModel.cs │ └── SecurityAPI.csproj │ ├── analysis-engine-kotlin/ │ ├── MainAnalysisEngine.kt │ ├── LogParser.kt │ ├── BruteForceDetector.kt │ └── AlertModel.kt │ ├── database/ │ └── database_schema.sql │ ├── test-data/ │ └── example_logs.txt │ └── README.md ``` # 📁 cli-python 这里是使用 Python 的 CLI。 ### 文件 ``` cli-python/ │ ├── main_cli.py ├── log_sender.py └── requirements.txt ``` ### main_cli.py 在终端运行的主文件。 使用示例： ``` python main_cli.py example_logs.txt ``` 负责： - 读取终端参数 - 调用日志发送 ### log_sender.py 负责： - 读取日志文件 - 发送给 API 分离这部分可以改善**代码架构**。 ### requirements.txt Python 依赖项。 ``` requests ``` 安装： ``` pip install-r requirements.txt ``` # 📁 api-csharp 使用 C# 和 .NET 构建的后端。 ``` api-csharp/ │ ├── Program.cs ├── SecurityAPI.csproj │ ├── Controllers/ │ └── LogController.cs │ └── Models/ └── LogRequestModel.cs ``` ### Program.cs API 主文件。 负责： - 启动服务器 - 配置路由 - 配置服务 ### Controllers/LogController.cs 负责接收日志的控制器。 主要端点： ``` POST /scan/logs ``` 负责： - 接收日志 - 发送以进行分析 - 返回响应 ### Models/LogRequestModel.cs 请求数据模型。 定义： ``` log timestamp source ``` # 📁 analysis-engine-kotlin 使用 Kotlin 构建的引擎。 ``` analysis-engine-kotlin/ │ ├── MainAnalysisEngine.kt ├── LogParser.kt ├── BruteForceDetector.kt └── AlertModel.kt ``` ### MainAnalysisEngine.kt 引擎主文件。 负责： - 接收日志 - 调用分析 - 生成告警 ### LogParser.kt 负责： - 将文本转换为结构化事件 示例： ``` login failed -> evento de autenticação ``` ### BruteForceDetector.kt 负责检测： - 暴力破解攻击 - 多次登录失败 ### AlertModel.kt 定义告警结构。 示例： ``` tipo descrição timestamp severidade ``` # 📁 database ``` database/ database_schema.sql ``` 包含表创建的文件。 示例： ``` events alerts ``` # 📁 test-data ``` test-data/ example_logs.txt ``` 测试用文件。 示例： ``` login failed login failed login failed login failed login failed login success ``` # 📄 README.md 项目文档。 建议内容： ``` Descrição Arquitetura Tecnologias Como rodar o projeto Exemplos de uso ``` # 🚀 系统完整流程 ``` CLI (main_cli.py) ↓ API (LogController.cs) ↓ Analysis Engine (MainAnalysisEngine.kt) ↓ Database ```

标签：AMSI绕过, API开发, BurpSuite集成, CCTV/网络接口发现, C Sharp, DNS 反向解析, Kotlin, meg, MITM代理, Nodejs, PostgreSQL, Python, 云安全监控, 信息安全, 分布式系统, 响应大小分析, 多人体追踪, 多语言编程, 威胁检测, 子域名变形, 安全分析平台, 密码管理, 异常行为检测, 微服务架构, 插件系统, 无后门, 测试用例, 源代码审计, 红队行动, 网络流量分析, 软件架构, 逆向工具, 静态分析, 默认DNS解析器