oams84/python-threat-hunting-tool

GitHub: oams84/python-threat-hunting-tool

一个基于 Python 的实时 SSH 暴力破解检测与响应工具，解析认证日志并输出多格式告警。

Stars: 0 | Forks: 0

# 🔐 Python 威胁狩猎与事件响应工具 ## 🚨 实时演示（实时检测）该工具实时监控认证日志，并检测 SSH 暴力破解攻击。示例输出： [ALERT] 时间戳: 2026-04-14T00:05:04 IP: 127.0.0.1 失败尝试次数: 2 威胁情报: 未知原因: 在本地威胁源中未找到匹配项 ![License: MIT](https://img.shields.io/badge/License-MIT-yellow.svg) ![Python](https://img.shields.io/badge/Python-3.12-blue) ![Version](https://img.shields.io/badge/version-v1.0-blue) ![Platform](https://img.shields.io/badge/Platform-Ubuntu-orange) ![Status](https://img.shields.io/badge/Status-Active-success) ![Security](https://img.shields.io/badge/Focus-Cybersecurity-red) 这是一个基于 Ubuntu Linux 的 Python 威胁狩猎与事件响应项目。该工具解析认证日志，检测暴力破解登录尝试，使用本地威胁情报丰富可疑 IP，并导出多种格式的告警信息。 ## 功能特性 - 解析真实的 Ubuntu `/var/log/auth.log` - 检测重复的 SSH 登录失败尝试 - 按源 IP 统计失败登录次数 - 使用本地威胁情报丰富告警 - 将告警导出为 TXT、CSV 和 JSON 格式 - 模拟自动响应并记录被阻止的 IP - 防止重复记录被阻止的 IP 条目 ## 项目文件 - `parser.py` - 解析认证日志 - `detector.py` - 统计失败尝试并检测暴力破解活动 - `threat_intel.py` - 检查 IP 信誉以匹配本地威胁源 - `response.py` - 模拟阻止可疑 IP - `main.py` - 运行完整工作流 ## 运行方法 ``` sudo python3 main.py ```

标签：GitHub, IP封禁, JSON导出, Linux安全工具, Python, Python3.12, SSH暴力破解, sudo, TXT导出, WSL, 失败尝试计数, 威胁情报, 实时检测, 开发者工具, 开源安全工具, 无后门, 自动化响应, 认证日志解析, 逆向工具, 逆向工程平台, 重复IP处理