oams84/windows-threat-detection-tool
GitHub: oams84/windows-threat-detection-tool
一款基于 Python 的 Windows 安全日志分析工具,用于检测暴力破解与定向账户攻击并生成多格式告警。
Stars: 0 | Forks: 0
# 🪟 Windows 威胁检测工具
## 📌 概述
**Windows 威胁检测工具** 是一个基于 Python 的网络安全项目,通过分析 Windows 身份验证日志模拟 **安全运营中心(SOC)** 的工作流程。
它能够检测:
- 暴力破解登录尝试
- 针对性账户攻击
- 可疑的失败登录活动
## 🚀 关键特性
- 🔍 解析 Windows 风格的安全日志(事件 ID 4625 – 登录失败)
- 📊 按源 IP 和用户账户跟踪失败登录尝试
- ⚠️ 使用可配置的阈值检测暴力破解攻击
- 🎯 识别针对性账户攻击
- 🕒 生成时间戳警报
- 📁 将警报导出为 TXT、CSV 和 JSON 格式
## 🧩 系统架构
```
Windows Security Logs
|
v
Parser
|
v
Detection Engine
/ \
v v
IP Detection User Detection
\ /
v v
Alert Generation
|
v
TXT / CSV / JSON Reports
```
## 🖥️ 运行步骤
### 1. 克隆仓库
```
git clone https://github.com/oams84/windows-threat-detection-tool.git
cd windows-threat-detection-tool
```
### 2. 检查 Python
```
python3 --version
```
### 3. 使用示例日志文件
```
Location:
logs/windows_security.csv
```
```
📊 Example Output
timestamp,event_id,account_name,source_ip,status
2026-04-14 09:00:01,4625,admin,192.168.1.50,Failed
```
### 4. 运行工具
```
python3 main.py
```
### 📁 项目结构
```
windows_threat_detection/
├── logs/
│ └── windows_security.csv
├── reports/
├── parser.py
├── detector.py
├── main.py
├── README.md
└── requirements.txt
```
## 📂 生成的报告
- alerts.txt → 人类可读的警报
- alerts.csv → 结构化数据
- alerts.json → 机器可读格式
## 🛠 使用技术
- Python 3
- CSV 处理
- JSON
- Linux(Ubuntu)
- Windows 安全事件概念
##🎯 展示技能
- Windows 日志分析
- 威胁检测
- 暴力破解检测
- 事件响应模拟
- Python 自动化
- SOC / 蓝队概念
##🔮 后续改进
- 支持真实的 .evtx Windows 日志
- 添加威胁情报集成
- 添加仪表板可视化
- 添加实时监控
##📜 许可证
本项目根据 MIT 许可证授权。
标签:AMSI绕过, CSV处理, Event ID 4625, Homebrew安装, IP 地址批量处理, IP地址追踪, JSON导出, Python, Python3.12, TXT导出, Windows安全日志, Windows平台, 事件关联分析, 免杀技术, 失败登录监控, 威胁检测, 安全运营中心, 异常登录, 攻击溯源, 无后门, 日志解析, 时间戳警报, 暴力破解检测, 版本v1.0, 用户账户追踪, 红队行动, 网络安全, 网络映射, 证书伪造, 账户攻击检测, 逆向工具, 阈值配置, 防护检测, 隐私保护