maaz-ansari-cys/Digital-Forensics-Tool-Vellum-IR-

# VellumIR - 取证日志智能与调查平台 VellumIR 是一个全面的、可离线使用的数字取证与事件响应 (DFIR) 平台，旨在自动化收集、标准化和分析各种日志证据。 ## 🚀 核心功能 * **7 种统一解析器**：Apache/Nginx、Windows EVTX (二进制)、Linux Auth.log、防火墙 (iptables/pfSense/Cisco)、Cloud JSON (AWS/Azure/GCP)、Docker 和 DNS 查询日志。 * **16 条精密检测规则**：检测暴力破解、SQL 注入、权限提升、Web 侦察等，并提供 MITRE ATT&CK 映射。 * **关联引擎**：使用 30 分钟的滑动窗口将事件序列拼接成攻击者会话，并将活动映射到 8 个网络杀伤链阶段。 * **证据完整性**：对所有收集的证据自动进行 SHA-256 哈希处理，并持久化存储在 SQLite 中。 * **威胁情报富化**：通过 `ip-api.com` 进行带有缓存的地理位置解析，并与已知的妥协指标 (IOC) 进行匹配。 * **取证报告**：生成包含执行摘要、证据清单和攻击链重建的 PDF 和 HTML 报告。 * **现代化 UI**：采用暗黑主题、玻璃态风格的仪表板，通过 Chart.js 提供 8 个实时可视化面板。 ## 🛠️ 技术栈 * **后端**：Python 3.11+、Flask、SQLite、Pandas、`python-evtx`、`reportlab`、`Jinja2`。 * **前端**：原生 HTML5、Vanilla CSS、Chart.js (CDN)。无需构建系统。 * **测试**：使用 Pytest 进行规则和标准化的验证。 ## 🏁 快速开始 1. **克隆并安装依赖**： pip install -r requirements.txt 2. **初始化并运行**： python app.py 3. **访问 UI**： 在浏览器中打开 `http://localhost:5000`。 ## 📁 项目结构 ``` logsentinel/ ├── app.py # Main Flask entry point & API ├── core/ │ ├── detector.py # Format auto-detection │ ├── rules.py # 16 detection rules │ ├── correlator.py # Kill-chain mapping │ ├── storage.py # SQLite & hashing │ └── normalizer.py # UTC conversion ├── parsers/ # Log format specific parsers ├── intel/ # MITRE, IOC, & Geo enrichment ├── web/ # Templates & Static assets ├── reports/ # HTML & PDF generators └── tests/ # Rule validation suite ``` ## 外部 API - **ip-api.com**：用于 IP 富化的免费地理位置 API - 速率限制：45 次请求/分钟（免费套餐） - 结果缓存在 SQLite 中以减少 API 调用 - 用于地理位置热力图可视化 为学术和专业调查工作流而创建。v1.0 2026。

标签：Chart.js, CISA项目, Cloudflare, DNS日志, Docker日志, Flask, HTML5, IOC匹配, IP 地址批量处理, Linux Auth.log, MITRE ATT&CK, PDF报告, PKI安全, Pytest, Python, SHA-256, SQLite, SQL注入检测, Vanilla CSS, Web侦察, Windows EVTX, 事件关联, 云安全日志, 免杀技术, 协议分析, 取证报告, 哈希校验, 威胁情报, 子域名变形, 安全可视化, 安全测试, 密码管理, 库, 应急响应, 开发者工具, 开源安全工具, 插件系统, 攻击性安全, 攻击溯源, 数字取证, 无后门, 日志解析, 暴力破解检测, 权限提升, 离线分析, 网络安全, 网络杀伤链, 自动化取证, 自动化脚本, 证书伪造, 证据完整性, 逆向工具, 逆向工程平台, 防火墙日志, 隐私保护