safo-star/ai-siem-log-analyzer

```markdown # AI SIEM 日志分析器 一个基于 Python 的微型 SIEM，利用映射到 MITRE ATT&CK T1110 和 T1110.001 的时间窗口检测规则来检测 SSH 暴力破解行为，并在实时 Flask 仪表盘中可视化警报。 --- ## 功能特点 - 实时 SSH 日志监控 - 基于时间窗口的暴力破解检测 - MITRE ATT&CK 规则映射 - 警报严重性评分 - 重复警报冷却逻辑 - 基于 Flask 的 SOC 风格仪表盘 - 攻击 IP、检测规则和严重性分类图表 - 结构化 JSON 警报输出 --- ## 检测规则 | 规则 | 描述 | 逻辑 | |---|---|---| | T1110 - SSH 暴力破解 | 检测重复的 SSH 认证失败尝试 | 30 秒内出现 5 次及以上失败尝试 | | T1110.001 - 密码猜测爆发 | 检测快速密码猜测行为 | 10 秒内出现 3 次及以上失败尝试 | --- ## 技术栈 - Python - Flask - HTML/CSS - Chart.js - JSON - Linux 认证日志 (auth logs) - Windows + Ubuntu VirtualBox 实验环境 --- ## 项目架构 ```text Ubuntu SSH 登录失败记录 ↓ /var/log/auth.log ↓ 共享日志桥接 ↓ data/auth.log ↓ src/detector.py ↓ alerts.json ↓ src/dashboard.py ↓ Flask 仪表盘 ``` ## 安装说明 安装依赖项： ## 如何运行 启动检测器： 在第二个终端中启动仪表盘： 打开仪表盘： ## 演示工作流 1. 启动 Flask 仪表盘。 2. 启动 Python 检测器。 3. 从 Ubuntu 生成失败的 SSH 登录尝试。 4. 检测器解析新的 auth.log 条目。 5. 警报被写入 alerts.json。 6. 仪表盘刷新并显示更新的威胁活动。 ## 警报示例 ## 我学到了什么 - SIEM 风格的检测管道是如何工作的 - 如何解析 Linux 认证日志 - 如何构建时间窗口检测规则 - MITRE ATT&CK 技术如何映射到真实的安全事件 - 如何生成结构化的安全警报 - 如何在仪表盘中可视化安全遥测数据 ## 未来改进计划 - 添加更多检测规则 - 添加 GeoIP 丰富化 - 将警报存储在 SQLite 中 - 为仪表盘添加身份验证 - 添加电子邮件或 Discord 通知 - 添加自动化响应动作 粘贴后，请按： ```text CTRL + S ``` 然后在 VS Code 中，点击右上角的预览图标或按： ```text CTRL + SHIFT + V ``` 如果它渲染出了标题、表格和代码块，说明你的 README 是干净的。 ## 项目结构 ## 安装依赖 ## 启动检测器： ## 启动仪表盘： ## 打开仪表盘： ## 演示工作流 1. 演示工作流 2. 启动 Flask 仪表盘。 3. 启动 Python 检测器。 4. 从 Ubuntu 生成失败的 SSH 登录尝试。 5. 检测器解析新的 auth.log 条目。 6. 警报被写入 alerts.json。 7. 仪表盘刷新并显示更新的威胁活动。 ## 警报示例 ## 我学到了什么 - SIEM 风格的检测管道是如何工作的 - 如何解析 Linux 认证日志 - 如何构建时间窗口检测规则 - 如何生成结构化的安全警报 - 如何在仪表盘中可视化安全遥测数据 ## 未来改进计划 - 添加更多检测规则 - 添加 GeoIP 丰富化 - 为仪表盘添加身份验证 - 添加电子邮件或 Discord 通知 - 添加自动化响应动作 ```

标签：AMSI绕过, Chart.js, Cloudflare, Flask, Homebrew安装, JSON, Linux auth.log, MITRE ATT&CK, Mutation, Python, SSH暴力破解, Web界面, 免杀技术, 可视化, 后端开发, 告警关联, 威胁检测, 安全仪表盘, 安全可视化, 安全运营中心, 安防自动化, 无后门, 时间窗口检测, 暴力破解检测, 渗透测试防御, 网络安全, 网络映射, 调试辅助, 迷你SIEM, 逆向工具, 隐私保护