MegaZegan/TraceLens

# it as "TraceLens" in the Chinese context. TraceLens 是一款防御性网络安全命令行工具，可将混合的 CSV/JSONL 日志转换为有序的分类摘要。 该工具设计注重安全性：不进行网络扫描、目标攻击、凭证验证或外部服务通信，仅分析本地遥测数据。 ## 检测功能 - 相同 IP 地址的重复认证失败 - 连续失败尝试后的成功登录 - 针对多个目标端口的防火墙拒绝流量突增 - 可疑域名的 DNS 请求 - 向罕见目标地址的大规模出站传输 ## 演示 ``` python -m venv .venv .\.venv\Scripts\Activate.ps1 pip install -e . pytest tracelens scan samples pytest ``` ## 设计初衷 安全运营中心的工作核心在于将庞杂的原始事件转化为有价值的问题。TraceLens 展示了完整的处理流程： 1. 事件标准化 2. 关联活动分组 3. 风险评分 4. 证据链解析 5. 分析师行动建议 ## 输出示例 ``` [HIGH] Login success after failures user=alice src_ip=203.0.113.66 risk=82 Five failures followed by a successful login. ```

标签：AMSI绕过, CSV处理, DNS监控, JSONL处理, Python, 事件规范化, 出站流量分析, 威胁检测, 安全规则引擎, 安全运营中心, 推荐行动, 无后门, 日志分诊, 活动分组, 网络威胁情报, 网络安全, 网络映射, 认证监控, 证据解释, 逆向工具, 防御性安全, 防火墙监控, 隐私保护, 风险评分