hankrmc77/burmalda-analuzer
GitHub: hankrmc77/burmalda-analuzer
BURMALDA分析器是一个AI驱动的事件响应工具,用于实时监控和分析认证日志以检测威胁。
Stars: 0 | Forks: 0
# BURMALDA 分析器
### AI驱动的事件响应代理
**SANS Find Evil! 黑客马拉松 2026** | 直接代理扩展
## 功能概述
BURMALDA ANALYZER 是一个自主事件响应代理,能够监控认证日志,实时检测威胁,并使用 Claude AI 分析可疑活动——全部无需人工干预。
当一个 IP 地址积累了足够多的登录失败尝试后,该代理会自动:
1. 检测威胁等级(低 / 中 / 高)
2. 查询攻击者的地理位置
3. 将数据发送给 Claude 进行 AI 分析
4. 返回判定结果(阻止 / 监控 / 调查)及置信度评分
5. 记录每个步骤的时间戳,形成完整审计追踪
## 架构
```
[Log Source] → [Threat Detector] → [Claude AI Engine] → [Structured Output]
↓
[Execution Logger]
agent_execution.log
```
**所用模式:** 直接代理扩展
**模型:** claude-opus-4-5
**自我修正:** 代理将通过 SELF-CHECK 字段标记低置信度发现,以供人工审查
## 快速入门
### 要求
```
pip3 install anthropic --break-system-packages
```
### 设置
```
git clone https://github.com/YOUR_USERNAME/burmalda-analyzer
cd burmalda-analyzer
```
打开 `burmalda_analyzer.py` 并设置您的 API 密钥:
```
ANTHROPIC_API_KEY = "sk-ant-..."
```
### 运行
```
python3 burmalda_analyzer.py
```
## 特性
| 特性 | 描述 |
|------|------|
| **实时监控** | 流式传输日志条目,自动检测威胁 |
| **AI 自动分析** | Claude 自动分析中/高威胁 |
| **文件分析** | 解析现有日志文件 |
| **AI 聊天** | 就威胁、IP、攻击模式提问 |
| **执行日志** | 在 `agent_execution.log` 中保留完整审计追踪 |
| **地理定位查询** | 通过 ip-api.com 进行 IP 地理定位 |
## AI 响应格式
对于每个中/高威胁,代理返回:
```
VERDICT: BLOCK
CONFIDENCE: HIGH
REASONING: IP shows classic brute-force SSH pattern
ACTION: Add to firewall blocklist immediately
SELF-CHECK: No prior context on this IP — recommend cross-checking threat intel
```
## 日志格式
所有代理操作均记录到 `agent_execution.log`:
```
{"timestamp": "2026-05-19T10:23:01Z", "event": "threat_detected", "data": {"ip": "45.33.32.156", "level": "HIGH", "fails": 14}}
{"timestamp": "2026-05-19T10:23:02Z", "event": "ai_analysis_complete", "data": {"ip": "45.33.32.156", "tokens_used": 187}}
```
## 测试数据
要测试文件分析器,请创建 `test.log`:
```
192.168.1.100 FAIL
192.168.1.100 FAIL
192.168.1.100 FAIL
192.168.1.100 FAIL
192.168.1.100 FAIL
192.168.1.100 FAIL
192.168.1.100 FAIL
192.168.1.100 FAIL
10.0.0.5 SUCCESS
45.33.32.156 FAIL
45.33.32.156 FAIL
45.33.32.156 FAIL
```
然后运行选项 `[1] Analyze log file` 并输入 `test.log`。
## 准确性与局限性
- AI 分析依赖于 Claude API 的可用性
- 地理定位查询需要互联网连接
- 当前版本在实时模式下使用模拟日志(真实 auth.log 集成方式:`tail -f /var/log/auth.log`)
- 置信度评分由 AI 自行报告——建议对高严重性发现进行人工验证
## 构建使用的技术
- Python 3
- Anthropic Claude API (claude-opus-4-5)
- ip-api.com (地理定位)
- 兼容 Protocol SIFT
## 许可证
MIT 许可证 — 开源,可免费使用和扩展。
*由 Pavel 构建 | Digital College Almaty | 哈萨克斯坦*
# burmalda 分析器
标签:AI安全工具, AI驱动, AMSI绕过, Claude API, IP地理位置查询, Python, WSL, 免杀技术, 威胁分析, 威胁检测, 审计日志, 无后门, 无干预系统, 智能分析, 暴力破解检测, 网络安全, 自动化侦查工具, 自动化响应, 认证日志监控, 逆向工具, 隐私保护