fcbcbudgie/Security-Log-Parser

# 兼具 SIEM 就绪性的自动化安全日志解析与风险引擎 ### 📌 项目概述 在企业环境中，安全运营中心（SOC）每天必须处理数百万条原始日志记录，以便从海量噪音中隔离出真正的威胁。本项目是一个使用 Python 编写的高性能命令行实用程序，旨在自动化日志解析和威胁分流。 该工具使用正则表达式逐行处理服务器日志，识别失败的认证签名，并提取目标元数据。除了基础计数之外，它还配备了一个动态风险评分引擎，当高价值账户（如 `root` 或 `admin`）成为目标时，该引擎会自动提升威胁严重等级，最终导出结构化的、具备 SIEM 就绪性的事件数据。 ### ⚙️ 技术与工具 * **编程语言：** Python 3.10+ * **核心模块：** `re` (Regular Expressions), `json` (Data Serialization), `collections` (Advanced Data Structures) * **版本控制：** Git & GitHub（采用多分支功能生命周期） ### 🚀 Git 分支与项目演进 为了展示专业的软件开发工作流，本仓库被组织为不同的功能分支，以展现迭代开发过程： 1. **`main`：** 基础构建版本，侧重于 Regex 模式匹配和基础频率统计。 2. **`feature/json-output`：** 引入了数据序列化，将基于文本的安全警报重构为标准的 JSON 数组，以便与外部工具集成。 3. **`feature/risk-scoring`：** 开发了核心的上下文智能引擎，引入了基于目标用户账户和暴力破解尝试阈值的自动风险升级机制。 ### 🧠 系统架构与逻辑 1. **内存高效的文件流：** 使用 Python 上下文管理器打开日志文件，采用逐行处理方式，在处理企业级数据集时避免内存耗尽。 2. **双模式提取：** 使用经过优化的已编译正则表达式（`re.compile`），同时从失败的认证日志行中分离出 IPv4 地址和目标用户名。 3. **风险评分引擎：** 在动态的 0–100 区间内评估威胁。与硬编码的 `CRITICAL_ACCOUNTS` 监视列表进行交叉比对后，相关威胁会被立即提升至 `HIGH` 或 `CRITICAL` 严重等级。 4. **结构化 JSON 输出：** 将高风险数据格式化为整洁的 JSON 对象，模拟标准的 SIEM (Security Information and Event Management) 输入，以便直接用于防火墙或编排拦截列表。 ### 📊 示例输出与部署 要在本地执行全面升级后的安全脚本： ``` python log_parser.py ```

标签：AMSI绕过, Python, 威胁检测, 无后门, 日志解析, 网络安全研究, 证书伪造