Neptunes22/Python-Security-Log-Analyzer

# Python-Security-Log-Analyzer 基于 Python 的网络安全工具，用于分析 Linux SSH 身份验证日志以识别可疑活动。它可以检测失败的登录尝试、潜在的暴力破解攻击以及可疑的 IP 地址，同时生成结构化的安全报告以供威胁分析。 ## 概述 该项目通过解析 Linux 身份验证日志并识别潜在的恶意行为，模拟了一个轻量级的安全运营中心 (SOC) 监控工具。该分析器会处理 SSH 登录事件，跟踪失败和成功的身份验证尝试，标记可疑的 IP 地址，并使用基于时间的分析来检测暴力破解攻击。 ## 功能 - 解析 Linux SSH 身份验证日志 - 按 IP 地址检测失败的登录尝试 - 跟踪成功的用户登录 - 根据可配置的阈值识别可疑的 IP 地址 - 使用时间窗口分析检测暴力破解攻击 - 生成详细的安全报告 - 将分析结果导出为文本报告 ## 使用技术 - Python 3 - 正则表达式 - Datetime 处理 - 文件处理 - Linux 身份验证日志 - 数据结构（列表、字典） ## 项目结构 ``` Python-SSH-Log-Analyzer/ │ ├── log-analyzer.py ├── sample_auth.log ├── security_report.txt ├── README.md └── LICENSE ``` ## 工作原理 该分析器会扫描 Linux SSH 身份验证日志并搜索： ### 失败的登录尝试 示例： ``` Jun 03 08:12:44 web01 sshd[1027]: Failed password for invalid user admin from 192.168.1.45 port 52525 ssh2 ``` ### 成功的登录 示例： ``` Jun 03 08:12:11 web01 sshd[1021]: Accepted password for ashton from 10.0.0.22 port 51515 ssh2 ``` ### 暴力破解检测 该程序会识别在 60 秒的时间窗口内产生多次失败登录尝试的 IP 地址。 默认检测规则： ``` 5 or more failed login attempts within 60 seconds from the same IP address ``` ## 示例输出 ``` ============================== Security Analysis Report ============================== Failed Login Attempts: 192.168.1.45: 16 203.0.113.77: 9 198.51.100.23: 5 Successful Logins: User: ashton | IP: 10.0.0.22 User: deploy | IP: 10.0.0.15 User: jdoe | IP: 10.0.0.30 User: analyst | IP: 10.0.0.55 Suspicious IP Addresses: ALERT: 192.168.1.45 exceeded 5 failed attempts ALERT: 203.0.113.77 exceeded 5 failed attempts ALERT: 198.51.100.23 exceeded 5 failed attempts Brute Force Detection: HIGH THREAT: 192.168.1.45 (8 failures within 60 seconds) HIGH THREAT: 203.0.113.77 (5 failures within 60 seconds) ``` ## 学习目标 创建该项目旨在加强以下方面的技能： - 网络安全监控 - 安全日志分析 - Linux 身份验证系统 - 威胁检测 - Python 开发 - 安全自动化 - 事件分析 ## 未来改进 - 导出 CSV 报告 - 命令行参数 - 用户活动分析 - 支持多种日志源 - 威胁严重性评分 - Dashboard 可视化 ## 作者 Ashton Burgess 网络安全专业毕业生 ## 许可证 该项目基于 MIT 许可证授权。

标签：Python, SSH, 免杀技术, 安全运营, 扫描框架, 无后门, 暴力破解检测, 红队行动