wikenrawr-pro-max/devsecops-log-analyzer

# DevSecOps 威胁检测与日志分析仪表盘 一个安全运营中心 (SOC) 日志解析引擎和 SIEM 可视化仪表盘的交互式单页架构原型。该应用程序模拟实时的 Nginx/Apache 服务器日志解析、模式匹配漏洞检测、外部威胁情报丰富化以及关系型数据库持久化。 **在线部署：** [查看仪表盘](https://wikenrawr-pro-max.github.io/devsecops-log-analyzer/) ## 🛠️ 系统架构与数据流 为确保项目能够立即部署并通过客户端托管（GitHub Pages）进行托管，核心算法逻辑和后端数据库 schema 已被设计为一个高性能、独立的 Web 生态系统。该应用程序展示了一个 4 阶段的自动化事件响应 pipeline： [ 原始服务器日志 ] ──> [ 模式匹配引擎 ] ──> [ 威胁情报 API ] ──> [ SQL 数据库记录器 ] (Nginx/Apache) (Regex 标记) (AbuseIPDB 查询) (flagged_incidents) 1. **日志摄取：** 逐行流式解析原始 Web 服务器访问日志。 2. **启发式检测：** 进行有状态分析，检查 Brute-Force（暴力破解）体积阈值和 SQL Injection (SQLi) 恶意模式。 3. **上下文丰富化：** 模拟自动化威胁遥测数据获取，执行针对 AbuseIPDB API 的实时查询（置信度分数、ISO 国家数据）。 4. **关系型记录：** 可视化持久化追踪，展示向索引数据库布局中插入事务数据的过程。 ## 🚀 核心功能 ### 1. 启发式检测引擎（第 1 部分） * **SQL Injection (SQLi) 缓解：** 对输入的日志流量实施签名模式匹配，以捕获恶意 payload，包括 `UNION SELECT`、URL 编码异常以及 SQL 脚本睡眠函数 (`SLEEP(5)`)。 * **Brute-Force 阈值监控：** 实施针对单个 IP 地址的流量追踪，当登录 endpoint 命中率突破既定的安全基线时，触发高危警报。 ### 2. 威胁情报丰富化（第 2 部分） * 模拟同步 API 查询，将标记的恶意 IP 与全球威胁情报源进行交叉比对。 * 使用动态元数据字段丰富原始指标，包括 **Abuse 置信度分数**、目标指标以及地理位置国家映射。 ### 3. 持久化数据库架构（第 3 部分） * 包含一个专用的 **SQLite 数据库检查器**可视化图表，绘制了 `flagged_incidents` 表的 schema 结构。 * 在安全事件通过 API 丰富化 pipeline 时，同步对原始行事务进行动画处理，验证对结构化数据存储和审计的理解。 ### 4. 遥测可视化与 SIEM（第 4 部分） * 集成 `Chart.js` 以渲染服务器操作的实时时间序列追踪。 * 将恶意事件频率与标准的良性服务器请求进行对比映射，以优化分析师遥测映射。 ## 📊 工程技术栈 * **前端界面：** 语义化 HTML5、Vanilla JavaScript (ES6+ Engine) * **样式架构：** 现代 CSS3（战术终端深色主题、严格的等宽字体网格、响应式 CSS Grid/Flexbox 布局） * **可视化：** 通过安全 CDN 引入的 Chart.js * **CI/CD 部署：** 通过 GitHub Pages 自动化 ## 💡 生产环境部署说明 该应用程序作为一个高保真的**交互式原型**运行，针对浏览器环境进行了优化。在标准的企业生产基础设施中，这种精确的架构逻辑通常作为后端实用工具部署（例如，原生的 Python 守护进程脚本），在 Linux 服务器上异步执行，以监控实时的 `/var/log/nginx/access.log` 结构，通过真实的 REST API 网络套件管道传输丰富化的遥测数据，并将永久的事务提交到生产级别的 SQLite、PostgreSQL 或 TimescaleDB 部署中。

标签：CISA项目, DevSecOps, Web安全, 上游代理, 可视化面板, 后端开发, 威胁情报, 安全运营中心 (SOC), 开发者工具, 蓝队分析