AnkitB1405/Linux-Log-Parser
GitHub: AnkitB1405/Linux-Log-Parser
一个正在开发中的轻量级 Linux 日志解析与检测引擎,通过规则化分析识别 SSH 暴力破解等可疑行为并生成分级告警。
Stars: 0 | Forks: 0
# Homelab 日志解析器 (Linux)
一个正在进行中的网络安全项目,致力于为 Linux 系统构建一个轻量级的日志分析和检测引擎。
该项目旨在规范化来自多个数据源的日志,通过基于规则的分析检测可疑行为,并通过仪表板和 Graphify 集成提供可视化洞察。
## 目标
本项目旨在发展成为一个具备以下能力的小型类 SIEM 平台:
- 解析 Linux 日志源
- 将事件规范化为通用 schema
- 检测恶意或异常行为
- 生成告警
- 提供可视化分析
- 支持 AI 辅助的 incident 分析(未来工作)
## 文档
以下文档和产出物作为项目工程流程的一部分进行维护。
| 资源 | 用途 | 状态 |
|----------|---------|--------|
| [ROADMAP.md](ROADMAP.md) | 开发路线图和未来阶段 | ✅ |
| [架构图](diagrams/architecture.png) | 系统设计和数据流 | 🚧 |
| [截图](screenshots/) | 仪表板和 Graphify 截图 | 🚧 |
| [日志](journal/) | 开发笔记和设计决策 | 🚧 |
| [安全考量](SECURITY.md) | 检测假设、威胁模型和局限性 | 🚧 |
| [示例日志](sample_logs/) | 用于解析器验证的测试数据集 | ✅ |
| [输出](outputs/) | 生成的事件、检测和告警 | 🚧 |
## 当前功能
### SSH 解析器
支持的 SSH 事件:
- 登录成功
- 登录失败
- 无效用户
- 认证失败
- 多次认证失败
- 会话已开启
- 连接已关闭
- SSH 服务已启动
- SSH 服务已停止
规范化事件示例:
```
{
"event_type": "failed_login",
"username": "root",
"source_ip": "185.12.41.55",
"timestamp": datetime(...)
}
```
## 检测引擎
当前的检测包括:
### SSH 暴力破解
检测:
- 快速暴力破解尝试
- 慢速暴力破解攻击
- 针对 Root 用户的定向攻击
- 重复的 PAM 认证失败
严重级别:
- 监控
- 中危
- 高危
示例:
```
Single PAM signal
→ Medium
Multiple PAM signals within 3 minutes
→ High
Root login attempts
→ Elevated priority
Repeated failed logins over 10 minutes
→ Slow brute force detection
```
## 项目结构
```
Log_Parser/
├── main.py
├── parser/
│ ├── ssh_parser.py
│ └── event_schema.py
│
├── detectors/
│ └── bruteforce.py
│
├── sample_logs/
│ └── ssh_sample.txt
│
├── outputs/
│
├── tests/
│
├── Convos_and_notes.txt
│
└── README.md
```
## 工作流
```
Raw Logs
↓
Parsers
↓
Normalized Events
↓
Detection Engine
↓
Alerts
↓
Dashboard / Graphify
↓
Analyst Review
```
# Graphify 支持
Graphify 计划作为本项目的主要可视化组件。
潜在的可视化内容包括:
- 登录失败趋势
- 告警时间线
- Top 攻击者 IP
- 服务活动
- 检测统计数据
- 事件分布情况
- 历史行为分析
Graphify 集成目前正在开发中。
# 路线图
## V1
专注于基础的日志解析和检测。
### 解析器
- [x] SSH
- [ ] Docker
- [ ] Syslog
- [ ] 认证日志
- [ ] Apache/Nginx
### 检测器
- [x] 暴力破解
- [ ] 服务异常
- [ ] Root 活动监控
- [ ] 持久化指标
- [ ] 行为分析
### 告警
- [ ] 本地告警
- [ ] 仪表板告警
- [ ] 导出功能
## V2
高级分析和 AI 辅助调查。
计划实现的功能:
- 事件关联
- 基线行为建模
- Docker 监控
- Container 异常检测
- AI 驱动的 incident 摘要
- 建议引擎
- 外部集成
- 实时监控
- 告警转发
- Incident 时间线
## 设计理念
本项目的开发主要出于以学习为导向的网络安全工程实践。
目标:
- 理解 Linux 内部原理
- 学习检测工程
- 构建实用的解析器 pipeline
- 探索 SIEM 概念
- 试验事件关联
- 开发安全分析工作流
## 状态
🚧 进行中的项目
正在积极开发和扩展中。
当前重点:
## 作者
Ankit Bembalgi
网络安全爱好者 • AI 工程师 • 自动化构建者
标签:Linux运维, 代码示例, 内存分配, 后端开发, 异常检测, 数据分析, 红队行动, 逆向工具