VietHQ-Z3R0/soc-log-analyzer

# soc-log-analyzer # 多源安全日志解析器与暴力破解检测器 这是一款基于 Python 的安全工具，专为 SOC Analyst 设计，用于解析非结构化的系统日志、关联多层事件，并检测诸如暴力破解攻击和未经授权的后渗透活动等正在发生的安全事件。 ## 🚀 功能特性 - **多源日志解析：** 利用优化的正则表达式 (Regex) 从 Linux Auth 日志 (SSH)、Web Server 日志 (Apache/Nginx)、主机防火墙日志 (UFW) 以及权限提升日志 (Sudo) 中提取关键的安全要素。 - **基于规则的暴力破解检测：** 追踪每个源 IP 的连续登录失败尝试，并在随后出现成功身份验证 (`Accepted password`) 时触发高严重性警报。 - **事件调查时间线：** 将网络层、Web 层和 OS 层的安全事件进行扁平化及按时间顺序关联，以协助分析师绘制攻击者的活动时间线。 ## 📁 项目结构 - `Detect_BruteForce.py`：核心调查与检测脚本。 - `Log.txt`：模拟多阶段攻击（扫描 -> SSH 暴力破解 -> 成功突破 -> 通过 Sudo 提权）的示例日志。 ## 📊 检测逻辑与能力 该工具将日志分为 4 个独立的监控模块： 1. **SSH 身份验证：** 监控 `Failed password` 和 `Accepted password` 事件，映射目标用户和源端口。 2. **Web 访问：** 解析 HTTP 方法、URI 路径和状态码（例如，检测 `403 Forbidden` 目录暴力破解或 `401 Unauthorized` 登录尝试）。 3. **防火墙 (UFW)：** 识别被基于主机的防火墙拦截的入站网络流量。 4. **Sudo 权限：** 追踪管理命令的执行 (`COMMAND=`)，以标记潜在的横向移动或权限滥用。 ## 🛠️ 如何运行 1. 克隆仓库： git clone [https://github.com/YOUR_USERNAME/soc-log-analyzer.git](https://github.com/YOUR_USERNAME/soc-log-analyzer.git) cd soc-log-analyzer

标签：CSV导出, IP 地址批量处理, PKI安全, Python, 免杀技术, 库, 应急响应, 无后门, 暴力破解检测, 红队行动, 逆向工具