JuttSahib1999/ai-security-log-analyzer

GitHub: JuttSahib1999/ai-security-log-analyzer

基于规则引擎与本地 LLM 的安全日志分析工具,支持自动将检测到的威胁映射到 MITRE ATT&CK 框架并生成可操作的事件报告。

Stars: 0 | Forks: 0

# AI 安全日志分析器 🛡️ [![License: MIT](https://img.shields.io/badge/License-MIT-yellow.svg)](https://opensource.org/licenses/MIT) [![Python 3.8+](https://img.shields.io/badge/python-3.8+-blue.svg)](https://www.python.org/downloads/) [![Ollama](https://img.shields.io/badge/Ollama-LLM-green.svg)](https://ollama.ai/) **作者:** Abdul Muqeet Tabraiz **LinkedIn:** [与我联系](https://www.linkedin.com/in/abdul-muqeet-tabraiz/) **GitHub:** [@JuttSahib1999](https://github.com/JuttSahib1999) ## 🚀 概述 AI 安全日志分析器是一款全面的安全分析工具,它能够接收 Windows Event Logs 和 Linux 身份验证日志,利用基于规则的检测和本地 LLM(Ollama Llama/Mistral)来检测可疑活动,并生成包含 MITRE ATT&CK 映射的可操作安全事件报告。 ## ✨ 功能 - **多平台日志获取**:支持 Windows Event Logs (EVTX) 和 Linux 身份验证日志 - **双重检测引擎**:基于规则的检测 + 基于本地 LLM 的 AI 检测 - **MITRE ATT&CK 映射**:自动将检测到的威胁映射到 MITRE 框架 - **严重性分类**:自动进行严重性评分(严重、高、中、低、信息) - **事件摘要**:生成人类可读的事件报告并提供建议操作 - **双重界面**:CLI 工具 + Web 仪表板 - **零成本**:完全免费,无需 API 密钥 - **隐私优先**:所有处理均在本地进行 ## 📋 前置条件 - Python 3.8 或更高版本 - 本地安装 Ollama 并包含 Llama 2 或 Mistral 模型 - 对于 Windows:需要 Python-evtx 库 - 对于 Linux:需要标准的 syslog 访问权限 ## 🔧 安装说明 ### 1. 克隆仓库 git clone https://github.com/JuttSahib1999/ai-security-log-analyzer.git cd ai-security-log-analyzer ### 2. 安装依赖 pip install -r requirements.txt ### 3. 安装并配置 Ollama # 安装 Ollama (Linux/macOS) curl -fsSL https://ollama.ai/install.sh | sh # 拉取模型 (Llama 2 或 Mistral) ollama pull llama2 # 或 ollama pull mistral ### 4. 配置工具 cp config/settings.example.py config/settings.py # 根据您的偏好编辑 config/settings.py ## 🎮 使用说明 # 命令行界面 ### 分析 Windows 事件日志 python -m src.cli analyze --source windows --file path/to/eventlog.evtx --output report.json ### 分析 Linux 身份验证日志 python -m src.cli analyze --source linux --file /var/log/auth.log --output report.json ### 实时监控 python -m src.cli monitor --source linux --interval 60 ## Web 仪表板 python -m src.web_app # 访问仪表板的地址:http://localhost:5000 ## Docker 部署 docker-compose up -d ## 📊 输出示例 { "incident": { "id": "INC-2026-001", "timestamp": "2026-07-02T14:32:18Z", "severity": "HIGH", "source": "Windows", "category": "Privilege Escalation", "description": "Multiple failed logon attempts followed by successful admin login", "mitre_mappings": [ "TA0004 - Privilege Escalation", "T1078 - Valid Accounts", "T1110 - Brute Force" ], "recommended_actions": [ "Reset affected user credentials immediately", "Enable MFA for administrative accounts", "Review user permissions", "Check for lateral movement attempts" ], "detection_source": "Rule-based + LLM" } } ## 🏗️ 架构 ┌─────────────────────────────────────────────────────────────┐ │ User Interface Layer │ │ ┌──────────────┐ ┌──────────────┐ │ │ │ CLI Tool │ │ Web Dashboard│ │ │ └──────────────┘ └──────────────┘ │ └─────────────────────────────────────────────────────────────┘ │ ┌─────────────────────────────────────────────────────────────┐ │ Core Analysis Engine │ │ ┌─────────────────┐ ┌─────────────────┐ ┌────────────┐ │ │ │ Rule-Based │ │ LLM-Based │ │ Combined │ │ │ │ Analyzer │ │ Analyzer │ │ Analyzer │ │ │ └─────────────────┘ └─────────────────┘ └────────────┘ │ └─────────────────────────────────────────────────────────────┘ │ ┌─────────────────────────────────────────────────────────────┐ │ Log Ingestors │ │ ┌─────────────────┐ ┌─────────────────┐ │ │ │ Windows EVTX │ │ Linux Auth Log │ │ │ │ Ingestor │ │ Ingestor │ │ │ └─────────────────┘ └─────────────────┘ │ └─────────────────────────────────────────────────────────────┘ ## 🧪 测试 pytest tests/ ## 📝 配置 编辑 config/settings.py 以自定义: 检测阈值 严重性级别 MITRE 框架映射 LLM 模型选择 日志保留策略 ### 📄 许可证 # 在 MIT 许可证下分发。有关更多信息,请参见 LICENSE。 ### 🔒 安全考量 所有处理均在本地进行 - 不会向外部服务发送任何数据 日志数据通过加密安全存储 Web 仪表板实施了访问控制 定期的安全更新和补丁 ### 📞 联系方式 # Abdul Muqeet Tabraiz LinkedIn: [AbdulMuqeetTabraiz](https://www.linkedin.com/in/abdul-muqeet-tabraiz/) GitHub: [JuttSahib1999](https://github.com/JuttSahib1999) ### 🙏 致谢 感谢 MITRE Corporation 提供的 ATT&CK 框架 感谢 Ollama 团队提供的优秀本地 LLM 平台 感谢 Python 社区提供的出色库
标签:AI风险缓解, LLM评估, Ollama, Python, WSL, 安全, 无后门, 本地大语言模型, 请求拦截, 超时处理, 逆向工具