JuttSahib1999/ai-security-log-analyzer
GitHub: JuttSahib1999/ai-security-log-analyzer
基于规则引擎与本地 LLM 的安全日志分析工具,支持自动将检测到的威胁映射到 MITRE ATT&CK 框架并生成可操作的事件报告。
Stars: 0 | Forks: 0
# AI 安全日志分析器 🛡️
[](https://opensource.org/licenses/MIT)
[](https://www.python.org/downloads/)
[](https://ollama.ai/)
**作者:** Abdul Muqeet Tabraiz
**LinkedIn:** [与我联系](https://www.linkedin.com/in/abdul-muqeet-tabraiz/)
**GitHub:** [@JuttSahib1999](https://github.com/JuttSahib1999)
## 🚀 概述
AI 安全日志分析器是一款全面的安全分析工具,它能够接收 Windows Event Logs 和 Linux 身份验证日志,利用基于规则的检测和本地 LLM(Ollama Llama/Mistral)来检测可疑活动,并生成包含 MITRE ATT&CK 映射的可操作安全事件报告。
## ✨ 功能
- **多平台日志获取**:支持 Windows Event Logs (EVTX) 和 Linux 身份验证日志
- **双重检测引擎**:基于规则的检测 + 基于本地 LLM 的 AI 检测
- **MITRE ATT&CK 映射**:自动将检测到的威胁映射到 MITRE 框架
- **严重性分类**:自动进行严重性评分(严重、高、中、低、信息)
- **事件摘要**:生成人类可读的事件报告并提供建议操作
- **双重界面**:CLI 工具 + Web 仪表板
- **零成本**:完全免费,无需 API 密钥
- **隐私优先**:所有处理均在本地进行
## 📋 前置条件
- Python 3.8 或更高版本
- 本地安装 Ollama 并包含 Llama 2 或 Mistral 模型
- 对于 Windows:需要 Python-evtx 库
- 对于 Linux:需要标准的 syslog 访问权限
## 🔧 安装说明
### 1. 克隆仓库
git clone https://github.com/JuttSahib1999/ai-security-log-analyzer.git
cd ai-security-log-analyzer
### 2. 安装依赖
pip install -r requirements.txt
### 3. 安装并配置 Ollama
# 安装 Ollama (Linux/macOS)
curl -fsSL https://ollama.ai/install.sh | sh
# 拉取模型 (Llama 2 或 Mistral)
ollama pull llama2
# 或
ollama pull mistral
### 4. 配置工具
cp config/settings.example.py config/settings.py
# 根据您的偏好编辑 config/settings.py
## 🎮 使用说明
# 命令行界面
### 分析 Windows 事件日志
python -m src.cli analyze --source windows --file path/to/eventlog.evtx --output report.json
### 分析 Linux 身份验证日志
python -m src.cli analyze --source linux --file /var/log/auth.log --output report.json
### 实时监控
python -m src.cli monitor --source linux --interval 60
## Web 仪表板
python -m src.web_app
# 访问仪表板的地址:http://localhost:5000
## Docker 部署
docker-compose up -d
## 📊 输出示例
{
"incident": {
"id": "INC-2026-001",
"timestamp": "2026-07-02T14:32:18Z",
"severity": "HIGH",
"source": "Windows",
"category": "Privilege Escalation",
"description": "Multiple failed logon attempts followed by successful admin login",
"mitre_mappings": [
"TA0004 - Privilege Escalation",
"T1078 - Valid Accounts",
"T1110 - Brute Force"
],
"recommended_actions": [
"Reset affected user credentials immediately",
"Enable MFA for administrative accounts",
"Review user permissions",
"Check for lateral movement attempts"
],
"detection_source": "Rule-based + LLM"
}
}
## 🏗️ 架构
┌─────────────────────────────────────────────────────────────┐
│ User Interface Layer │
│ ┌──────────────┐ ┌──────────────┐ │
│ │ CLI Tool │ │ Web Dashboard│ │
│ └──────────────┘ └──────────────┘ │
└─────────────────────────────────────────────────────────────┘
│
┌─────────────────────────────────────────────────────────────┐
│ Core Analysis Engine │
│ ┌─────────────────┐ ┌─────────────────┐ ┌────────────┐ │
│ │ Rule-Based │ │ LLM-Based │ │ Combined │ │
│ │ Analyzer │ │ Analyzer │ │ Analyzer │ │
│ └─────────────────┘ └─────────────────┘ └────────────┘ │
└─────────────────────────────────────────────────────────────┘
│
┌─────────────────────────────────────────────────────────────┐
│ Log Ingestors │
│ ┌─────────────────┐ ┌─────────────────┐ │
│ │ Windows EVTX │ │ Linux Auth Log │ │
│ │ Ingestor │ │ Ingestor │ │
│ └─────────────────┘ └─────────────────┘ │
└─────────────────────────────────────────────────────────────┘
## 🧪 测试
pytest tests/
## 📝 配置
编辑 config/settings.py 以自定义:
检测阈值
严重性级别
MITRE 框架映射
LLM 模型选择
日志保留策略
### 📄 许可证
# 在 MIT 许可证下分发。有关更多信息,请参见 LICENSE。
### 🔒 安全考量
所有处理均在本地进行 - 不会向外部服务发送任何数据
日志数据通过加密安全存储
Web 仪表板实施了访问控制
定期的安全更新和补丁
### 📞 联系方式
# Abdul Muqeet Tabraiz
LinkedIn: [AbdulMuqeetTabraiz](https://www.linkedin.com/in/abdul-muqeet-tabraiz/)
GitHub: [JuttSahib1999](https://github.com/JuttSahib1999)
### 🙏 致谢
感谢 MITRE Corporation 提供的 ATT&CK 框架
感谢 Ollama 团队提供的优秀本地 LLM 平台
感谢 Python 社区提供的出色库
标签:AI风险缓解, LLM评估, Ollama, Python, WSL, 安全, 无后门, 本地大语言模型, 请求拦截, 超时处理, 逆向工具