VijayShanbhag/ThreatLens-v2
GitHub: VijayShanbhag/ThreatLens-v2
ThreatLens v2 是一款基于 Python 和 Tkinter 的桌面日志分析与威胁检测工具,通过规则引擎对身份验证和 Web 日志进行安全威胁识别并生成可视化报告。
Stars: 0 | Forks: 0




## ThreatLens-v2
一个通过图形界面分析身份验证和 Web 服务器日志,以检测常见安全威胁的 Python 项目。
## 关于
在完成 ThreatLens v1 之后,我开发了 ThreatLens v2,因为我希望让这个项目更加实用且易于使用。
第一个版本侧重于理解日志分析和基于规则的检测。在这个版本中,我添加了图形界面、威胁评分、IOC 提取、报告生成,以及对更多检测的支持。
目标并不是构建一个完整的 SIEM。我想了解如何在 dashboard 中将多种检测结果展示在一起,以及如何从日志数据中生成安全报告。
## 为什么开发它
在完成 ThreatLens v1 之后,我想继续改进这个项目,而不是去开始一个全新的项目。
这个版本帮助我学到了更多关于使用 Python 构建桌面应用程序、将大型项目组织成多个模块、改进检测逻辑,以及以更有用的方式展示安全发现的知识。
我还希望让这个项目更接近 SOC 环境中使用的工具类型,同时保持其足够简单以便于理解和维护。
## 功能
• 检测暴力破解攻击
• 检测无效用户枚举
• 检测 root 登录失败尝试
• 检测可疑的 sudo 活动
• 检测 SQL 注入尝试
• 检测 XSS 尝试
• 检测 Nmap 扫描
• 检测 Hydra 暴力破解活动
• 检测反弹 shell 活动
• 提取 IOC
• 计算威胁评分
• 将检测结果映射到 MITRE ATT&CK 框架
• 通过图形化 dashboard 展示结果
• 显示攻击次数最多的 IP 地址
• 生成 HTML、JSON 和 CSV 报告
## 截图
### 仪表板
运行扫描前的应用程序状态。

### 检测结果
扫描示例身份验证日志后的结果。

### HTML 报告
威胁摘要、IOC 提取、MITRE 映射和检测到的威胁。

### 生成的报告
ThreatLens 可以导出 HTML、JSON 和 CSV 格式的报告。

## 工作原理
选择日志文件
↓
解析日志条目
↓
应用检测规则
↓
生成警报
↓
计算威胁评分
↓
提取 IOC
↓
展示结果
↓
导出报告
## 当前局限性
这仍然是一个基于规则的项目。
它目前适用于受支持的身份验证和 Web 服务器日志格式。
一些检测依赖于关键字匹配,因此该工具旨在用于学习和演示,而不是用于生产环境。
## 未来改进
• 更多检测规则
• 更好的过滤和搜索功能
• 威胁统计图表
• 使用本地语言模型生成 AI 事件摘要
• 支持更多日志格式
标签:AMSI绕过, ATT&CK映射, CISA项目, DOE合作, Python, 威胁检测, 安全运营, 扫描框架, 插件系统, 无后门, 桌面应用, 红队行动, 逆向工具, 速率限制处理