VijayShanbhag/ThreatLens-v2

GitHub: VijayShanbhag/ThreatLens-v2

ThreatLens v2 是一款基于 Python 和 Tkinter 的桌面日志分析与威胁检测工具,通过规则引擎对身份验证和 Web 日志进行安全威胁识别并生成可视化报告。

Stars: 0 | Forks: 0

![Python](https://img.shields.io/badge/Python-3.x-blue?logo=python) ![Platform](https://img.shields.io/badge/Platform-Windows-lightgrey) ![Status](https://img.shields.io/badge/Status-Active-success) ![GUI](https://img.shields.io/badge/GUI-Tkinter-blueviolet) ## ThreatLens-v2 一个通过图形界面分析身份验证和 Web 服务器日志,以检测常见安全威胁的 Python 项目。 ## 关于 在完成 ThreatLens v1 之后,我开发了 ThreatLens v2,因为我希望让这个项目更加实用且易于使用。 第一个版本侧重于理解日志分析和基于规则的检测。在这个版本中,我添加了图形界面、威胁评分、IOC 提取、报告生成,以及对更多检测的支持。 目标并不是构建一个完整的 SIEM。我想了解如何在 dashboard 中将多种检测结果展示在一起,以及如何从日志数据中生成安全报告。 ## 为什么开发它 在完成 ThreatLens v1 之后,我想继续改进这个项目,而不是去开始一个全新的项目。 这个版本帮助我学到了更多关于使用 Python 构建桌面应用程序、将大型项目组织成多个模块、改进检测逻辑,以及以更有用的方式展示安全发现的知识。 我还希望让这个项目更接近 SOC 环境中使用的工具类型,同时保持其足够简单以便于理解和维护。 ## 功能 • 检测暴力破解攻击 • 检测无效用户枚举 • 检测 root 登录失败尝试 • 检测可疑的 sudo 活动 • 检测 SQL 注入尝试 • 检测 XSS 尝试 • 检测 Nmap 扫描 • 检测 Hydra 暴力破解活动 • 检测反弹 shell 活动 • 提取 IOC • 计算威胁评分 • 将检测结果映射到 MITRE ATT&CK 框架 • 通过图形化 dashboard 展示结果 • 显示攻击次数最多的 IP 地址 • 生成 HTML、JSON 和 CSV 报告 ## 截图 ### 仪表板 运行扫描前的应用程序状态。 ![Dashboard](https://static.pigsec.cn/wp-content/uploads/repos/cas/4a/4a6ff5d1ec4e25033a3666e489ea80051cf16a6c2e0849c564ce3af41b235e13.png) ### 检测结果 扫描示例身份验证日志后的结果。 ![检测结果](https://static.pigsec.cn/wp-content/uploads/repos/cas/6d/6db49318addca6fc6c3ab558433e10e20b4c53db6e90d066dfaf6a0641f8cb9c.png) ### HTML 报告 威胁摘要、IOC 提取、MITRE 映射和检测到的威胁。 ![HTML 报告](https://static.pigsec.cn/wp-content/uploads/repos/cas/67/671ea9781fa96665cdba21c2c3facf3492aa067b1d9442b97cfc78d91a1c6448.png) ### 生成的报告 ThreatLens 可以导出 HTML、JSON 和 CSV 格式的报告。 ![生成的报告](https://static.pigsec.cn/wp-content/uploads/repos/cas/c9/c91ec877213d8f654757dbe6a51417d8f6f909d320013b7d08222973ef5bad0f.png) ## 工作原理 选择日志文件 ↓ 解析日志条目 ↓ 应用检测规则 ↓ 生成警报 ↓ 计算威胁评分 ↓ 提取 IOC ↓ 展示结果 ↓ 导出报告 ## 当前局限性 这仍然是一个基于规则的项目。 它目前适用于受支持的身份验证和 Web 服务器日志格式。 一些检测依赖于关键字匹配,因此该工具旨在用于学习和演示,而不是用于生产环境。 ## 未来改进 • 更多检测规则 • 更好的过滤和搜索功能 • 威胁统计图表 • 使用本地语言模型生成 AI 事件摘要 • 支持更多日志格式
标签:AMSI绕过, ATT&CK映射, CISA项目, DOE合作, Python, 威胁检测, 安全运营, 扫描框架, 插件系统, 无后门, 桌面应用, 红队行动, 逆向工具, 速率限制处理