双引擎驱动 · 14 大 AI 平台 · 130+ 安全规则 · 30 个攻击类别 · 跨平台部署
深度检测 Web 日志中的 SQL 注入、XSS、命令注入、WebShell、SSRF 等安全威胁, 生成专业级安全分析报告,守护每一行日志背后的数字疆域。
前往 Releases 页面 下载对应平台的安装包,双击安装即可使用。
 AI 智能分析 深度语义理解 本地规则引擎 130+ 条 OWASP 规则 两种模式独立运行,互不干扰 |
 OpenAI · Anthropic · Gemini · DeepSeek · 通义千问 智谱 · Kimi · 文心 · Mistral · xAI Grok 硅基流动 · Ollama · LM Studio(本地部署) |
 威胁检测 · 攻击会话 路径分析 · 地理定位 10 种科技感可视化图表 |
 DOCX Word 模板 PDF 完美中文渲染 一键导出,即用即发 |
|
|
|
|
┌─────────────────────────────────────────────────────────────────┐
│ │
│ ① 下载安装 → 从 Releases 页面下载对应平台安装包 │
│ ② 选择日志文件 → 支持 .log .txt .csv .json .ndjson 格式 │
│ ③ 配置 AI 模型 → 选择提供商,填入 API Key(可选) │
│ ④ 开始分析 │
│ ├── AI 分析 → 深度语义分析,生成详细报告 │
│ └── 本地分析 → 130+ 条规则离线检测,即时出结果 │
│ ⑤ 查看报告 → 自动跳转到对应报告页面 │
│ ⑥ 导出报告 → DOCX / PDF 两种格式 │
│ ⑦ 数据面板 → 威胁/攻击/会话/路径/地理 5 大分析 │
│ │
└─────────────────────────────────────────────────────────────────┘
| 格式 | 说明 | 示例 |
|---|---|---|
| Apache / Nginx | 标准 Combined Log Format | 192.168.1.1 - - [10/Oct/2024:13:55:36] "GET /index.html" 200 |
| JSON | 结构化 JSON 日志 | {"ip":"192.168.1.1","method":"GET","path":"/api"} |
| CSV | 逗号分隔值 | 自动检测列名和分隔符 |
| NDJSON | 每行一个 JSON 对象 | 适合大规模日志流 |
| 纯文本 | 任意文本格式 | 自动提取 IP、URL、状态码等关键字段 |
| 快捷键 | 功能 |
|---|---|
Ctrl+O |
打开日志文件 |
Ctrl+Enter |
开始 AI 分析 |
Escape |
停止分析 |
Ctrl+H |
打开历史记录 |
Ctrl+, |
打开设置 |
Ctrl+F |
搜索报告内容 |
星川智盾支持 14 大 AI 平台,覆盖国内外主流大模型,可根据需求灵活选择:
|
云端 AI 服务
|
本地部署方案
|
AI 分析特性:
- 智能采样 — 按威胁评分优先选取高风险样本,Token 用量控制在 2 万以内
- 双引擎独立 — AI 分析和本地规则分析互不干扰,各自生成独立报告
- 中途停止 — 支持 AbortController 即时中断,不浪费 Token
- 详细错误提示 — API 调用失败时显示具体原因和排查建议
基于 ModSecurity CRS v4 和 OWASP Top 10 2025 标准,130+ 条高置信度规则覆盖 30 个攻击类别,离线可用,零延迟:
|
|
检测能力亮点:
- 低误报率 — 所有模式使用词边界匹配,SQL 注入要求关键字组合而非单个关键字
- MITRE ATT&CK 映射 — 每条规则自动关联攻击战术和技术,通俗化描述
- CWE 漏洞关联 — 自动关联 CWE 编号,便于漏洞追踪和合规审计
- GeoIP 地理定位 — 离线 IP 地理定位,攻击来源一目了然
|
威胁检测 MITRE ATT&CK 战术映射 CWE 漏洞关联 Top 10 威胁分布趋势图 |
攻击会话 按 IP 分组攻击序列 展开查看原始日志 高亮匹配内容 |
路径分析 URL 路径访问排行 攻击热力图 HTTP 方法分布 |
地理分析 GeoIP 世界地图 国家分布统计 ISP 运营商识别 |
可视化图表 10 种科技感图表 自适应字体缩放 攻击时间线分析 |
| 主题 | 色调 | 说明 |
|---|---|---|
| Cyber | #00f0ff 青 |
默认主题,经典赛博朋克 |
| Neon | #ff003c 红 |
高对比度,警报风格 |
| Matrix | #00ff88 绿 |
矩阵代码风格 |
| Energy | #b44aff 紫 |
能量紫,神秘感 |
| Solar | #ffaa00 橙 |
暖色调,日间使用 |
| Ice | #0088ff 蓝 |
冰蓝,冷静分析 |
| Void | #666666 灰 |
暗色系,减少干扰 |
项目内置示例日志文件 samples/sample-access.log,覆盖以下攻击场景,开箱即测:
| 攻击类型 | 示例 Payload | OWASP 分类 |
|---|---|---|
| SQL 注入 | UNION SELECT, 盲注, 时间盲注 |
A03 |
| XSS 攻击 | 反射型, DOM 型, SVG 注入 | A03 |
| 目录遍历 | ../../etc/passwd |
A01 |
| 命令注入 | ; cat /etc/passwd |
A03 |
| SSRF 攻击 | 内网元数据, file:// 协议 |
A10 |
| WebShell | 蚁剑, 一句话木马 | A08 |
| 暴力破解 | Hydra, 字典攻击 | A07 |
| 扫描探测 | Nikto, sqlmap, Nmap | A05 |
| 正常流量 | 搜索引擎蜘蛛, 正常用户访问 | — |
运行时兼容性修复
- 修复 AI 分析路径在渲染进程中访问 Node 全局对象导致的
global is not defined问题 - 将性能追踪器中的内存采集逻辑改为
globalThis能力探测,避免浏览器/Electron 渲染层崩溃 - 该修复直接提升了大文件分析与 AI 分析阶段的启动稳定性
验证结果
- 已通过类型检查、完整构建与 E2E 冒烟测试
- 当前版本可正常启动、加载日志并完成分析流程
紧急修复(Hotfix)
- 修复 v1.12.0 在部分环境启动后黑屏的问题
- 根因修复:移除渲染进程对 Node 内置
crypto的直接依赖,避免生产环境运行时崩溃 - 增量分析 hash 逻辑替换为纯前端实现,保证 Electron 渲染层兼容性
CI 稳定性修复
- 修复 E2E 冒烟测试首页元素断言不稳定问题
- 更新 CI 到 Node 24 迁移友好配置(actions 版本升级 + 运行环境变量)
- 处理本地/CI 代理干扰场景,降低 Playwright webServer 可用性误判概率
说明
- 若你已安装 v1.12.1 且仍遇到 AI 分析报错,请直接升级到 v1.12.2
规则引擎配置化升级
- 新增规则引擎配置模型:支持规则 ID 白/黑名单、分类白/黑名单、最低风险阈值
- 规则引擎与 Worker/流式扫描统一支持配置过滤,避免大文件与普通分析策略不一致
- 报告新增“规则启用数”展示,便于审计当前策略生效范围
攻击链关联分析增强
- 本地规则报告新增攻击链关联段落,按 IP + 行号窗口识别多步攻击路径
- 支持攻击链窗口可配置,兼顾高敏感排查和低噪音值守场景
性能与复用能力优化
- 分析流程接入文件快照缓存:同文件重复分析可直接复用结果
- 增量/缓存链路打通,减少重复计算并提升大文件场景响应速度
可用性与操作体验提升
- 设置页新增规则策略可视化配置(阈值、窗口、缓存开关、白/黑名单)
- 新增 3 个一键预设模板:高敏感、低误报、仅高危
- 新增“当前策略”状态识别:设置页与分析面板可实时显示预设/自定义状态
稳定性改进
- 完成规则配置全链路类型收敛,确保 TypeScript 严格校验通过
- 主进程 IPC 与前端类型声明同步,避免参数签名不一致引发运行时问题
稳定性与类型系统
- 修复两个关键 TypeScript 类型错误,恢复主流程类型校验稳定性
- 快捷键执行链路兼容同步/异步 action,避免 Promise 类型不一致导致的运行时风险
- 搜索增强与钻取报告逻辑改为兼容当前规则匹配结构,降低字段不一致带来的异常概率
AI 分析可靠性增强
- 分析器新增截断启发式判断,替代脆弱的固定标记检测
- 支持自动续写与去重拼接,显著降低长响应被截断后报告不完整的问题
- 续写阶段增加重叠内容去重策略,减少重复段落并提升最终报告可读性
性能与大文件处理能力
- 新增性能追踪接入点,记录分析耗时、Token 使用与关键统计指标
- 新增
benchmark:logs基准脚本,可快速评估大日志采样与处理吞吐 - 强化大文件场景下的可观测数据输出,为后续容量规划与性能调优提供依据
可观测性与诊断能力
- 新增本地诊断事件缓冲与快照导出能力
- 设置面板支持一键导出诊断信息(自动脱敏),便于问题复现与排障协作
测试与交付链路
- 新增 Playwright E2E 冒烟测试,覆盖核心界面可用性与诊断导出下载流程
- 新增 CI 校验工作流:TypeScript 检查、前端构建、E2E 冒烟联动验证
- 发布流程保持按
v*标签触发多平台构建,交付链路更完整
安全加固
- validatePath 路径校验限制在 userData/home/desktop/documents/downloads/temp 目录内,防止任意文件读写
- 导出配置时 API Key 脱敏处理,不再明文写入 JSON 文件
- 用户自定义正则添加 ReDoS 防护(行长度限制 10000 字符)
- 内置规则正则收紧
.*为.{0,30}限制,消除潜在回溯风险
核心功能修复
- 流式分析(大文件模式)添加停止机制,点击停止可立即中断扫描
- 并发分析防重入保护,防止快速双击启动重复分析流程
- Web Worker 竞态修复,单文件分析与批量分析使用独立 Worker 实例
- 拖拽文件到窗口可直接加载,修复之前只显示覆盖层但不处理文件的问题
- 二进制文件自动检测并拒绝,不再产生乱码分析结果
- analyzer reset() 恢复原始系统提示词,修复重试时提示词丢失问题
数据完整性
- 清除历史记录时同步删除磁盘快照文件,不再残留
- config 深度合并修复,currentModel 和 fontSizes 等嵌套对象不再被 undefined 覆盖
- CIDR 解析添加完整输入验证(IP 各段 0-255、bits 0-32)
- 实时监控 setMonitorId 状态同步修复
规则引擎优化
- SQL-016(WAF 绕过)规则添加上下文限制,大幅降低误报率
- WEBSHELL-005(一句话木马)移除过于宽泛的
$a($b.$c)模式 - DIR-001(路径穿越)要求 query 参数上下文,避免匹配正常路径引用
体验优化
- 报告搜索从 DOM 操作改为 React state 驱动,支持上一个/下一个遍历所有匹配
- 搜索栏显示当前匹配位置和总数(如 3/15)
- 邮件发送后自动关闭 SMTP 连接,防止 transporter 连接泄漏
实时日志监控
- 新增实时监控面板,支持本地文件监控(fs.watch)和 SSH 远程监控(ssh2 + tail -f)
- 告警通知引擎:去重/限流/白名单过滤,支持 IP CIDR 和 User-Agent 白名单
- 告警历史对话框,记录并展示所有触发的告警
- 音效告警:不同风险等级播放不同音效(严重/高危/中危)
- 实时通知独立配置,可与离线分析通知分别设置
性能优化 — 消除 UI 卡死
- 规则引擎移入 Web Worker,分析期间 UI 完全流畅,可正常切换标签、打开设置、滚动页面
- 主进程文件 I/O 全部异步化(fs.promises),设置保存不再排队等待
- GeoIP 查询改为分批处理,每批 100 个 IP,批间让出事件循环
历史记录完整快照
- 每次扫描完成后自动保存完整分析快照(规则匹配、GeoIP、Bot 检测、原始日志)
- 历史记录「查看完整分析」可恢复所有面板数据,包括威胁检测、地理分布、攻击会话等
- 快照存储在独立 JSON 文件,主索引保持轻量
通知渠道增强
- 通知设置从设置对话框拆出为独立标题栏按钮
- 钉钉/飞书新增加签签名支持(HMAC-SHA256)
- 通知渠道布局优化,URL 字段不再溢出窗口
稳定性修复
- 修复分析期间修改设置导致应用卡死的问题
- 修复历史记录「查看报告」点击无反应的 bug
- 修复通知设置首次打开黑屏的问题
- 新增 file:delete IPC handler,支持快照文件清理
AI 提供商全面扩展
- AI 提供商从 8 个扩展到 14 个,新增 OpenAI、Anthropic Claude、Google Gemini、Mistral、xAI Grok、硅基流动
- 全部现有提供商默认模型升级至最新版本:DeepSeek V4、Qwen3、GLM-4.7、Kimi K2、ERNIE 5.0、GPT-4.1
- 文心一言迁移至千帆 v2 API,Kimi 迁移至新域名 api.moonshot.ai
大文件流式分析
- 新增流式规则引擎,支持 100GB+ 日志文件全量扫描,不再受采样限制
- 超过 100MB 的文件自动启用流式读取,逐行匹配全部 130+ 条规则
- 流式进度实时推送到渲染进程,支持中途查看扫描进度
性能优化
- 图表组件全面优化:ECharts 配置使用 useMemo 缓存,数据量限制防卡顿
- 攻击会话面板限制为 100 个 IP × 500 条攻击记录
- 地理分布面板限制为 50 个散点,超过 30 个自动降级为普通散点图
- 路径分析面板扫描行数限制为 10 万行
- 规则引擎去重结果 lineNumbers 数组上限 1000 条,防止内存溢出
稳定性修复
- 修复大文件分析时 IPC 数据量过大导致应用崩溃的问题
- 修复规则引擎仅加载自定义规则、遗漏内置 130 条规则的严重 bug
- 修复日志行数统计和时间线提取在大文件上的性能瓶颈
规则引擎全面升级
- 规则总数从 52 条扩展到 130+ 条,覆盖 30 个攻击类别
- 新增 12 个攻击类别:NoSQL 注入、LDAP 注入、XXE 注入、PHP 代码注入、Java 代码注入、GraphQL 注入、原型污染、会话固定、HTTP_PROXY 注入、XML-RPC 滥用、缓存投毒、HTTP 方法覆盖
- SQL 注入规则增强至 20 条,覆盖 MySQL/MSSQL/PostgreSQL/SQLite 特有语法、WAF 绕过、认证绕过等
- XSS 规则增强至 15 条,覆盖 CSS 表达式、HTML 实体绕过、mutation XSS、Cookie 窃取等
- 命令注入规则增强至 15 条,覆盖 Windows 命令、Base64 编码执行、Shellshock CVE-2014-6271 等
- 所有规则基于 OWASP CRS v4 标准,MITRE ATT&CK 和 CWE 自动映射更新至 2025 版
CI/CD 修复
- 修复 Linux 构建依赖缺失问题
跨平台支持
- 新增 macOS (DMG) 和 Linux (AppImage) 安装包
- Windows / macOS / Linux 三平台全覆盖
UX 优化
- MITRE ATT&CK 战术卡片增加通俗描述、技术详情、外部链接
- 攻击会话详情可展开,高亮显示匹配内容
- 图表布局优化,流量来源分类移至更合理位置
规则引擎
- 修复攻击计数去重问题,避免同一行多次匹配导致数据异常
- 规则引擎全面重构,基于 OWASP CRS v4,移除 25+ 条高误报规则
- 攻击时间线改为实际时间戳,支持多种日志格式
- 新增 ScalingChart 组件,图表自适应字体缩放
- AI 分析优化:智能采样 + Token 控制 + 详细错误信息
- 字体大小设置扩展到数据面板
- 图表坐标系统随字体缩放自动调整
- AI 输入优化:发送分析摘要 + 小样本,控制在 2 万 Token 以内
- AI 失败时显示详细错误信息和排查建议
- 新增 5 大数据分析面板(威胁/攻击/会话/路径/地理)
- MITRE ATT&CK 战术映射 + 通俗化描述
- GeoIP 世界地图 + 国家分布
- 初始发布
- AI 智能分析 + 本地规则引擎双引擎
- 8 大 AI 平台支持
- DOCX / PDF 报告导出
- 7 种赛博朋克主题
本项目采用 GNU Affero General Public License v3.0 (AGPL-3.0) 许可证
核心条款: 衍生作品必须开源 · 网络服务(SaaS)必须提供源代码 · 禁止闭源分发
如需商业授权或许可证豁免,请联系项目维护者。
星川智盾 v1.10.0 · 星川智盾安全团队