ait-cs-IaaS/StealthCup2025
GitHub: ait-cs-IaaS/StealthCup2025
StealthCup 2025 是一个专注于规避检测的 IDS 基准评估框架,通过专业渗透测试人员在自动化部署的 IT/OT 靶场上执行真实多阶段攻击链,并开放完整数据集以揭示入侵检测系统面对高级隐蔽威胁时的检测盲区。
Stars: 4 | Forks: 0
# StealthCup 2025:专注于规避的 IDS 基准测试
**StealthCup** 是一个新颖的评估框架,旨在**真实、对抗性的条件**下对入侵检测系统 (IDS) 进行基准测试。
StealthCup 没有重放合成数据集,而是使用了由专业渗透测试人员在经过验证的 IT/OT 测试台上执行的**专注于规避的 Capture-the-Flag (CTF)** 挑战。
该项目结合了:
- 完全自动化、可复现的 Infrastructure-as-Code 设置(Terraform、Ansible、Packer),涵盖企业 IT(Active Directory、Windows/Linux 服务器)和 OT 环境(虚拟化 PLC、SCADA、historians)。
- 真实的多阶段攻击链(IT → OT 横向移动、AD 接管、PLC 操纵)。
- 完全自动化、可复现的 Infrastructure-as-Code 设置(Terraform、Ansible、Packer),涵盖企业 IT 和 OT 环境。
- 对开源(Suricata、Wazuh)及匿名化的商业 IDS 解决方案的比较评估。
- 包含告警、PCAP、日志以及结构化攻击者报告的开放数据集。
StealthCup 通过揭示 IDS 配置在面对隐蔽对手时的失败之处,对传统基准测试进行了补充。
## 关键文档
- [比赛规则 (PDF)](docs/Event_Rules_of_the_Game.pdf) – CTF 比赛形式与评分。
- [攻击演练 (MD)](docs/Attack_Walkthrough.md) – 逐步的多阶段入侵示例(其他示例详见报告)
- [报告](docs/Writeups)
- [攻击链 (MD)](docs/img/KillChain.drawio.pdf) – 已实现 TTP 的概述。
- [Plumetech 故事背景 (PDF)](docs/Plumetech_Story.pdf) – 活动期间使用的叙事背景。
### 科学应用与结果
- [评估 CSV](docs/ScientificApplication/csv)
- [IDS 误报标记](docs/ManualDetectionEvaluation.xlsx)
- [与 Volt Typhoon TTP 的比较 (XLSX)](docs/ScientificApplication/Comparison_VoltTyphoon.xlsx)
- [StealthCup 活动时间线 (XLSX)](docs/ScientificApplication/StealthCup_Timeline.xlsx)
### IDS 配置与检测
- [Wazuh 检测博客 - 检测最先进的 Active Directory 攻击](docs/Wazuh-Detections/Blog-WazuhDetections.md)
- [本地 Wazuh 规则](docs/Wazuh-Detections/local_rules.xml)
- [自定义 Suricata 规则](docs/Wazuh-Detections/suricata_custom.rules)
## 基础设施
`provisioning/` 目录包含用于部署完整 IT/OT 环境的 Terraform、Ansible 和 Packer 配置。
用于重新部署、测试和模拟的脚本及实用工具可在 `scripts/` 和 `testing/` 目录下找到。
[详细基础设施](docs/img/Network_detail_aws.drawio.pdf)
### 设置
我们将很快发布更多关于如何部署网络的信息。在此期间,如果您有任何问题,欢迎给我们发送消息:xxx
## 出版物
我们的研究论文详细介绍了 StealthCup:
```
Kern, M., Steffan, D., Schuster, F., Freudenthaler, S., Weippl, E., Skopik, F., Landauer, M., and Allison, D. 2026. StealthCup: Realistic, Multi-Stage, Evasion-Focused CTF for Benchmarking IDS. In Proceedings of the ACM Asia Conference on Computer and Communications Security (ASIACCS '26), June 1–5, 2026, Bangalore, India. ACM, New York, NY, USA.
```
## 原始数据
原始数据(PCAP、主机日志)可以在[这里](https://drive.google.com/drive/folders/1tImOIJMAg2kVXX8EeBACiXdWf2wGdlnW?usp=sharing)找到。
### 免责声明
StealthCup 是一个研究框架。提供的部分脚本、漏洞利用和配置仅供学术使用。请勿在受控环境之外部署。
标签:AD域渗透, Ansible, CISA项目, CTF测试床, ECS, HTTP工具, IDS评估, IP 地址批量处理, IT/OT安全, Libemu, Metaprompt, Mr. Robot, Packer, PCAP数据集, PE 加载器, PKINIT, PLC控制, SCADA安全, Suricata, Terraform, Terraform 安全, TGT, Volt Typhoon, Wazuh, Web报告查看器, 入侵检测系统, 多阶段攻击, 子域名变形, 安全数据湖, 安全警报, 工控安全, 插件系统, 攻击链, 攻防演练, 数据集, 无线安全, 漏洞利用检测, 现代安全运营, 系统提示词, 红队评估, 网络信息收集, 网络安全基准, 网络安全审计, 网络安全日志, 逃逸技术