julienlrzl/elk-siem-lab

# Suricata IDS – 入侵检测与网络监控      ## 概述 本项目实现了一个完整的入侵检测系统 (IDS) 和网络监控方案，基于 Suricata — syslog-ng — Elasticsearch — Kibana 软件栈构建。 目标是实时检测、集中化处理并可视化局域网内的各类可疑活动。 本工作在一台配置为完整 IDS 的 Ubuntu 虚拟机上完成；详细的文档和截图均在 PDF 报告中提供。 ## 仓库内容 📁 ./ ├── Enonce_Projet.pdf --> 项目的官方主题与说明 ├── Rapport_Projet.pdf --> 最终报告（安装、测试、分析、截图） ├── Rapport_Latex/ --> 报告的 LaTeX 源码（章节、图表等） └── README.md --> 项目介绍（本文件） ## 项目描述 本项目集成并配置了以下组件： - **Suricata**：捕获并分析网络流量，根据自定义规则生成告警； - **syslog-ng**：收集并集中管理日志（读取 `eve.json` 文件并重定向至本地存储 / 轮转）； - **Elasticsearch**：对事件进行索引和存储，以便进行搜索和聚合； - **Kibana**：提供可视化、过滤器和仪表板，用于交互式分析。 设计并测试了五种入侵场景： 1. ICMP (ping) 2. Nmap 扫描（侦查） 3. SSH 尝试（检测重复连接 / 暴力破解） 4. Web Fuzzing（高并发的 HTTP 请求） 5. 匿名 FTP 访问（服务访问示例） 所有的测试、精确命令和屏幕截图均在 `Rapport_Projet.pdf` 中提供。 ## 快速使用指南（供评审人员参考） 如果您希望复现该环境，一般步骤如下： 1. 启动提供的 Ubuntu 虚拟机（或根据报告恢复配置）。 2. 按照报告中描述的配置启动 Suricata 3. 启动 syslog-ng / 检查 `eve.json` 是否被读取（参见 `lsof /var/log/suricata/eve.json`）。 4. 启动 Elasticsearch 和 Kibana，打开 Kibana 并加载 index pattern `suricata-*`。 5. 按照报告中的命令复现场景；检查 `fast.log` 和 `eve.json`，然后通过 Kibana Discover / Dashboard 查看可视化效果。 精确的命令和截图已在报告中详细说明。 ## 关于提供的制品 - PDF 报告包含：分步安装指南、核心配置文件（摘录）、测试命令、`fast.log` / `eve.json` 截图以及 Kibana 的屏幕截图。 - 如果评审人员希望复现完全一致的环境，可应要求提供虚拟机文件（`.ova`）（通过外部下载 / USB 闪存盘）——请在仓库的 issue 中注明您希望获取的方式。 ## 作者 Julien Larzul - Tom Humeau - Ian Bertrand - Alexis Georges 计算机安全

标签：Elastic Stack, Metaprompt, Suricata, 安全实验室, 流量重放, 现代安全运营, 越狱测试