abdul4rehman215/Cyber-Security-Foundations
GitHub: abdul4rehman215/Cyber-Security-Foundations
涵盖 20 个渐进式实验的网络安全基础实践项目,从 Linux 和脚本基础逐步进阶到企业级 SOC 运营、DFIR 与安全自动化。
Stars: 0 | Forks: 0
# 🚀 网络安全基础
### 一个结构化的 20 个实验、注重实践的安全工程作品集,涵盖:
### 本仓库模拟了企业级的防御性安全工作流 —— 从基础系统操作逐步进阶到完整的安全运营中心 (SOC) 集成与自动化事件响应。
# 📂 仓库结构
```
Human-Risk-and-Security-Culture-Leadership-Program/
├── 🔹 Core CLI & Scripting Foundations (Labs 1–4)
├── 🔹 Reconnaissance & Security Analysis (Labs 5–10)
├── 🔹 Hardening & Cryptography Engineering (Labs 11–14)
├── 🔹 SOC Operations, DFIR & Security Automation (Labs 15–20)
└── README.md
```
### 🧱 标准实验文件夹结构
每个实验都遵循一致的专业结构:
```
labXX-/
├── README.md # 📘 Objective, theory & step-by-step guide
├── commands.sh # 💻 Commands executed
├── output.txt # 📄 Real command outputs
├── scripts/ [*.py / *.sh / *.ps1] # ⚙️ Automation & security scripts
├── interview_qna.md # 🎯 SOC / IR interview questions
├── troubleshooting.md # 🛠️ Common issues & fixes
```
#### 这确保了:
- ✅ 可重复性
- ✅ 结构化文档
- ✅ 自动化清晰度
- ✅ 面试准备就绪
- ✅ 运营真实性
- ✅ 高管层报告对齐
# 🎓 20 个实验的学习成果
完成所有 20 个实验后,本仓库展示了以下能力:
- 执行结构化的攻击面发现与服务枚举
- 在协议和数据包级别诊断网络行为
- 自动化侦察、扫描和结构化报告工作流
- 使用纵深防御原则加固 Linux 系统
- 实施内核级的文件完整性监控 (FIM)
- 设计安全的密码学工具(AES、SHA256、密钥派生)
- 执行完整的事件响应生命周期(检测 → 遏制 → 证据 → 报告)
- 通过自动化进行 Linux 和 Windows 取证调查
- 使用自定义规则开发检测工程流水线
- 应用 AI/ML 技术在安全日志中进行异常检测
- 设计补丁治理与自动化系统维护工作流
- 构建具有 IDS、告警、阻断和剧本的端到端 SOC 架构
这代表了以执行为驱动的安全工程 —— 而非理论研究。
# 💼 职业相关性
本作品集反映了以下方面的动手实践能力:
- SOC 运营(Tier 1 / Tier 2 准备就绪)
- 检测工程与规则开发
- 数字取证与事件响应 (DFIR)
- 安全自动化与脚本编写
- 跨平台安全工程(Linux + Windows 痕迹)
- AI 辅助的威胁检测
- 结构化的技术与高管级报告
- 安全配置与加固实践
它展示了一种自动化优先、证据驱动的安全思维,与现代蓝队环境完美契合。
# 🌍 真实模拟模型
所有实验均在旨在模拟真实企业安全工作流的受控环境中执行,包括:
- 攻击面发现(IP、DNS、端口、服务)
- Web/API 流量分析与自动化
- 威胁模拟与侦察报告
- 防火墙配置与 SSH 加固
- 文件完整性监控与合规性验证
- 取证痕迹提取与时间线重构
- IDS 规则调优与告警验证
- 日志关联与异常检测
- 基于 AI 的检测实验
- 补丁生命周期自动化与治理
- SOC 告警 → 遏制 → 剧本执行 → 结构化报告
这一进阶过程遵循了真实的安全工程路径:
本仓库代表了跨主机、网络、检测和自动化层的实际实施 —— 映射了真实世界的安全工程操作。
# 🧠 安全能力增长模型
在 20 个实验中,展示的成熟度从以下基础不断演进:
- CLI 与脚本流畅度
- 网络可见性与暴露分析
- 防御性加固与监控
- 取证自动化流水线
- 检测工程与 ML 集成
- 完整的 SOC 模拟与响应编排
这种结构化的进阶反映了运营级安全工程能力,而不是孤立的工具使用。
# 📊 安全技能热力图
此热力图反映了**跨 20 个实验的动手实施**,涵盖:
**CLI 工程 • 网络分析 • 系统加固 • DFIR • 检测工程 • AI 驱动的安全 • SOC 自动化**
| 技能领域 | 接触程度 | 实践深度 | 使用的工具 / 框架 |
|-------------|---------------|----------------|--------------------------|
| 🖥 Linux CLI 与系统操作 | ██████████ 100% | 文件系统、权限、调度、自动化 | Bash, cron, coreutils |
| 🔁 安全自动化与脚本编写 | ██████████ 100% | 可重用脚本、日志流水线、结构化输出 | Python, Bash, PowerShell |
| 🌐 网络分析与侦察 | █████████░ 90% | IP 诊断、DNS 分析、端口扫描、服务枚举 | Nmap, dig, ss, netcat |
| 📡 数据包分析与流量检查 | █████████░ 90% | TCP 握手分析、协议过滤、PCAP 导出 | Wireshark, tshark, tcpdump |
| 🔒 Linux 加固与监控 | █████████░ 90% | 防火墙执行、SSH 加固、日志检查 | UFW, journalctl |
| 🛡 文件完整性监控 (FIM) | █████████░ 90% | 审计规则、基线哈希、实时变更检测 | auditd, AIDE, inotify |
| 🔐 密码学工程 | █████████░ 90% | AES 加密、SHA256 完整性、密钥派生 | hashlib, cryptography |
| 🚨 事件响应生命周期 | ██████████ 100% | 检测 → 遏制 → 证据 → 报告 | iptables, Bash IR 脚本 |
| 🧪 Linux 取证自动化 | █████████░ 90% | 痕迹提取、时间线重构 | Bash, Python |
| 🪟 Windows 取证 (跨平台) | █████████░ 90% | EVTX 解析、注册表痕迹分析 | python-evtx, python-registry |
| 🧠 检测工程 | █████████░ 90% | 告警逻辑、规则开发、结构化检测工作流 | Suricata, 自定义脚本 |
| 🤖 AI 驱动的威胁检测 | █████████░ 90% | 异常检测、特征工程、模型持久化 | Pandas, Scikit-learn |
| 🔄 补丁与治理自动化 | █████████░ 90% | 系统更新自动化、监控工作流 | Bash, cron, PowerShell |
| 🏢 SOC 架构与响应 | ██████████ 100% | IDS 集成、日志聚合、自动阻断、剧本 | Suricata, Fail2ban, rsyslog |
## 📈 熟练度等级
- ██████████ = 带有自动化和报告的端到端实施
- █████████░ = 带有真实输出的高级实践实施
- ███████░░░ = 结合应用场景的扎实工作实施
- █████░░░░░ = 基础 + 应用工程接触
此热力图反映了**项目级的防御性安全工程能力**,而非孤立的脚本任务 —— 涵盖:
# 🚀 如何使用
```
git clone https://github.com/abdul4rehman215/Cyber-Security-Foundations.git
cd Cyber-Security-Foundations
cd labXX-name
```
每个实验都包含自己的 `README.md`,提供设置、执行步骤、脚本、报告和故障排除指南。
# 🔐 执行环境
所有 20 个实验均在旨在模拟真实 SOC、DFIR 和安全自动化工作流的隔离 Linux 环境中执行。
### 🖥️ 环境技术栈
- Ubuntu 20.04 / 22.04 / 24.04 LTS
- Python 3.x, Bash, PowerShell Core
- 结构化日志记录与自动化报告生成
- 受控的实验数据集和模拟的攻击痕迹
### 🛠 安全与监控工具
- Nmap, Wireshark, tcpdump
- Suricata (IDS), Fail2ban
- UFW, auditd, AIDE
- rsyslog, journalctl
所有输出均通过日志、结构化报告和可重复的自动化脚本进行了验证。
# 🎯 预期用途
本仓库旨在支持:
- SOC 分析师技能发展(Tier 1 / Tier 2 准备就绪)
- 检测工程实验
Linux 系统加固实践
- 文件完整性监控实施
- 事件响应生命周期培训
- 取证痕迹收集与分析
- AI 辅助的威胁检测研究
- 安全自动化与补丁治理工作流
- IDS 配置与响应剧本测试
这些实验强调:
- 结构化文档
- 基于证据的验证
- 自动化优先的工程
- 真实的安全工作流
所有脚本、配置和检测逻辑仅适用于:
- 授权的实验室环境
- 防御性安全工程教育
- 专业技能发展
- 安全研究与培训
请仅在批准的环境内负责任地执行。
# ⚖️ 道德与法律声明
本仓库中的所有模拟、自动化工作流和安全测试活动均在以下条件下进行:
- 在受控的实验室环境中
- 针对故意设为脆弱的或已授权的系统
- 使用合成或实验室生成的数据集
- 出于防御性安全工程目的
未针对任何生产系统。
未执行任何未经授权的扫描或入侵活动。
模拟活动可能包括:
- 服务枚举与端口扫描
- IDS 告警验证
- 防火墙规则测试
- 事件遏制工作流
- 取证痕迹提取
- 基于日志的异常检测
- 补丁自动化测试
这些技术严格用于:
- 防御性安全培训
- SOC 与 DFIR 能力开发
- 检测工程研究
- 安全系统加固实践
在合法授权环境之外滥用本仓库中演示的技术可能是非法且不道德的。
本仓库仅出于教育、专业发展和负责任的安全工程目的而提供。
## 🌐 发布在 LinkedIn 上的实验作品集
我还在 LinkedIn 上分享了这个实验系列作品集,包含简明的作品集摘要、关键亮点和实施背景。
[](https://www.linkedin.com/posts/abdul4rehman215_cybersecurity-socanalyst-blueteam-activity-7412801388126232576-tJRa?)
# ⭐ 结语
本仓库反映了**真实的动手网络安全工程工作** —— 而非理论摘要。
它展示了跨越以下领域的能力:
💡 *自动化 + 可见性 + 响应 = 现代 SOC。*
如果这个作品集为您带来了价值,请考虑为仓库标星 ⭐。
👨💻 作者
**Abdul Rehman**
网络安全 | SOC 工程 | DFIR | 安全自动化
### 📧 联系方式
# 🎯 执行摘要
本仓库提供了一个结构化的 **20 个实验网络安全基础计划**,旨在模拟真实的 SOC、DFIR 和安全自动化工作流。
进阶过程从以下基础开始:
每个实验都以实际操作为核心,包含:
- 命令执行及经过验证的输出
- 自动化脚本(Bash、Python、PowerShell)
- 结构化报告(JSON / HTML / TXT)
- 日志分析与监控工作流
- 面试导向的详细说明
本仓库展示了**实用的安全工程能力** —— 而非理论性的课程作业。
## 📌 关于本仓库
这是一个围绕 20 个进阶实验构建的实践性安全工程作品集,反映了现代企业蓝队运营的真实场景。
本仓库展示了以下方面的能力:
- SOC 运营与日志分析
- 检测工程与规则开发
- Linux 系统加固与监控
- 文件完整性监控 (FIM)
- 事件响应生命周期的执行
- Linux 与 Windows 取证自动化
- 基于 AI 的异常检测
- 安全自动化与补丁治理
- IDS 配置与响应剧本
所有实验均在受控的 Ubuntu 实验室环境中执行,使用了开源工具和自动化优先的方法论。
重点关注构建**运营级安全工程深度** —— 从基础系统技能到集成的 SOC 响应架构。
## 📚 实验索引 (1–20)
## 🗂 实验分类概览
# 🧱 第 1 部分 — 核心 CLI 与脚本基础 (实验 1–4)
| 实验 | 标题 | 重点 |
|-----|-------|--------|
| 01 | [Linux CLI 基础](lab01-linux-cli-basics) | 导航、权限与系统操作 |
| 02 | [用于安全自动化的 PowerShell](lab02-powershell-fundamentals) | 跨平台脚本基础 |
| 03 | [安全运营的 Python 自动化](lab03-python-scripting-for-automation) | 日志记录、监控与结构化输出 |
| 04 | [Bash 脚本与计划工作流](lab04-bash-scripting-essentials) | Cron 自动化与运维脚本 |
### 展现的技能
- CLI 导航与权限管理(`chmod`、`chown`)
- 跨平台脚本(Linux 上的 PowerShell Core)
- Python 自动化(文件操作、日志记录、监控模拟)
- Bash 自动化(备份工作流、cron 调度)
- 生成结构化日志以保障可审计性
- 带有捕获输出的脚本验证
### 真实场景对齐
模拟日常 SOC 基础运维:终端操作、权限执行、自动化脚本、计划监控与运营日志。
# 🔎 第 2 部分 — 侦察与安全分析 (实验 5–10)
| 实验 | 标题 | 重点 |
|-----|-------|--------|
| 05 | [网络诊断与 IP 分析](lab05-networking-basics-with-ip-tools) | DNS、路由与连接故障排除 |
| 06 | [端口扫描与服务枚举](lab06-port-scanning-and-enumeration) | Nmap 扫描与暴露面测绘 |
| 07 | [Web 与 API 安全探索](lab07-web-technologies-exploration) | HTTP 方法、JSON 解析与自动化 |
| 08 | [版本控制与安全审计追踪](lab08-version-control-with-git) | Git 工作流与变更跟踪 |
| 09 | [自动化威胁模拟与报告](lab09-basic-threat-simulation) | 结构化侦察自动化 |
| 10 | [数据包捕获与协议分析](lab10-introduction-to-wireshark) | Wireshark 与 TCP 握手检查 |
### 🧠 核心工程技能
- IP 路由与 DNS 故障排除
- TCP / SYN / UDP 扫描技术
- Banner 抓取与 NSE 脚本
- HTTP 方法与 JSON 解析
- 使用 Python `requests` 进行 API 自动化
- 基于 Git 的审计追踪与协作
- PCAP 分析与 TCP 握手检查
### 本部分的证明
跨越以下层面的能力:
# 🔐 第 3 部分 — 加固与密码学工程 (实验 11–14)
| 实验 | 标题 | 重点 |
|-----|-------|--------|
| 11 | [Linux 系统加固与防火墙执行](lab11-linux-security-hardening) | UFW、SSH 加固与监控 |
| 12 | [使用 PowerShell 进行 Windows 安全加固](lab12-windows-security-hardening-powershell) | 跨平台防御性自动化 |
| 13 | [文件完整性监控实施](lab13-file-integrity-monitoring) | auditd 与实时 FIM |
| 14 | [使用 Python 进行密码学工程](lab14-cryptography-with-python) | AES 加密、哈希与安全保险库设计 |
### 🧠 展现的技能
- 默认拒绝防火墙配置
- 基于 SSH 密钥的身份验证
- 基于日志的入侵检测
- 内核级审计规则配置
- 基线哈希与完整性验证
- AES 加密与 PBKDF2 密钥派生
- 安全保险库工程
### ⚖️ 合规与安全概念
- NIST 控制
- 纵深防御
- 最小权限
- PCI-DSS 风格的监控
- 安全的密钥生命周期管理
# 🛡 第 4 部分 — SOC 运营、DFIR 与安全自动化 (实验 15–20)
| 实验 | 标题 | 重点 |
|-----|-------|--------|
| 15 | [事件响应生命周期模拟](lab15-basic-incident-response-simulation) | NIST 对齐的 IR 执行 |
| 16 | [Linux 取证自动化](lab16-linux-forensics-automation) | 痕迹提取与取证脚本 |
| 17 | [Windows 取证与日志分析](lab17-windows-forensics-automation) | EVTX 与注册表痕迹解析 |
| 18 | [AI 驱动的威胁检测工程](lab18-ai-driven-threat-detection) | 基于 ML 的异常检测 |
| 19 | [安全自动化与补丁治理](lab19-security-automation-patch-management) | 更新生命周期编排 |
| 20 | [最终 SOC 工程模拟](lab20-final-soc-simulation) | 端到端检测与响应架构 |
### 🧠 展现的技能
- 🛑 **事件响应** — IOC 检测、遏制、证据处理
- 🐧 **Linux 取证** — 痕迹提取与自动化
- 🪟 **Windows 取证** — EVTX 与注册表分析
- 📡 **检测工程** — 自定义规则与日志关联
- 🤖 **AI 在安全中的应用** — 特征工程与基于 ML 的检测
- 🔄 **补丁管理** — 自动化生命周期治理
- 🏢 **SOC 运** — 告警 → 阻断 → 剧本 → 报告
# 🏁 最终实验 — 端到端 SOC 工程模拟 (实验 20)
`检测` → `分析` → `关联` → `告警` → `遏制` → `自动化` → `记录`
## 🔧 集成的 SOC 组件
- **Suricata IDS** – 网络入侵检测与自定义规则引擎
- **Fail2ban** – 自动化暴力破解防护
- **rsyslog** – 集中式日志聚合
- **自定义 Python 日志分析器** – 多源关联引擎
- **响应引擎** – 自动化 IP 阻断与修复
- **事件响应剧本** – 结构化的 MITRE 对齐流程
- **剧本跟踪器** – 执行日志与生命周期跟踪
## 🎯 最终实验模拟的内容
本实验代表了一个**完整的 SOC 运营工作流**,类似于真实企业环境中的实施:
- 多源日志聚合(认证日志 + IDS 事件)
- 自定义检测规则开发(暴力破解、Web 攻击、端口扫描)
- 自动化告警生成与严重性分类
- 通过 `iptables` + Fail2ban 进行基于 IP 的遏制
- 剧本驱动的事件处理
- 结构化报告与执行跟踪
它不是单一的脚本 —— 它是一个协调的安全生态系统。
## 🔄 端到端工作流架构
1. **检测层**
- Suricata 规则识别可疑流量
- 身份验证日志标记暴力破解尝试
2. **分析层**
- Python 分析器解析 JSON + 日志文件
- 告警按严重性和来源分组
3. **响应层**
- 响应引擎触发自动遏制
- 通过防火墙阻断恶意 IP
4. **剧本层**
- 暴力破解与 Web 攻击响应流程
- 记录在案的调查、遏制、恢复步骤
5. **报告层**
- 结构化 JSON 报告
- 告警存档
- 剧本执行日志
## 📊 成果声明
通过完成实验 20,本仓库最终实现了:
- 一个功能完备的 SOC 环境
- 自定义 IDS 规则工程
- 自动化威胁遏制
- 日志驱动的告警流水线
- 结构化的事件响应剧本
- 端到端安全运营工作流集成
这个最终实验使本仓库从**基础安全技能 → 运营级 SOC 工程能力**完成了蜕变。
# ⚙ 使用的工具与技术
点击展开
### 🖥️ 操作系统 - Ubuntu 20.04 / 22.04 / 24.04 LTS ### 🛡️ 安全与 SOC 工具 - Suricata (NIDS) - Fail2Ban - rsyslog(集中式日志记录) - iptables(遏制 / 阻断) - auditd(内核审计) - AIDE(文件完整性监控) - inotify-tools / inotify(实时文件监控) ### 🌐 网络、侦察与流量分析 - Nmap - Wireshark - tshark - tcpdump - curl / wget - dig / nslookup - ss / netstat - netcat (nc) ### 🔐 加固与系统监控 - UFW(主机防火墙) - OpenSSH(SSH 加固) - journalctl(系统日志分析) - cron / crontab(计划任务自动化) ### 🧾 DFIR 与痕迹解析 - python-evtx(Windows EVTX 解析) - python-registry(Windows 注册表配置单元解析) ### 🤖 AI / 检测分析 - Pandas - NumPy - Scikit-learn - Isolation Forest - Random Forest - Matplotlib ### ⚙️ 脚本与自动化 - Python 3.x - argparse - logging - json / csv - Bash - PowerShell Core (pwsh) ### 📄 报告与输出格式 - JSON - CSV - HTML - TXT - PCAP
标签:AI合规, CTI, Metaprompt, x64dbg, 子域名变形, 安全运营中心(SOC), 应用安全, 数字取证与应急响应(DFIR), 系统加固, 网络安全, 网络安全研究, 逆向工具, 隐私保护, 靶场实验