mosabrii/Network-Traffic-Incident-Analysis

# 网络流量事件分析 ## 概述 本仓库包含专注于分析安全事件期间网络流量的网络安全实操实验。 这些项目模拟了真实的 SOC 场景，涉及异常流量模式、服务中断以及网络层的恶意活动。 每个实验都代表一个独立的事件调查，强调分析思维、基于证据的结论和结构化报告，而非对工具的依赖。 ## 目标 - 分析安全事件期间捕获的网络流量 - 识别异常模式、攻击指标和受影响的服务 - 了解根本原因和潜在的攻击者技术 - 练习 SOC 风格的事件分析和文档记录 ## 涵盖的事件场景 仓库包含多个逼真的事件案例，例如： - DNS 和 ICMP 通信故障 - TCP SYN 洪水和拒绝服务模式 - Web 暴力破解尝试和异常 HTTP 行为 - 源于用户行为和社交平台的网络级风险 ## 方法论 每个事件分析都遵循结构化的调查方法： - 初始症状识别 - 流量检查和日志审查 - 指标提取和攻击模式识别 - 影响评估和根本原因分析 - 记录在案的调查结果和结论 该分析符合 SOC 工作流程和事件响应最佳实践。 ## 实验结构 - 每个文件夹代表一个独立的事件案例 - 实验按逻辑编号顺序排列 - 每个案例都包含概述以下内容的文档： - 事件背景 - 观察结果和发现 - 分析结论 ## 展示的技能 - 网络流量分析 - 事件调查与根本原因分析 - SOC 分析思维 - 日志审查和模式识别 - 安全文档和报告 ## 目标受众 本仓库专为以下人员设计： - SOC 分析师 (L1/L2) - 网络安全学生和实习生 - 任何正在提升事件分析及蓝队/紫队技能的人员 ## 免责声明 - 所有场景均为虚构，旨在用于教育目的 - 不涉及真实的系统、组织或个人 - 任何与真实事件的相似之处纯属巧合

标签：AMSI绕过, Beacon Object File, DDoS攻击, DNS安全, HTTP异常, ICMP, IP 地址批量处理, OPA, PoC, SYN Flood, 内核驱动, 威胁检测, 安全分析师, 安全实验室, 安全报告, 安全教育, 安全运营中心, 并发处理, 异常检测, 数字取证, 暴力破解, 根本原因分析, 网络协议, 网络安全, 网络层安全, 网络映射, 自动化脚本, 隐私保护, 靶场