ChidoEfobi/Brute-Force-Attack-Detection-Using-Wazuh-Suricata

GitHub: ChidoEfobi/Brute-Force-Attack-Detection-Using-Wazuh-Suricata

基于 Wazuh 和 Suricata 的开源 SOC 实验项目,演示 SSH 暴力破解攻击的完整检测链路和告警关联流程。

Stars: 0 | Forks: 0

# 使用 Wazuh & Suricata 检测暴力破解攻击 (SOC 模拟) 开源 SOC | SIEM • IDS • IDR • XDR 模拟 本实验室模拟了一次真实的暴力破解攻击场景,其中 Kali Linux 攻击者使用 Hydra 针对 Linux 主机发起攻击。Suricata 通过 Emerging Threats 规则检测到攻击,Wazuh SIEM 对告警进行关联分析,展示了开源 SOC 技术栈如何提供全面的可见性、基于规则的检测和集中式告警 (MITRE T1110)。 ![openart-image_tDPYrTE4_1769024905187_raw](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/60a05076c4202120.jpg) # 项目概述 本项目演示了一个真实的 SOC 检测场景,其中 Kali Linux 攻击者 使用 Hydra 对受监控的 Linux 端点 发起凭据暴力破解攻击。 攻击被成功检测、记录、关联并通过完全开源的 SOC 技术栈进行可视化,该技术栈包括: - Wazuh (SIEM / HIDS / IDR) - Suricata (NIDS/NIPS) - Emerging Threats 规则集 所有告警均在 Wazuh SIEM 服务器 上进行集中和分析,模拟真实的 SOC 操作流程。 ## 架构与组件 # 攻击者 ``` • Hostname: kalichido • OS: Kali Linux • Tool: Hydra • Technique: Brute-force authentication • MITRE ATT&CK: T1110 – Brute Force ``` # 受害者 ``` • Hostname: wazuhagent-suricata • OS: Linux (Ubuntu) • Security Stack: ◦ Wazuh Agent (HIDS) ◦ Suricata (NIDS) • Role: Endpoint under attack and detection sensor ``` # SOC / SIEM 服务器 ``` • Hostname: Ubuntuwazserver • OS: Ubuntu Server • Role: ◦ Centralized log collection ◦ Alert correlation ◦ SOC dashboards & visibility ``` # 攻击场景 攻击者使用 Hydra 针对暴露的认证服务(例如 SSH)尝试多种用户名和密码组合。该攻击利用常见的凭据字典,模仿真实世界中的攻击者行为。 此类活动通常出现于: • 初始访问尝试 • 密码喷洒攻击 • 自动化僵尸网络入侵 # 检测与遥测流程 - Hydra 生成重复的身份验证失败尝试 - Suricata 检查实时网络流量 - Emerging Threats 规则检测暴力破解行为 - Suricata 生成 IDS 告警 - Wazuh Agent 获取 Suricata 日志 - 日志被转发到 Wazuh Server (Ubuntuwazserver) - Wazuh 对告警进行关联、丰富化和可视化。这提供了端到端的检测可见性,缩短了平均检测时间 (MTTD)。 # 是什么让 Suricata 具备智能? Suricata 是一个开源网络入侵检测和防御系统 (NIDS/NIPS)。 其智能来源于: - 基于特征的检测 - 协议感知检查 - 有状态流量分析 - 基于阈值的告警 - Emerging Threats 规则 - 注意:如果没有可读的规则文件,Suricata 无法检测攻击 (规则 = 智能)。 # Wazuh 的角色 Wazuh 是一个开源 SIEM、HIDS 和安全分析平台。 在本次模拟中,Wazuh: - 收集主机和网络日志 - 关联 Suricata 告警 - 应用检测规则 - 生成 SOC 就绪告警 - 提供 SIEM / IDR / XDR 级别的可见性 # 实验环境遇到的挑战 (VMware Workstation) - 一个系统不能同时作为 Wazuh Server 和 Wazuh Agent - Suricata 必须安装在 Agent 上,而不是 Server 上 - 错误的规则文件权限会阻止检测 - NAT 与 桥接网络模式会影响流量可见性 - 日志获取时机影响关联准确性 这些挑战紧密反映了现实世界中 SOC 部署的约束条件。 # 现实世界的影响 如果成功,暴力破解攻击可能导致: - 未经授权的系统访问 - 权限提升 - 横向移动 - 数据泄露 - 勒索软件部署 - 整个环境沦陷 暴力破解往往是重大违规事件的第一步。 # 缓解策略 - 强制执行强密码策略 - 实施账户锁定阈值 - 启用多因素认证 (MFA) - 使用速率限制 / fail2ban - 使用 SIEM & IDS 进行持续监控 - 定期更新 Suricata 规则 - 紫队和攻击模拟 详细的分步文档可在此处获取:Brute Force Attack Report 实验室架构与检测流程可在此处获取:Brute Force Attack Architecture 👤 作者 Chido Efobi 网络安全分析师 | SOC | SIEM | 威胁检测 📧 chynornor@yahoo.com
标签:HIDS, Hydra, Metaprompt, NIDS, SOC仿真, SSH暴力破解, Suricata, Wazuh, 免杀技术, 威胁情报, 安全实验, 安全运营中心, 容器化, 开发者工具, 新兴威胁规则, 日志关联, 暴力破解检测, 现代安全运营, 红队行动, 网络安全, 网络映射, 速率限制, 隐私保护