tamim1089/security-101-blue-team-workshops

# 安全基础 101：蓝队基础知识 这是一个包含 4 个部分的研讨会系列，主题为防御性网络安全，内容从基础安全概念逐步深入到基于机器学习的恶意软件检测。该系列在阿布扎比大学 (Abu Dhabi University) 的 Google Developer Group on Campus 上发布。 ## 系列概述 本研讨会系列采用实践方法来教授蓝队安全技能。每一节课都建立在前一节课的基础上，从理论过渡到动手实践。在本系列结束时，学生将从学习基本的安全原理进阶到在恶意软件样本上训练神经网络。 **目标受众**：无先期网络安全经验的初学者 **总时长**：4 个研讨会，共计约 6 小时 **形式**：讲座、现场演示和动手实验相结合 ## 研讨会细分 ### [研讨会 1：网络安全简介](./Workshop-1) **时长**：90 分钟 **类型**：讲座 + 讨论 介绍核心网络安全概念和蓝队思维模式。涵盖 CIA 三要素、最小权限原则、零信任架构、安全设计以及纵深防御。探讨防御性安全领域的不同职业路径。 **关键主题**： - 网络安全的本质（不仅仅是“黑客攻击”） - 能够阻止 99% 攻击的五个核心安全原则 - 蓝队职业路径：SOC 分析师、应急响应人员、数字取证专家、恶意软件分析师 - 为什么安全必须从一开始就内置到系统中 ### [研讨会 2：Linux 基础](./Workshop-2) **时长**：90 分钟 **类型**：动手实验 Linux 命令行基础实践入门。学生通过 SSH 连接到隔离的 Docker 容器，学习文件系统导航、权限管理、进程管理和基本网络命令。 **关键主题**： - 文件操作和目录导航 - 使用 chmod 理解和修改权限 - 进程监控和管理 - 网络实用工具 (ping, netstat, traceroute) - 输出重定向和管道 **实验设置**：通过 SSH 访问运行 Debian 的独立 Docker 容器 ### [研讨会 3：使用 Wazuh 进行安全监控](./Workshop-3) **时长**：60 分钟 **类型**：交互式仪表板演示 使用 Wazuh 介绍安全信息和事件管理 (SIEM)。通过真实攻击场景，现场演示日志聚合、威胁检测和安全事件关联。 **关键主题**： - SIEM 框架如何收集和分析安全数据 - 基于 Agent 的监控架构 - 仪表板导航和使用 DQL 进行日志过滤 - 编写自定义检测规则 - 将攻击映射到 MITRE ATT&CK 框架 **实验设置**：托管 Wazuh 服务器配合 Raspberry Pi agent，现场 SSH 暴力破解演示 ### [研讨会 4：使用机器学习进行恶意软件分析](./Workshop-4) **时长**：90 分钟 **类型**：理论 + 代码演练 探讨机器学习如何自动化恶意软件检测。解释二进制到图像的转换技术，并演示如何训练卷积神经网络来对恶意软件家族进行分类。 **关键主题**： - 恶意软件行为：数据窃取 (exfiltration)、持久化、横向移动 (pivoting) - 静态分析与动态分析方法 - 将可执行文件转换为灰度图像 - 在恶意软件数据集上训练 ResNet50 - 达到 94% 的分类准确率 **实验设置**：包含完整训练流水线的 Google Colab notebook ## 前置条件 **研讨会 1**：无 - 适合完全的初学者 **研讨会 2**：基本计算机素养，熟悉终端使用会有帮助但非必需 **研讨会 3**：建议了解研讨会 2 中的 Linux 命令 **研讨会 4**：基本了解 Python，熟悉机器学习概念会有帮助但非必需 ## 开始使用 每个研讨会文件夹包含： - 包含学习目标和关键概念的详细 README - 演示幻灯片（PDF 格式） - 实验材料和代码示例（如适用） - 额外资源和推荐阅读 **推荐路径**：按顺序完成研讨会 (1→2→3→4) 以获得最佳学习体验。 ## 使用的工具和技术 - **Linux**：基于 Debian 的系统、SSH、bash - **SIEM**：Wazuh（开源安全监控） - **Machine Learning**：Python、PyTorch、ResNet50、Google Colab - **Virtualization**：Docker（用于隔离的实验环境） ## 额外资源 ### 通用网络安全 - [MITRE ATT&CK Framework](https://attack.mitre.org) - 全面的对手战术知识库 - [OWASP Top 10](https://owasp.org/www-project-top-ten/) - 最关键的 Web 应用安全风险 - [NIST Cybersecurity Framework](https://www.nist.gov/cyberframework) ### Linux 练习 - [OverTheWire: Bandit](https://overthewire.org/wargames/bandit/) - 通过安全挑战学习 Linux - [Hack The Box Academy](https://academy.hackthebox.com) - 结构化学习路径 - [TryHackMe](https://tryhackme.com) - 引导式网络安全培训 ### SIEM 和监控 - [Wazuh Documentation](https://documentation.wazuh.com) - [Splunk Fundamentals](https://www.splunk.com/en_us/training.html) - [Elastic Security](https://www.elastic.co/security) ### 恶意软件分析 - [Malware Unicorn](https://malwareunicorn.org) - 逆向工程研讨会 - [VirusTotal](https://www.virustotal.com) - 多引擎文件分析 - [ANY.RUN](https://any.run) - 交互式恶意软件沙箱 - "Practical Malware Analysis" 作者 Michael Sikorski ### 认证路径 **入门级**： - CompTIA Security+ - (ISC)² Certified in Cybersecurity (CC) **蓝队方向**： - Practical Junior Security Analyst (PJSA) - TCM Security - Certified SOC Analyst (CSA) - SANS/GIAC - Certified Defense Analyst (CDA) - TCM Security **高级**： - GIAC Certified Incident Handler (GCIH) - GIAC Certified Forensic Analyst (GCFA) - Offensive Security Defense Analyst (OSDA) ## 研讨会录像 所有研讨会的完整视频录像可在 YouTube 上观看： [研讨会系列播放列表](https://www.youtube.com/playlist?list=PLd8mAolo75WSeTH2MJNjfGFE1KQbLuTlo) ## 关于 这些研讨会是作为阿布扎比大学 (Abu Dhabi University) Google Developer Group on Campus (GDGOC) 的一部分创建和开展的。其目标是让没有安全经验的学生也能接触到防御性网络安全。 **讲师**：Abdulrahman Tamim 阿布扎比大学网络安全工程专业大二学生 研究方向：恶意软件分析和底层安全 **联系方式**： - LinkedIn: [Abdulrahman Tamim](https://linkedin.com/in/abdulrahman-tamim) - Blog: [Your blog URL if you have one] ## 许可证 本项目采用 MIT 许可证授权 - 详见 [LICENSE](LICENSE) 文件。 教育材料可在注明原始来源的情况下自由使用。 ## 致谢 - 阿布扎比大学的 Google Developer Group on Campus 提供的主办和支持 - 所有研讨会参与者的参与和宝贵反馈 - 开源安全社区（提供了 Wazuh 等工具）以及恶意软件研究社区（公开了数据集） **注意**：这些材料代表了从基础概念到高级技术的学习历程。虽然专为初学者设计，但后期的研讨会假设您熟悉早期的内容。这些研讨会的动手性质意味着真正的学习发生在您实际运行命令和代码的时候。 从研讨会 1 开始，逐步深入学习。到了研讨会 4，您将能够在恶意软件上训练神经网络——并且真正理解底层发生的事情。

标签：ADU, Apex, CIA 三要素, DAST, Docker, Google Developer Group, HTTP工具, JSONLines, Linux 基础, SOC 分析师, Wazuh, 入门指南, 内存分配, 凭据扫描, 培训教程, 安全意识, 安全教育, 安全运营, 安全防御评估, 实操练习, 工作坊, 应用安全, 恶意软件分析, 扫描框架, 数字取证, 无线安全, 机器学习, 深度学习, 神经网络, 纵深防御, 网络安全, 网络安全审计, 自动化脚本, 请求拦截, 逆向工具, 防御性安全, 隐私保护, 零信任