kapatalcs/PurpleForge-DetectionEngineArchitecture
GitHub: kapatalcs/PurpleForge-DetectionEngineArchitecture
PurpleForge 是一个在隔离实验室中模拟对抗活动并测试检测规则的模块化安全检测工程框架。
Stars: 0 | Forks: 0
# PurpleForge -- 检测引擎架构
PurpleForge 是一个模块化的检测工程框架,专为受控的实验室环境设计。
它使安全工程师能够模拟对抗性活动,并在安全、隔离的设置中测试检测规则。
本项目仅严格用于教育和实验室目的。
未经明确授权,请勿将其用于生产系统或环境。
## 项目目的
PurpleForge 的构建旨在:
- 在受控且刻意设计为存在漏洞的实验室环境中模拟攻击遥测数据(仅用于教育/研究)
- 测试并验证检测规则
- 试验规则引擎架构
- 支持威胁建模和安全研究工作流
- 演示如何安全地强化和改进刻意设计为存在漏洞的实验室环境
本项目的重点是**安全工程**,而非攻击性工具。
## 架构概述
该仓库遵循模块化结构:
```
PurpleForge-DetectionEngineArchitecture/
├── core/ # Engine core logic
├── detector/ # Detection rule and engine
├── simulations/ # Controlled adversarial event simulations
├── parsers/ # Log parsing components
├── mapping/ # MITRE ATT&CK mappings, tactic, severity, and attack descriptions
├── state/ # Alert and engine state management
├── configs/ # Configuration files
├── labs/ # Intentionally vulnerable lab environments
├── LAB_SECURITY_GUIDE.md
├── THREAT_MODEL.md
└── README.md
```
## 关键概念
### 检测引擎
处理遥测事件(系统日志、网络事件和模拟攻击信号),并根据定义的检测规则对其进行评估。
### 事件模拟
PurpleForge 不执行真实攻击,而是生成受控的安全事件以测试检测逻辑。
### 威胁建模
包含的威胁模型记录了潜在的滥用案例、信任边界和缓解策略。
### 实验室安全指南
提供关于如何安全操作、分析和强化刻意设计为存在漏洞的实验室的分步指导,重点介绍了缓解常见安全风险的最佳实践。
## 用法
克隆仓库:
```
git clone https://github.com/kapatalcs/PurpleForge-DetectionEngineArchitecture.git
cd PurpleForge-DetectionEngineArchitecture
```
PurpleForge 旨在隔离的实验室环境中运行。
### 运行引擎
克隆仓库后,导航至根目录并运行主 CLI:
```
cd PurpleForge-DetectionEngineArchitecture
python -m core.cli
```
## 安装 / 要求
PurpleForge 需要几个 Python 包才能正常运行。
所有依赖项都在 `requirements.txt` 文件中列出。
## 安全提示
- 所有模拟均专为受控测试而设计。
- 不支持对外部系统进行真实的漏洞利用。
- 任何类似于攻击性的行为都应仅限于本地实验室环境。
- 请勿尝试针对生产或外部系统运行这些模拟。
## 许可证
MIT 许可证
## 架构图
```
graph LR
classDef lab fill:#2d3436,stroke:#a29bfe,stroke-width:2px,color:#fff,rx:5px,ry:5px;
classDef core fill:#6c5ce7,stroke:#dfe6e9,stroke-width:3px,color:#fff,rx:10px,ry:10px;
classDef component fill:#4a3055,stroke:#a29bfe,stroke-width:1px,color:#fff,rx:5px,ry:5px;
classDef config fill:#2d3436,stroke:#ffeaa7,stroke-width:1px,color:#fff,stroke-dasharray: 5 5;
classDef storage fill:#2d3436,stroke:#00b894,stroke-width:2px,color:#fff,shape:cylinder;
subgraph Environment ["Lab & Simulations"]
direction TB
L["labs/
(Vulnerable Targets)"]:::lab S["simulations/
(Attack Generator)"]:::lab end subgraph Engine ["⚙️ PurpleForge Detection Engine"] direction LR P["parsers/
(Normalization)"]:::component CORE{"core/
(Orchestration)"}:::core D["detector/
(Rule Matching)"]:::component C["configs/
(Settings)"]:::config M["mapping/
(MITRE ATT&CK)"]:::config P -->|Parsed Data| CORE C -.->|Loads| CORE CORE -->|Evaluates| D M -.->|Context| D end ST["state/
(Alerts & Storage)"]:::storage L -->|Raw Logs| P S -->|Telemetry| P D -->|Detection Hits| ST ```
(Vulnerable Targets)"]:::lab S["simulations/
(Attack Generator)"]:::lab end subgraph Engine ["⚙️ PurpleForge Detection Engine"] direction LR P["parsers/
(Normalization)"]:::component CORE{"core/
(Orchestration)"}:::core D["detector/
(Rule Matching)"]:::component C["configs/
(Settings)"]:::config M["mapping/
(MITRE ATT&CK)"]:::config P -->|Parsed Data| CORE C -.->|Loads| CORE CORE -->|Evaluates| D M -.->|Context| D end ST["state/
(Alerts & Storage)"]:::storage L -->|Raw Logs| P S -->|Telemetry| P D -->|Detection Hits| ST ```
标签:TGT, 安全工程, 攻防演练, 日志解析, 检测引擎, 证书伪造, 逆向工具