jwghwow/python-detection-engineering-lab

# Python 检测工程实验 一个基于 Python 的网络安全项目，使用来自 Kaggle 的认证日志数据（由 LİN ÇORBACI 提供的 linux_auth_log-anomalies）模拟轻量级检测工程工作流。该实验导入基于 CSV 的登录遥测数据，检测可疑活动，通过上下文和 MITRE ATT&CK 映射丰富告警，分配严重性和评分，并输出 JSON、CSV、控制台摘要和 HTML 报告格式的结果。包含 output 目录下预生成的输出示例。 ## 功能特性 - 暴力破解检测 - 密码喷洒检测 - 特权账户针对性检测 - MITRE ATT&CK 映射 - 告警评分与优先级分配 - 唯一告警 ID - JSON 与 CSV 告警导出 - 控制台摘要报告 - HTML 报告生成 ## 项目结构 detection-lab/ ├── src/ ├── watchlists/ ├── data/ ├── output/ ├── README.md └── .gitignore 检测规则 暴力破解登录尝试 → MITRE T1110 密码喷洒尝试 → MITRE T1110.003 特权账户被锁定 → MITRE T1078 如何运行 安装依赖： pip install pandas 运行项目： python src/main.py 输出 程序生成： alerts.json alerts.csv alerts_report.html

标签：AMSI绕过, Cloudflare, CSV数据处理, HTML报告生成, Kaggle数据集, MITRE ATT&CK, PoC, Python, SIEM模拟, 凭证访问, 后端开发, 多模态安全, 威胁检测, 安全实验室, 安全运营, 密码喷洒, 扫描框架, 无后门, 暴力破解, 特权账户, 红队行动, 网络安全, 身份认证安全, 逆向工具, 隐私保护