vivek28ahir/log-analysis-and-incident-detection

# 日志分析与事件检测 ## 概述 本项目展示了一个动手实践的网络安全实验室，专注于日志分析、系统监控以及跨 Windows 和 Linux 环境的事件检测。实验室模拟了可疑的系统活动，并分析日志以识别妥协指标（IoCs）和安全事件。 ## 目标 - 理解日志文件在网络安全监控中的作用 - 分析 Windows 和 Linux 系统日志 - 评估日志分析工具（事件查看器、Logwatch、Splunk） - 调查脚本导致的系统变更 - 使用日志数据识别妥协指标（IoCs） ## 使用技术 - Windows 事件查看器 - Kali Linux（/var/log） - Logwatch - Splunk（SIEM） - PowerShell 与 Bash 脚本 ## 关键概念 - 日志分析与监控 - 安全事件检测 - 事件调查 - 妥协指标（IoCs） - 系统审计与取证分析 ## 项目亮点 ### 1. 日志文件分析 - 探索 Windows 日志（应用程序、安全、系统） - 分析 `/var/log` 中的 Linux 日志，包括： - syslog - auth.log - kern.log - 识别关键安全指标，例如： - 失败的登录尝试 - 未经授权的访问 - 异常系统行为 ### 2. 日志分析工具 - **事件查看器（Windows）：** - 实时监控 - 事件过滤与调查 - **Logwatch（Linux）：** - 自动化的日志摘要 - 可疑活动检测 - **Splunk（SIEM）：** - 集中化日志收集 - 实时告警与仪表板 ### 3. 攻击模拟与检测 执行了一个执行可疑操作的脚本： - 创建未经授权的用户账户 - 自动分配密码 - 授予管理员权限 - 创建隐藏目录 - 存储恶意脚本副本 - 删除日志以隐藏活动 ### 4. 事件检测 通过日志识别出以下指标： - 用户账户创建事件 - 权限提升活动 - 密码重置尝试 - 日志清除事件（反取证行为） ## 关键发现 - 日志为系统活动提供了关键可见性 - 攻击者可能试图通过删除日志来掩盖痕迹 - 监控身份验证日志对于检测入侵至关重要 - SIEM 工具通过关联跨系统事件提升检测能力 ## 文件 - `report/Ahir_xow413_6303_lab03.pdf` — 完整实验报告 ## 学术背景 本项目作为一门专注于日志分析、监控与事件检测的网络安全实验室的一部分完成。 ## 免责声明 本项目仅在受控的实验室环境中出于教育目的进行。它旨在展示防御性网络安全技术与基于日志的威胁检测方法。

标签：AI合规, BurpSuite集成, IoC, IPv6, Logwatch, PowerShell, Windows Event Viewer, 事件检测, 子域名变形, 应用安全, 攻击模拟, 日志清除, 未授权账户, 特权提升, 系统取证, 网络安全, 网络安全审计, 自动化部署, 隐私保护, 驱动签名利用