harjassingh2/ids-lateral-movement-detection

# 检测企业网络中的横向移动 ### Zeek + Suricata | 14 个攻击场景 | 映射 MITRE ATT&CK 本科毕业设计项目 — BSc Ethical Hacking and Cyber Security，Coventry University (2:1) ## 项目简介 我构建了一个虚拟企业网络，并测试了开源 IDS 工具能否在初始攻陷后检测到攻击者在网络内部的移动。 我执行了 14 种真实攻击技术，对比了使用默认配置与自定义检测规则的 Zeek 和 Suricata，并测量了每个工具准确检测、漏报和误报的情况。 **核心发现：** 默认的 IDS 配置遗漏了大多数高难度场景。而自定义检测工程显著改变了这一状况。 ## 实验环境 - 3 台虚拟机：Kali Linux (攻击机)、Windows (靶机)、Ubuntu (Zeek 监控机) - 内部监控网络段 — 与管理流量分开 - 所有攻击流量被捕获为 PCAP，并在两个工具中回放以确保公平比较 - 首先生成正常流量基线，以进行有意义的误报测试 ## 测试场景 | # | 场景 | MITRE 技术 | |---|---|---| | 1 | Internal Port Scan | T1595 | | 2 | ICMP Reconnaissance | T1018 | | 3 | SMB Enumeration | T1021.002 | | 4 | Service Access | T1021 | | 5 | Admin Share Lateral Movement | T1021.002 | | 6 | SSH Port-Forwarding | T1572 | | 7 | SOCKS Proxy Tunnel | T1090 | | 8 | HTTPS-Wrapped Pivoting | T1572 | | 9 | DNS Tunnelling | T1071.004 | | 10 | Living-off-the-Land (LotL) | T1059 | | 11 | Encrypted C2 | T1573 | | 12 | Jittered C2 Beaconing | T1071 | | 13 | Cloud API Emulation | T1102 | | 14 | LLMNR Poisoning | T1557.001 | ## 主要结果 - **14 个场景中有 13 个**在使用自定义规则时比默认配置显示出显著的检测提升 - 在每个高难度场景中，**Zeek + Suricata 组合**的表现都优于单独使用任一工具 - **Jittered C2** 是唯一一个即使在调优后检测依然不完整的场景 — 时间逃避击败了基于阈值的逻辑 - **最高误报风险：** LotL 和 Admin Share 场景 — 因为它们的流量与合法的 IT 管理流量完全相同 ## 仓库结构 | 文件夹 | 包含内容 | |---|---| | `lab-setup/` | 网络拓扑、虚拟机配置以及双接口的重要意义 | | `attack-simulation/` | 每个场景的执行方式及流量特征 | | `detection-rules/` | 自定义 Zeek 脚本和 Suricata 规则及详细解释 | | `findings/` | 默认 IDS 遗漏的内容、结果汇总表和误报分析 | ## 使用的工具 Zeek · Suricata · Metasploit · Nmap · Responder · Wireshark · Tcpdump · VMware

标签：C2 Beaconing, Cloudflare, CTI, DNS隧道, IP 地址批量处理, LLMNR投毒, Metaprompt, MITRE ATT&CK, PCAP, PE 加载器, Rootkit, SMB枚举, SOCKS代理, SSH隧道, Suricata, TGT, URL发现, Zeek, 企业网络安全, 伦理黑客, 入侵检测系统, 命令与控制, 安全工程, 安全数据湖, 安全检测, 密码管理, 攻防演练, 数据展示, 数据统计, 本科毕业设计, 横向移动, 现代安全运营, 端口扫描, 红队, 编程规范, 网络安全, 网络安全实验, 考文垂大学, 自定义规则, 虚拟环境, 隐私保护, 黑客技术