messi0087an-hub/nexus-ir-simulator
GitHub: messi0087an-hub/nexus-ir-simulator
NEXUS事件响应模拟器,基于PICERL框架,模拟真实网络安全事件,提升应急响应能力。
Stars: 0 | Forks: 0
# NEXUS — 事件响应模拟器
## 🔍 问题
了解网络安全理论是不够的。当勒索软件在凌晨2点爆发时,你需要本能地知道是先联系CEO还是检查网络日志。是擦除受感染的驱动器还是将其镜像以进行取证。NEXUS通过现实、后果驱动的模拟来培养这种本能。
## 💡 它的功能
NEXUS展示了三个现实世界的网络安全事件场景。在**PICERL框架**的每个阶段,你都要做出决定。好的决定可以限制损害。坏的决定会加剧它。一个实时警报流创造紧迫感。最终报告会评估你的响应并解释真正的分析师会做什么。
### 三个场景
| 场景 | 分类 | 传播途径 |
|------|------|--------|
| 勒索软件爆发 | CRITICAL | SMB / EternalBlue (MS17-010) |
| 数据泄露检测到 | CRITICAL | 被泄露的凭证 |
| 内部威胁 | HIGH | USB 泄露 |
### PICERL框架阶段
每个场景都会走过4个活跃阶段:
- **I — 识别** — 检测和范围事件
- **C — 隔离** — 停止传播
- **E — 根除** — 完全移除威胁
- **R — 恢复** — 安全地恢复系统
## 🎮 如何工作
1. 从主页选择一个场景
2. 阅读事件简报和元数据(严重性、受影响系统、攻击途径)
3. 点击**启动事件响应** — 开始计时
4. 在每个阶段:阅读叙述,观看实时警报滚动,做出决定
5. 立即看到后果——好的决定减少损害,坏的决定加剧它
6. 阅读分析师观点——真正的SOC分析师会做什么以及为什么
7. 完成所有4个阶段以获得最终评分报告
### 评分
| 损害评分 | 等级 |
|----------|-------|
| 0 – 20 | 🏆 专家响应 |
| 21 – 40 | ✅ 精通 |
| 41 – 65 | ⚠ 发展中 |
| 66 – 100 | 🚨 严重失败 |
## 🧪 真实测试结果
**勒索软件爆发场景:**
- 响应时间:5:54
- 正确决定:3 / 4
- 损害评分:**20/100 — 专家响应** 🏆
- 框架:PICERL (NIST SP 800-61)
## 🛠️ 技术栈
| 层 | 技术 |
|----|-----------|
| 后端 | Python 3, Flask |
| 前端 | HTML5, CSS3, Vanilla JavaScript |
| 架构 | 单页应用程序(状态机) |
| 场景引擎 | JavaScript状态机(5个状态) |
| 框架 | PICERL / NIST SP 800-61 |
| 字体 | Google Fonts (Orbitron, Share Tech Mono) |
无需数据库——所有场景逻辑都在客户端运行。
## 🚀 如何运行
**要求:** Python 3.8+
```
# 安装 Flask
pip3 install flask
# 导航到项目文件夹
cd nexus-ir-simulator
# 启动 NEXUS
python3 app.py
# 在浏览器中打开:
# http://127.0.0.1:5004
```
## 📁 项目结构
```
nexus-ir-simulator/
└── app.py # Complete application — Flask server + all scenario data + UI
```
## 🎯 我学到的
构建NEXUS迫使我深入理解PICERL事件响应框架(NIST SP 800-61)——特别是每个阶段的重要性以及跳过步骤或走捷径时会发生什么。
构建场景的关键见解:
- **永远不要在镜像之前重启**——易失性内存包含加密密钥和攻击者进程数据,这些数据在重启时会消失
- **在通知之前隔离**——在活动传播期间通知管理会花费几分钟,而这意味着数百台加密的机器
- **凭证泄露需要全面审计**——一个被泄露的账户意味着所有特权账户都值得怀疑
- **PDPA给3天**——新加坡的个人信息保护法要求在72小时内通知泄露;文件不是可选的
最重要的教训是:**事件响应关乎你在前30分钟内做出的决定。NEXUS模拟了这种压力**。
## 🔮 未来改进
- 实时多人模式(基于团队的IR练习)
- 为组织创建自定义场景的构建器
- 与实际的SIEM日志样本集成,以实现逼真的警报流
- 基于计时器的难度模式(简单/中等/困难响应窗口)
- 训练完成证书生成
## 🔗 相关项目
- [SENTINEL — 邮件威胁分析器](https://github.com/messi0087an-hub/sentinel-email-analyzer)
- [SHIELD — URL威胁检测器](https://github.com/messi0087an-hub/shield-url-detector)
- [VULCAN — 漏洞扫描器](https://github.com/messi0087an-hub/vulcan-vuln-scanner)
- [ARGUS — 网络异常检测器](https://github.com/messi0087an-hub/argus-anomaly-detector)
- [VAULT — 加密文件传输](https://github.com/messi0087an-hub/vault-secure-transfer)
*作为Ngee Ann Polytechnic网络安全组合的一部分构建——网络安全与数字取证文凭(EAE 2026)*
标签:EternalBlue, PICERL框架, SMB攻击, USB传播, 内部威胁, 决策模拟, 凭证泄露, 分析师视角, 勒索软件, 反取证, 安全事件响应, 安全培训, 安全意识提升, 安全测试, 安全演练工具, 安全策略, 安全评估, 实时警报, 库, 应急响应, 提示词设计, 攻击性安全, 模拟演练, 网络安全, 网络安全教育, 评分系统, 逆向工具, 隐私保护