hananfathimak/SOC-Based-Network-Attack-Detection-and-Incident-Response-Simulation

# 基于 SOC 的网络攻击检测与事件响应模拟 ## 概述 本项目演示了使用 Kali Linux 和 Metasploitable2 在受控实验室环境中进行的以安全运营中心（SOC）为导向的调查。其目标是执行网络侦察，识别暴露的服务，评估漏洞，模拟未授权访问尝试，分析身份验证日志，调查安全事件，并应用事件响应方法。 该项目遵循了从攻击检测到调查和响应规划的真实 SOC 工作流程。 ## 目标 * 执行网络侦察和服务枚举。 * 识别暴露的服务并评估攻击面。 * 对目标系统执行漏洞评估。 * 模拟未授权的 SSH 访问尝试。 * 分析 Linux 身份验证日志。 * 检测并调查可疑活动。 * 将事件归因于其源 IP 地址。 * 将活动映射到 Cyber Kill Chain 框架。 * 评估事件严重程度并建议缓解措施。 ## 实验环境 | 组件 | 用途 | | ------------------------- | --------------------------------------------- | | Kali Linux | 分析师和攻击模拟机 | | Metasploitable2 | 存在漏洞的目标系统 | | VirtualBox | 虚拟化平台 | | Nmap | 网络扫描和漏洞评估 | | SSH | 远程访问和攻击模拟 | | Linux 身份验证日志 | 安全事件调查 | ## 方法论 ### 阶段 1：连通性验证 使用 ICMP ping 请求验证了 Kali Linux 和 Metasploitable2 之间的通信。 ### 阶段 2：网络侦察 执行了 Nmap 服务发现扫描，以识别开放端口和正在运行的服务。 使用的命令： ``` nmap -sV 192.168.1.4 nmap -sS 192.168.1.4 ``` ### 阶段 3：攻击面分析 识别了暴露的服务，包括： * FTP * SSH * Telnet * HTTP * SMTP * Samba * MySQL * PostgreSQL * Apache Tomcat 评估了与暴露服务相关的潜在安全风险。 ### 阶段 4：漏洞评估 使用 Nmap 漏洞脚本执行了漏洞扫描。 使用的命令： ``` nmap --script vuln 192.168.1.4 ``` 该评估识别出多个漏洞发现和 CVE 参考，表明目标环境中存在已知的安全弱点。 观察到的示例： * CVE-2011-2523 * CVE-2015-4000 * CVE-2014-3566 * CVE-2007-6750 ### 阶段 5：身份验证监控 审查了 Linux 身份验证日志，以了解如何记录登录事件和身份验证尝试。 使用的命令： ``` last cat /var/log/auth.log ``` ### 阶段 6：攻击模拟 使用不存在的账户生成了失败的 SSH 身份验证尝试。 使用的命令： ``` ssh -o HostKeyAlgorithms=+ssh-rsa -o PubkeyAcceptedAlgorithms=+ssh-rsa fakeuser@192.168.1.4 ``` 登录尝试被故意设定为不成功，以便生成用于调查的安全事件。 ### 阶段 7：安全事件调查 分析了身份验证日志以识别可疑活动的证据。 使用的命令： ``` tail -30 /var/log/auth.log grep "192.168.1.3" /var/log/auth.log ``` 调查结果包括： * 无效用户活动 * 密码尝试失败 * 身份验证失败 * 源 IP 归因 ### 阶段 8：Cyber Kill Chain 映射 将观察到的活动映射到了 Cyber Kill Chain 框架。 | Kill Chain 阶段 | 观察到的活动 | | ------------------------ | ----------------------------------------- | | 侦察 | Nmap 服务发现和端口扫描 | | 利用（尝试） | 失败的 SSH 身份验证尝试 | | 检测 | 身份验证日志捕获了该活动 | | 调查 | 日志分析和来源归因 | 攻击在获取访问权限之前被检测到。 ### 阶段 9：事件响应分析 事件详情： * 源 IP：192.168.1.3 * 目标主机：192.168.1.4 * 目标服务：SSH * 使用的用户名：fakeuser * 结果：身份验证失败 严重性分类： **中等严重性** 原因： 该活动涉及针对远程服务的反复未授权身份验证尝试。尽管攻击未成功，但该行为十分可疑，需要进行调查。 ## 主要发现 * 在目标系统上识别出了多个暴露的服务。 * 漏洞评估检测到了多个漏洞发现和 CVE 参考。 * 未授权的 SSH 登录尝试已成功记录在身份验证日志中。 * 使用 Linux 日志分析执行了源 IP 归因。 * 安全事件已映射到 Cyber Kill Chain。 * 评估了事件严重性并制定了响应建议。 ## 展示技能 * 网络安全 * 网络侦察 * 漏洞评估 * Linux 日志分析 * 身份验证监控 * 事件调查 * 安全运营中心（SOC）概念 * 事件响应 * Cyber Kill Chain 分析 * 安全事件检测 ``` --- ## 免责声明 This project was performed in a controlled laboratory environment using intentionally vulnerable systems for educational and cybersecurity training purposes. No unauthorized systems were targeted. ```

标签：AES-256, BurpSuite集成, Clean Code, CTI, GitHub Advanced Security, Kill Chain, Linux日志分析, Metasploitable2, Nmap, OPA, SSH, VirtualBox, 内存分配, 安全加固, 安全实验室, 安全运营中心, 插件系统, 攻击溯源, 服务枚举, 未经授权访问, 本地模型, 模拟攻击, 漏洞评估, 网络安全, 网络安全实验, 网络攻击检测, 网络映射, 虚拟驱动器, 身份验证日志, 隐私保护, 靶场