Mounika501/AI-Powered-SOC-Monitoring-Platform
GitHub: Mounika501/AI-Powered-SOC-Monitoring-Platform
基于 Python 和 Flask 构建的 Linux 安全运营中心监控平台,通过多个检测模块实现身份验证异常、权限提升、文件篡改和网络探测等安全事件的自动化检测与集中可视化。
Stars: 0 | Forks: 0
# AI 驱动的 SOC 监控平台
## 项目概述
AI 驱动的 SOC 监控平台是一个基于 Python 的网络安全项目,旨在模拟 Linux 系统上核心的安全运营中心(SOC)监控活动。该平台包含多个检测模块,用于检测身份验证失败、权限提升尝试、用户账户创建、文件完整性监控、进程监控和网络活动检测。集中的 Flask dashboard 用于汇总并展示安全监控结果,提供对潜在威胁和可疑系统行为的可见性。该项目展示了使用 Linux 和 Python 进行日志分析、安全监控、自动化和事件检测的实践技能。开发该项目旨在巩固 SOC 分析师的实操技能,并展示真实世界的网络安全监控概念。
## 使用的工具
• Ubuntu 24.04 LTS – 作为安全监控、日志分析和威胁检测活动的主要操作系统。
• VirtualBox – 提供了一个虚拟化的实验环境,用于安全地开发和测试安全监控解决方案。
• Python 3 – 用于开发针对身份验证失败、权限提升、用户创建、文件完整性监控、进程监控和网络活动检测的脚本。
• Flask – 用于构建一个集中的、基于 Web 的 SOC dashboard,以展示安全监控结果。
• Git – 用于版本控制和跟踪项目开发。
• GitHub – 用于源代码管理、文档编写和项目作品集展示。
• Linux 终端 – 用于执行脚本、分析日志、管理文件以及执行系统管理任务。
## 检测模块
### Linux 身份验证失败检测
* 文件:real_detector.py
* 检测登录失败尝试和潜在的暴力破解活动。
* 该模块分析 Linux 身份验证日志以识别登录失败尝试。它统计身份验证失败次数,并在可疑活动超过定义的阈值时生成警报。该检测有助于识别针对系统的潜在暴力破解攻击和未经授权的访问尝试。
### 权限提升监控
* 文件:sudo_detector.py
* 监控 sudo 活动和特权命令执行。
* 该模块监控 Linux 系统日志中的 sudo 活动,以检测特权命令执行。它识别用户尝试使用提升的权限执行管理操作的实例。该检测有助于监控敏感操作并识别对特权访问的潜在滥用。
### 用户创建检测
* 文件:user_creation_detector.py
* 检测系统上新用户账户的创建。
* 该模块监控系统日志中的用户账户创建事件。它检测系统何时添加了新账户并为管理审查生成警报。该检测有助于识别攻击者进行的未经授权的账户创建和持久化尝试。
### 文件完整性监控
* 文件:file_integrity_monitor.py
* 使用哈希比对检测未经授权的文件修改。
* 该模块为受监控的文件建立基准哈希值,并将其与当前文件哈希值进行持续比对。任何未经授权的修改都会触发警报,指示可能存在篡改。该检测有助于保护关键文件并维护系统完整性。
### 进程监控与 Nmap 检测
* 文件:process_monitor.py
* 监控运行中的进程并检测诸如 Nmap 之类的探测工具。
* 该模块监控 Linux 系统上运行的活跃进程,并识别诸如 Nmap 之类的可疑工具。当检测到与探测相关的进程时,它会生成警报。该检测有助于在入侵的探测阶段识别攻击者活动。
### 端口扫描检测
* 文件:port_scan_detector.py
* 检测网络探测和端口扫描活动。
* 该模块监控网络活动,以识别针对系统和服务的端口扫描行为。它检测通常在漏洞利用之前执行的探测尝试。该检测有助于识别试图收集网络资源信息的潜在攻击者。
### 新监听端口检测
* 文件:new_port_detector.py
* 检测新打开的可能指示未经授权服务的监听端口。
* 该模块创建监听端口的基准,并监控系统是否有新打开的端口。当新服务意外开始监听时,会生成警报。该检测有助于识别系统上运行的未经授权的服务、后门或恶意应用程序。
### 实时身份验证监控
* 文件:realtime_auth_monitor.py
* 实时持续监控身份验证事件。
* 该模块持续实时监控身份验证日志,查找新的登录失败事件。与定期的日志分析不同,它提供了对可疑身份验证活动的即时可见性。该检测模拟了持续的 SOC 监控,并能够对潜在攻击做出更快的响应。
### Flask SOC Dashboard
* 文件:dashboard.py
* 用于展示检测结果的集中式基于 Web 的 dashboard。
* 该模块提供了一个集中的、基于 Web 的 dashboard,用于汇总多个检测模块的输出。它通过单一界面展示安全监控结果和警报摘要。该 dashboard 提高了对安全事件的可见性,并模拟了一个基本的安全运营中心监控平台。
## 获得的技能
* 安全监控
* 日志分析
* 事件检测
* 威胁检测
* Linux 管理
* Python 自动化
* 进程监控
* 文件完整性监控
* 网络监控
* Flask Web 开发
* Git 版本控制
### 权限提升监控
* 文件:sudo_detector.py
* 监控 sudo 活动和特权命令执行。
* 该模块监控 Linux 系统日志中的 sudo 活动,以检测特权命令执行。它识别用户尝试使用提升的权限执行管理操作的实例。该检测有助于监控敏感操作并识别对特权访问的潜在滥用。
### 用户创建检测
* 文件:user_creation_detector.py
* 检测系统上新用户账户的创建。
* 该模块监控系统日志中的用户账户创建事件。它检测系统何时添加了新账户并为管理审查生成警报。该检测有助于识别攻击者进行的未经授权的账户创建和持久化尝试。
### 文件完整性监控
* 文件:file_integrity_monitor.py
* 使用哈希比对检测未经授权的文件修改。
* 该模块为受监控的文件建立基准哈希值,并将其与当前文件哈希值进行持续比对。任何未经授权的修改都会触发警报,指示可能存在篡改。该检测有助于保护关键文件并维护系统完整性。
### 进程监控与 Nmap 检测
* 文件:process_monitor.py
* 监控运行中的进程并检测诸如 Nmap 之类的探测工具。
* 该模块监控 Linux 系统上运行的活跃进程,并识别诸如 Nmap 之类的可疑工具。当检测到与探测相关的进程时,它会生成警报。该检测有助于在入侵的探测阶段识别攻击者活动。
### 端口扫描检测
* 文件:port_scan_detector.py
* 检测网络探测和端口扫描活动。
* 该模块监控网络活动,以识别针对系统和服务的端口扫描行为。它检测通常在漏洞利用之前执行的探测尝试。该检测有助于识别试图收集网络资源信息的潜在攻击者。
### 新监听端口检测
* 文件:new_port_detector.py
* 检测新打开的可能指示未经授权服务的监听端口。
* 该模块创建监听端口的基准,并监控系统是否有新打开的端口。当新服务意外开始监听时,会生成警报。该检测有助于识别系统上运行的未经授权的服务、后门或恶意应用程序。
### 实时身份验证监控
* 文件:realtime_auth_monitor.py
* 实时持续监控身份验证事件。
* 该模块持续实时监控身份验证日志,查找新的登录失败事件。与定期的日志分析不同,它提供了对可疑身份验证活动的即时可见性。该检测模拟了持续的 SOC 监控,并能够对潜在攻击做出更快的响应。
### Flask SOC Dashboard
* 文件:dashboard.py
* 用于展示检测结果的集中式基于 Web 的 dashboard。
* 该模块提供了一个集中的、基于 Web 的 dashboard,用于汇总多个检测模块的输出。它通过单一界面展示安全监控结果和警报摘要。该 dashboard 提高了对安全事件的可见性,并模拟了一个基本的安全运营中心监控平台。
## 获得的技能
* 安全监控
* 日志分析
* 事件检测
* 威胁检测
* Linux 管理
* Python 自动化
* 进程监控
* 文件完整性监控
* 网络监控
* Flask Web 开发
* Git 版本控制标签:AMSI绕过, Flask, Python, x64dbg, 威胁检测, 安全运营, 扫描框架, 无后门, 网络安全研究