Ofuje-xl/detection-engineering-msc-2026

GitHub: Ofuje-xl/detection-engineering-msc-2026

桑德兰大学网络安全硕士论文项目,通过多层遥测评估开源 SIEM(Wazuh)对 Linux 后渗透攻击技术的检测覆盖率及误报率。

Stars: 0 | Forks: 0

# 检测工程理学硕士 2026 ![状态](https://img.shields.io/badge/status-in%20progress-yellow) ![许可证](https://img.shields.io/badge/license-MIT-blue) ![大学](https://img.shields.io/badge/MSc%20Cybersecurity-University%20of%20Sunderland-007a33) 本代码库包含了我在桑德兰大学(University of Sunderland)网络安全理学硕士论文的实验基础设施、检测规则、评估方法及支持材料,预计将于 2026 年 8 月完成。 ## 本项目的作用 本项目在一个专门构建的 Linux 实验室中运行一组受控的已知攻击者技术,然后测量开源 SIEM (Wazuh) 对每项技术的检测效果,其中遥测数据来自两个来源:处于协议层的 Cowrie SSH 蜜罐和系统调用层的 Linux Auditd。如果默认的 Wazuh 规则集未能检测到攻击,则会以 Sigma 格式开发自定义检测规则,并将其转换为 Wazuh 的原生语法。核心交付物是一个映射到 MITRE ATT&CK 框架的检测覆盖率矩阵,并附带针对正常基准活动的测量误报率。 ## 研究问题 结合来自 Cowrie 和 Auditd 的多层遥测数据,开源 SIEM (Wazuh) 能在多大程度上可靠地检测出一组与 Linux 被攻陷后活动相关的 MITRE ATT&CK 技术?在面对真实的正常活动时,其误报率又是多少? ## 研究意义 大多数关于检测工程的学术研究都针对预算充足、能够购买商业 SIEM 平台的企业级 SOC。很少有研究从小型组织和托管服务提供商(MSP)的视角来评估开源检测能力,而他们才是现实中免费 SIEM 的主要用户群体。本项目旨在填补文献中的三个具体空白: - 针对真实正常活动的**严格误报测量**(大多数论文只报告检出率,而不测量误报率) - 检测能力评估的 **MSP 和 SME 框架** - 比较每种 ATT&CK 技术在协议级和系统级 遥测可见性差异的**多层遥测评估** ## 最接近的已发表先例 Winkler, A.M. and Sharma, P. (2025) "Proactive Threat Detection in Enterprise Systems Using Wazuh: A MITRE ATT&CK Evaluation," *Computers & Security*, 159。本项目扩展了他们的评估框架,增加了误报测量、攻陷后战术(执行、发现、防御规避、持久化、凭证访问)以及多层遥测。 ## 实验室架构 实验室运行在 VMware Workstation 上,由三台虚拟机组成: - **Ubuntu 目标机**,配置了 Linux Auditd 以进行系统调用和身份验证审计 - **Cowrie SSH 蜜罐**,用于在协议层捕获 SSH 攻击会话 - **Wazuh SIEM**,用于日志摄取、解码、关联和告警 网络拓扑图绘制完成后将存放在 `lab/diagrams/` 目录下。 ## 代码库结构 ``` . ├── dissertation/ Drafts of the dissertation chapters ├── lab/ VM configurations, network diagrams, install scripts ├── rules/ Sigma + Wazuh custom detection rules ├── atomic-tests/ Selected Atomic Red Team test mappings ├── results/ Test outputs and the detection coverage matrix ├── references/ Annotated literature └── research-log.md Daily research journal ``` ## 工具 - [Wazuh](https://wazuh.com/) - 开源 SIEM 和 XDR 平台 - [Cowrie](https://github.com/cowrie/cowrie) - 中等交互的 SSH/Telnet 蜜罐 - [Auditd](https://linux.die.net/man/8/auditd) - Linux 审计子系统 - [Atomic Red Team](https://github.com/redcanaryco/atomic-red-team) - 映射到 MITRE ATT&CK 的可重现攻击测试框架 - [Sigma](https://github.com/SigmaHQ/sigma) - 通用 SIEM 检测规则格式 - [MITRE ATT&CK](https://attack.mitre.org/) - 对手战术和技术知识库 ## 状态 本项目正在积极开发中。预计提交时间:2026 年 8 月。 | 里程碑 | 目标 | 状态 | |-----------|--------|--------| | 工作区设置 | 第 1 周 | 进行中 | | 实验室构建 | 第 2 周 | 未开始 | | ATT&CK 技术选择 | 第 3 周 | 未开始 | | 基准评估 | 第 4-6 周 | 未开始 | | 自定义规则开发 | 第 7-8 周 | 未开始 | | 误报评估 | 第 9-10 周 | 未开始 | | 覆盖率矩阵及论文撰写 | 第 11-12 周 | 未开始 | ## 作者 Jeffrey Ofuje Adegoke 网络安全理学硕士,桑德兰大学(University of Sunderland) [个人主页](https://ofuje-xl.github.io) | [GitHub](https://github.com/Ofuje-xl) ## 许可证 MIT,请参阅 [LICENSE](LICENSE)。
标签:Cloudflare, MITRE ATT&CK, TruffleHog, Wazuh, 学术论文, 安全, 蜜罐, 证书利用, 超时处理