Ofuje-xl/detection-engineering-msc-2026
GitHub: Ofuje-xl/detection-engineering-msc-2026
桑德兰大学网络安全硕士论文项目,通过多层遥测评估开源 SIEM(Wazuh)对 Linux 后渗透攻击技术的检测覆盖率及误报率。
Stars: 0 | Forks: 0
# 检测工程理学硕士 2026



本代码库包含了我在桑德兰大学(University of Sunderland)网络安全理学硕士论文的实验基础设施、检测规则、评估方法及支持材料,预计将于 2026 年 8 月完成。
## 本项目的作用
本项目在一个专门构建的 Linux 实验室中运行一组受控的已知攻击者技术,然后测量开源 SIEM (Wazuh) 对每项技术的检测效果,其中遥测数据来自两个来源:处于协议层的 Cowrie SSH 蜜罐和系统调用层的 Linux Auditd。如果默认的 Wazuh 规则集未能检测到攻击,则会以 Sigma 格式开发自定义检测规则,并将其转换为 Wazuh 的原生语法。核心交付物是一个映射到 MITRE ATT&CK 框架的检测覆盖率矩阵,并附带针对正常基准活动的测量误报率。
## 研究问题
结合来自 Cowrie 和 Auditd 的多层遥测数据,开源 SIEM (Wazuh) 能在多大程度上可靠地检测出一组与 Linux 被攻陷后活动相关的 MITRE ATT&CK 技术?在面对真实的正常活动时,其误报率又是多少?
## 研究意义
大多数关于检测工程的学术研究都针对预算充足、能够购买商业 SIEM 平台的企业级 SOC。很少有研究从小型组织和托管服务提供商(MSP)的视角来评估开源检测能力,而他们才是现实中免费 SIEM 的主要用户群体。本项目旨在填补文献中的三个具体空白:
- 针对真实正常活动的**严格误报测量**(大多数论文只报告检出率,而不测量误报率)
- 检测能力评估的 **MSP 和 SME 框架**
- 比较每种 ATT&CK 技术在协议级和系统级 遥测可见性差异的**多层遥测评估**
## 最接近的已发表先例
Winkler, A.M. and Sharma, P. (2025) "Proactive Threat Detection in Enterprise Systems Using Wazuh: A MITRE ATT&CK Evaluation," *Computers & Security*, 159。本项目扩展了他们的评估框架,增加了误报测量、攻陷后战术(执行、发现、防御规避、持久化、凭证访问)以及多层遥测。
## 实验室架构
实验室运行在 VMware Workstation 上,由三台虚拟机组成:
- **Ubuntu 目标机**,配置了 Linux Auditd 以进行系统调用和身份验证审计
- **Cowrie SSH 蜜罐**,用于在协议层捕获 SSH 攻击会话
- **Wazuh SIEM**,用于日志摄取、解码、关联和告警
网络拓扑图绘制完成后将存放在 `lab/diagrams/` 目录下。
## 代码库结构
```
.
├── dissertation/ Drafts of the dissertation chapters
├── lab/ VM configurations, network diagrams, install scripts
├── rules/ Sigma + Wazuh custom detection rules
├── atomic-tests/ Selected Atomic Red Team test mappings
├── results/ Test outputs and the detection coverage matrix
├── references/ Annotated literature
└── research-log.md Daily research journal
```
## 工具
- [Wazuh](https://wazuh.com/) - 开源 SIEM 和 XDR 平台
- [Cowrie](https://github.com/cowrie/cowrie) - 中等交互的 SSH/Telnet 蜜罐
- [Auditd](https://linux.die.net/man/8/auditd) - Linux 审计子系统
- [Atomic Red Team](https://github.com/redcanaryco/atomic-red-team) - 映射到 MITRE ATT&CK 的可重现攻击测试框架
- [Sigma](https://github.com/SigmaHQ/sigma) - 通用 SIEM 检测规则格式
- [MITRE ATT&CK](https://attack.mitre.org/) - 对手战术和技术知识库
## 状态
本项目正在积极开发中。预计提交时间:2026 年 8 月。
| 里程碑 | 目标 | 状态 |
|-----------|--------|--------|
| 工作区设置 | 第 1 周 | 进行中 |
| 实验室构建 | 第 2 周 | 未开始 |
| ATT&CK 技术选择 | 第 3 周 | 未开始 |
| 基准评估 | 第 4-6 周 | 未开始 |
| 自定义规则开发 | 第 7-8 周 | 未开始 |
| 误报评估 | 第 9-10 周 | 未开始 |
| 覆盖率矩阵及论文撰写 | 第 11-12 周 | 未开始 |
## 作者
Jeffrey Ofuje Adegoke
网络安全理学硕士,桑德兰大学(University of Sunderland)
[个人主页](https://ofuje-xl.github.io) | [GitHub](https://github.com/Ofuje-xl)
## 许可证
MIT,请参阅 [LICENSE](LICENSE)。
标签:Cloudflare, MITRE ATT&CK, TruffleHog, Wazuh, 学术论文, 安全, 蜜罐, 证书利用, 超时处理