KhayalKoch/AURIC-SOC
GitHub: KhayalKoch/AURIC-SOC
一个端到端的 SOC 模拟平台,通过模拟攻击与日志归一化来实践安全分析师的完整威胁检测与事件响应工作流。
Stars: 2 | Forks: 0
# 🛡️ AURIC — 威胁检测与事件响应平台







AURIC 是一个端到端的 SOC (Security Operations Center) 模拟平台,它模拟了完整的安全分析师工作流:
**攻击 → 日志 → 归一化 → 检测 → 告警 → 事件 → MITRE → 风险 → 合规 → 响应 → 报告**
## 当前状态
| 阶段 | 描述 | 状态 |
|---|---|---|
| **阶段 1** | 核心应用 — Flask, SQLite, Docker | (+)
| **阶段 2** | 攻击模拟 — SQLi, 暴力破解, 端口扫描 | (+)
| **阶段 3** | 日志收集与归一化 — Windows/Linux/CEF | (+)
| **阶段 4** | 检测引擎 — Sigma-lite, 规则引擎 | (进行中)
| **阶段 5** | 事件管理 — 案例, 时间线, 证据 | (-)
| **阶段 6** | 威胁情报、风险与响应 | (-)
| **阶段 7** | 合规映射 — ISO 27001, NIST, NIS2, DORA | (-)
| **阶段 8** | 仪表板与高管报告 | (-)
## 系统架构
```
Windows Logs
Linux Logs
Application Logs
│
▼
Log Collection & Normalization
│
▼
Detection Engine (Sigma-lite)
│
▼
Alert & Incident Creation
│
▼
Threat Intelligence & Response Engine
│
▼
Compliance Mapping Engine
│
▼
Dashboard & Executive Reporting
```
## 仓库结构
```
auric/
├── app/ # Vulnerable Flask application
├── attack_simulator/ # SQL Injection, Brute Force, Port Scan
├── logs_sources/ # Windows/Linux log ingestion & normalization
├── detection_engine/ # Rule Engine, Sigma-lite, False Positive Filter
├── incident_management/ # Case Manager, Timeline, Evidence
├── threat_response/ # MITRE Mapper, IOC Matching, Response Actions
├── compliance/ # ISO27001, NIST CSF, NIS2, DORA Mapping
├── dashboard/ # KPI Aggregation & Visualization
├── reports/ # Executive & Technical Reports
├── logs/ # Structured Security Logs (auto-generated)
├── assets/ # Architecture diagram & screenshots
└── main.py # End-to-End Orchestration
```
## 快速开始
```
git clone https://github.com/KhayalKoch/AURIC-SOC.git
cd auric
# 阶段 1 — 启动易受攻击的应用程序
python app/vulnerable_app/app.py
# 阶段 2 — 运行攻击模拟器(单独的终端)
python attack_simulator/sql_injection.py
python attack_simulator/brute_force.py
python attack_simulator/port_scan.py
# 阶段 3 — 运行日志规范化 pipeline
python logs_sources/log_normalizer.py
# 或者使用 Docker 运行
docker-compose up --build
```
## 阶段 1 - 核心应用
一个具有结构化日志和 Docker 部署的故意包含漏洞的 Flask 应用 —— 它是所有后续阶段的攻击面和数据基础。
| 组件 | 描述 |
|---|---|
| **包含漏洞的 Flask 应用** | `/login` 端点开放了 SQL Injection —— 故意暴露的攻击面 |
| **SQLite 数据库** | 三张表:`users`, `sessions`, `logs` |
| **集中式日志** | 每个安全事件都以结构化 JSON 写入 |
| **Docker** | 整个栈打包在单个可复现的容器中 |
[查看阶段 1 截图](assets/screenshots/phase_1/)
## 阶段 2 - 攻击模拟
三个自动化的红队模拟器针对阶段 1 的应用进行攻击。每次攻击都会生成真实的遥测数据,标记 MITRE ATT&CK 技术,使用 CVSS 评分,并通过 SOC pipeline 进行处理。
| 模拟器 | 等效工具 | MITRE TTP | 最高 CVSS |
|---|---|---|---|
| `sql_injection.py` | SQLMap | T1190, T1005, T1485 | 10.0 |
| `brute_force.py` | Hydra | T1110.001 | 严重 |
| `port_scan.py` | Nmap | T1046 | 严重 |
### 实时结果
| 攻击 | 结果 | 事件 | 预估损失 |
|---|---|---|---|
| SQL Injection | 5 次绕过 / 3 次拦截 | 4 个已开启 | €500K — €2M |
| 暴力破解 | 3/5 个账户被破解 | 3 个已开启 | €250K — €1M |
| 端口扫描 | 5 个开放端口,2 个严重 | 1 个已开启 | €100K — €500K |
**被破解的账户:** `admin:admin123` · `user1:password1` · `guest:guest`
**严重暴露:** 端口 445 (SMB — EternalBlue / WannaCry 攻击向量)
**生成的报告:** `reports/sqli_report_*.json` · `reports/bruteforce_report_*.json` · `reports/portscan_report_*.json`
[查看阶段 2 截图](assets/screenshots/phase_2/)
## 阶段 3 - 日志收集与归一化
Windows 和 Linux 日志模拟器生成真实的安全遥测数据。日志归一化器将所有数据源统一到单个 schema 和 CEF 格式中,以便为检测引擎做好准备。
| 组件 | 格式 | 事件 |
|---|---|---|
| Windows 事件模拟器 | JSON (基于 EventID) | 4624, 4625, 4688 |
| Linux Auth 日志模拟器 | RFC 3164 Syslog | SSH, sudo, PAM |
| 日志归一化器 | 归一化的 JSON + CEF | 统一所有数据源 |
### 实时结果
```
Sources ingested → Windows: 16 Linux: 20 Flask: 5 = 41 normalized events
Severity: CRITICAL:2 HIGH:5 MEDIUM:18 LOW:4 INFO:12
Event types:
AUTH_FAILURE:18 AUTH_SUCCESS:6 INVALID_USER:4 PROCESS_CREATE:3
PRIVILEGE_ESCALATION:2 SUSPICIOUS_PROCESS:1 SUSPICIOUS_COMMAND:1
SQL_INJECTION:1
```
### 归一化事件 Schema
```
{
"event_type": "AUTH_FAILURE",
"timestamp": "2026-07-11T16:58:39Z",
"source_system": "linux_auth_log",
"source_ip": "192.168.1.200",
"username": "admin",
"hostname": "web-server-01",
"severity": "MEDIUM",
"mitre_technique": "T1110.004",
"mitre_tactic": "Credential Access",
"normalized": true
}
```
### CEF 输出 (兼容 Splunk / QRadar / Sentinel)
```
CEF:0|AURIC|SOC Platform|1.0|AUTH_FAILURE|Auth Failure|5|
src=192.168.1.200 suser=admin dhost=web-server-01
cs1=T1110.004 cs1Label=MITRETechnique
```
[查看阶段 3 截图](assets/screenshots/phase_3/)
## 技术栈
| 类别 | 技术 |
|---|---|
| 语言 | Python 3.14 |
| Web 框架 | Flask 3.0 |
| 数据库 | SQLite3 |
| 容器化 | Docker + Docker Compose |
| 日志格式 | JSON · RFC 3164 Syslog · CEF |
| 威胁框架 | MITRE ATT&CK v14 |
| 风险评分 | CVSS v3.1 |
| 兼容的 SIEM | Splunk · QRadar · Sentinel · Elastic |
## 安全提示
该应用程序出于安全研究、SOC 培训和检测工程实践的目的**故意包含漏洞**。**请勿在隔离的实验室环境之外部署。**
## 路线图
- [x] **阶段 1** — 核心漏洞应用、数据库、日志、Docker
- [x] **阶段 2** — 攻击模拟 (SQLi, 暴力破解, 端口扫描)
- [x] **阶段 3** — 日志收集与归一化 (Windows / Linux / CEF)
- [ ] **阶段 4** — 检测引擎 (Sigma-lite 规则,误报过滤)
- [ ] **阶段 5** — 事件管理 (案例创建,时间线,证据)
- [ ] **阶段 6** — 威胁情报、风险评分 (€) 与响应引擎
- [ ] **阶段 7** — 合规映射 (ISO 27001 / NIST CSF / NIS2 / DORA)
- [ ] **阶段 8** — 仪表板与高管报告 (MTTD, MTTR, KPIs)
## 👤 作者
**Khayal Kocharili**
专注于网络安全领域的计算机科学专业学生 · 马格德堡奥托·冯·古里克大学
[GitHub](https://github.com/KhayalKoch) · 将 AURIC 打造为一个注重实践的 SOC 工程作品集项目。
标签:CISA项目, Docker, DOE合作, Flask, 安全运营, 安全防御评估, 扫描框架, 插件系统, 请求拦截, 逆向工具