bryancisneros1590/Suricata-iot-security-benchmarking

# 边缘 IoT 安全评估框架：使用 Suricata 对有状态防火墙与 Inline IPS 进行基准测试 ## 项目概述 本仓库托管了完整、自动化的基准测试套件，旨在系统地评估、压力测试和分析物联网 (IoT) 生态系统中边缘网络安全机制的性能边界。该框架对由 **Suricata** 驱动的 **有状态防火墙 (Stateful Firewalls, Layer 3/4)** 和 **Inline 入侵防御系统 (Inline Intrusion Prevention Systems, IPS / Layer 7)** 进行了机制层面的比较。 通过将精确的攻击者注入向量与系统级进程遥测及用户空间应用程序日志进行交叉比对，此工具集能够隔离出关键的运行指标，例如在并发良性负载下的 **平均反应延迟 (TTD / TTFA)**、**标准差 (Jitter)**、**资源消耗峰值 (CPU/RAM Footprint)** 以及 **误报率 (FPR)**。 ### 作者信息 * **首席研究员兼作者：** Bryan E. Cisneros Andrade * **研究方向：** 信息安全与通信网络工程 ## 仓库拓扑结构 项目工作区采用模块化结构，以实现攻击模拟引擎、后台基线负载、运行时遥测监控钩子以及统计数据提取层之间的解耦： ``` Suricata-iot-security-benchmarking/ ├── README.md # Master publication and replication documentation ├── traffic_benign.py # Legitimate background workload simulation engine (MQTT/HTTP) ├── monitor_recursos.sh # Background system resource surveillance hook (%CPU/RSS RAM) ├── Scripts/ # Automated attack simulation suites (Layer 3 to Layer 7) │ ├── exp01_attack_mqtt_connection_flood.py │ ├── exp02_attack_mqtt_malformed_packet.py │ ├── exp03_attack_mqtt_publish_flood.py │ ├── exp04_attack_http_brute_force.py │ ├── exp05_attack_http_dos_slowloris.py │ ├── exp06_attack_http_sql_injection.py │ ├── exp07_attack_http_xss_injection.py │ ├── exp08_attack_command_injection.py │ └── exp09_attack_directory_traversal.py ├── resultados_fw/ # Baseline Stateful Firewall evaluation outputs & logs ├── resultados_ids/ # Passive Intrusion Detection Mode benchmark profiles └── resultados_ips/ # Inline Intrusion Prevention Mode response telemetry ``` ## 实验套件规格 执行引擎包含九个专用脚本，旨在模拟针对 Edge-IoT 节点和本地 Web 应用程序仪表板的现实世界威胁矩阵： ### EXP01: MQTT 连接泛洪 * **向量类别：** IoT 基础设施 * **目标端口：** 1883 * **协议 / 攻击机制：** 协议耗尽 * **评估的安全指标：** TTD、TTFA、峰值 RAM 占用 ### EXP02: MQTT 畸形数据包 * **向量类别：** IoT 基础设施 * **目标端口：** 1883 * **协议 / 攻击机制：** 畸形数据包注入 * **评估的安全指标：** Payload 检测 efficacy ### EXP03: MQTT 发布泛洪 * **向量类别：** IoT 基础设施 * **目标端口：** 1883 * **协议 / 攻击机制：** 消息队列饱和 * **评估的安全指标：** 引擎丢弃与丢包率 ### EXP04: HTTP 暴力破解 * **向量类别：** Web 应用程序 * **目标端口：** 5000 * **协议 / 攻击机制：** 身份验证压力 * **评估的安全指标：** 速率限制与检测 Jitter ### EXP05: HTTP 拒绝服务 * **向量类别：** Web 应用程序 * **目标端口：** 5000 * **协议 / 攻击机制：** Slowloris 变体 * **评估的安全指标：** 连接表可用性 ### EXP06: HTTP SQL 注入 (SQLi) * **向量类别：** Web 应用程序 * **目标端口：** 5000 * **协议 / 攻击机制：** Payload 投递 * **评估的安全指标：** 模式匹配性能 ### EXP07: HTTP 跨站脚本攻击 (XSS) * **向量类别：** Web 应用程序 * **目标端口：** 8080 * **协议 / 攻击机制：** 字符串注入 * **评估的安全指标：** 脚本检测粒度 ### EXP08: 远程命令注入 * **向量类别：** 操作系统 * **目标端口：** 8080 * **协议 / 攻击机制：** 远程命令向量 * **评估的安全指标：** 系统调用拦截响应 ### EXP09: 目录遍历 * **向量类别：** 操作系统 * **目标端口：** 8080 * **协议 / 攻击机制：** 路径注入 * **评估的安全指标：** 路径规范化验证 ## 核心基础设施与指标映射 ### 1. 合法负载隔离 (traffic_benign.py) 为了科学地隔离误报率 (FPR)，在活动的通信通道（MQTT 1883、HTTP 5000、HTTP 8080）上并发执行一个持久的事务模拟循环。网络超时明确设置为 2.0 秒，并采用原子日志配置 (buffering=1)，以防止脏日志读取对分析结果造成偏差。 ### 2. 专用引擎遥测监控 (monitor_recursos.sh) 通过针对显式 Suricata 引擎 PID 的专用 ps 监控钩子，直接从 kernel 控制结构中轮询系统指标。该工具每秒将基线的 Resident Set Size (RSS) 值从 Kilobytes 规范化为 Megabytes (MB)，从而建立了一个非侵入式的资源占用跟踪模型。 ### 3. 核心统计性能指标 分析层会计算高影响力同行评审所需的正式指标： * **平均反应延迟：** 评估攻击者注入时间戳与加密引擎告警日志生成之间的显式差值。 * **标准差 (Jitter)：** 正式测量在高压数据包速率下，实时数据包处理的可靠性以及内部队列调度的开销。 * **误报率 (FPR)：** 测量在恶意拦截窗口期间，网关每秒的运行可用性。 纯文本 ## 可复现性与部署矩阵 ### 前置条件与依赖 在运行脚本之前，请确保安全网关或实验虚拟机已满足以下依赖项： ``` # 更新本地 packages 并安装 math 依赖 sudo apt-get update && sudo apt-get install bc gnuplot -y # 安装所需的 Python 3 automation bindings pip3 install paho-mqtt requests ### 1. 初始化 Core Resource Monitor ./monitor_recursos.sh exp01 ### 2. 启动 Legitimate Background Workload python3 traffic_benign.py ### 3. 执行 Malicious Target Stress Script python3 Scripts/exp01_attack_mqtt_connection_flood.py --- ## 学术参考与引用 This work was compiled as part of an advanced framework evaluating stateful inline perimeter mitigations. For technical questions or peer-review data audits regarding the raw .json datasets or .txt logs, please open an Issue directly in this repository. ```

标签：CISA项目, Metaprompt, Suricata, 入侵防御系统, 威胁猎捕, 应用安全, 性能基准测试, 物联网安全, 现代安全运营, 网络遥测, 逆向工具, 配置错误, 防火墙评估