malekgulam/Detection-Engineering-Toolkit

GitHub: malekgulam/Detection-Engineering-Toolkit

一个检测工程平台，通过攻击模拟和自动化验证机制，帮助安全团队持续评估检测规则的实际有效性。

Stars: 0 | Forks: 0

# 检测工程工具包一个 Python 平台，用于构建检测规则、模拟攻击，并自动验证每项检测是否实际生效。 ## 功能特性 - JSON 规则仓库 —— 每个检测都定义在 `/rules` 中，无需修改代码即可添加新规则 - 攻击模拟框架 —— 包含五个映射到 MITRE ATT&CK 的场景 - 事件标记了预期的规则和预期结果，用于自动验证 - 检测验证引擎 —— 跟踪 PASS、FAIL 和 FALSE POSITIVE - 漏报追踪 —— 捕获完全没有触发任何响应的攻击 - ATT&CK 技术映射涵盖攻击生命周期的五个阶段 - 每个规则及整体的检测率和误报率 - SQLite 存储 - 基于 Chart.js 可视化的 Flask 仪表板 ## 检测规则 **SSH 暴力破解** 检测特定时间窗口内来自同一 IP 的多次失败登录 **Web 扫描活动** 检测来自同一 IP 的重复 HTTP 404 请求 **非工作时间登录** 检测在 00:00–05:00 之间的成功登录 **可疑的 PowerShell** 检测带有编码或绕过标志的 PowerShell 执行 **可疑账户创建** 检测新用户账户的创建 ## 技术栈 - Python - Flask - SQLite - Chart.js ## 框架 - MITRE ATT&CK ## 项目工作流 ``` Attack Simulator ↓ Detection Engine ↓ Rule Repository ↓ Validation Engine ↓ PASS / FAIL / FALSE POSITIVE ↓ SQLite Storage ↓ Flask Dashboard ``` ## 运行方式 **1. 安装依赖** ``` pip install flask ``` **2. 运行 pipeline** ``` python main.py ``` **3. 运行仪表板** ``` python dashboard/app.py ``` **4. 打开** ``` http://127.0.0.1:5000 ``` ## 截图 ### 平台概述 ![Overview](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/9712ee2987092030.png) ### 检测规则 ![Rules](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/48c380d013092034.png) ### 验证结果 ![Validation](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/bbae91cfc2092039.png) ### ATT&CK 覆盖率 ![Coverage](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/f98e3f2e43092045.png) ### 检测指标 ![Metrics](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/2327e75cd3092050.png)

标签：Cloudflare, Flask, MITRE ATT&CK, Python, 安全运营, 扫描框架, 插件系统, 攻击模拟, 无后门, 检测规则, 网络资产发现, 逆向工具, 驱动签名利用