Sandeepk2907/Web-Attack-Detection-SIEM
GitHub: Sandeepk2907/Web-Attack-Detection-SIEM
该项目通过搭建靶场模拟常见Web攻击,并在Splunk或ELK SIEM中采集日志、编写检测查询来验证安全告警能力。
Stars: 0 | Forks: 0
# SIEM 中的 Web 攻击检测
模拟常见的 Web 攻击,并使用 Splunk 或 ELK Stack SIEM 进行检测。
## 项目概述
本项目演示了如何:
- 搭建一个易受攻击的 Web 应用 (DVWA) 作为目标
- 使用 Kali Linux 工具模拟真实攻击
- 在 SIEM 中收集和分析日志
- 编写针对 SQLi、XSS、Brute Force、Path Traversal 的检测查询
## 技术栈
- **攻击者:** Kali Linux、Metasploit、sqlmap、Hydra
- **目标:** Ubuntu + DVWA + Apache
- **SIEM:** Splunk Free / ELK Stack
- **日志转发:** Splunk Universal Forwarder / Filebeat
## 架构
Kali(攻击者) → DVWA 目标 → Apache 日志 → Splunk/ELK → 告警
## 目录结构
```
web-attack-detection-siem/
│
├── README.md
│
├── docs/
│ ├── setup-guide.md
│ └── architecture.png
│
├── attack-scripts/
│ ├── sqli_test.sh
│ ├── xss_test.sh
│ ├── bruteforce_test.sh
│ └── traversal_test.sh
│
├── siem-queries/
│ ├── splunk/
│ │ ├── sqli_detection.spl
│ │ ├── xss_detection.spl
│ │ ├── bruteforce_detection.spl
│ │ └── error_spike_detection.spl
│ │
│ └── elk/
│ ├── sqli_detection.kql
│ ├── xss_detection.kql
│ └── bruteforce_detection.kql
│
├── configs/
│ ├── filebeat.yml
│ ├── splunk-forwarder-config.txt
│ └── dvwa-config.php
│
|── screenshots/
| ├── dvwa-setup.png
| ├── splunk-dashboard.png
│
└── report/
└── PROJECT_REPORT.md
```
## 设置指南
请参阅 [docs/setup-guide.md](docs/setup-guide.md)
## 免责声明
仅供**教育用途**。
所有攻击均在隔离的实验室环境中进行。
请勿在你不拥有的系统上使用。
## 许可证
MIT 许可证
标签:CISA项目, Cutter, DOE合作, ELK, Web安全, 安全运营, 扫描框架, 攻击模拟, 红队行动, 蓝队分析, 驱动签名利用