Yasir-TechGuy/ssh-bruteforce-detection-elk
GitHub: Yasir-TechGuy/ssh-bruteforce-detection-elk
该项目演示了使用 ELK Stack 检测和分析 SSH 暴力破解攻击的完整事件响应流程,涵盖攻击模拟、日志可视化和 MITRE ATT&CK 映射。
Stars: 0 | Forks: 0
# 使用 ELK Stack 进行 SSH 暴力破解检测与事件响应
## 项目概述
本项目演示了使用 ELK Stack (Elasticsearch、Logstash 和 Kibana) 检测、分析和调查 SSH 暴力破解攻击的完整生命周期。
在实验室环境中,使用 Hydra 对 SSH 服务模拟了一次受控攻击。生成的日志被收集、索引并在 Kibana 中进行可视化,以识别攻击模式、验证检测能力并支持事件响应活动。
本项目还包括 MITRE ATT&CK 映射以及针对对抗性机器学习工具及其对网络安全操作潜在影响的 AI 风险评估。
## 目标
- 在受控环境中模拟 SSH 暴力破解攻击
- 收集并分析攻击日志
- 使用 Kibana 可视化安全事件
- 调查攻击指标和身份验证尝试
- 将观察到的行为映射到 MITRE ATT&CK 框架
- 对对抗性机器学习工具进行 AI 风险评估
- 记录发现和修复建议
## 实验环境
| 组件 | 技术 |
|------------|------------|
| 攻击机 | Kali Linux |
| 目标服务 | SSH |
| 攻击工具 | Hydra |
| SIEM 平台 | ELK Stack |
| 数据可视化 | Kibana |
| 搜索引擎 | Elasticsearch |
| 容器化 | Docker |
| 框架 | MITRE ATT&CK |
## 架构
```
Hydra (Attacker)
|
v
SSH Service (Target)
|
v
Log Collection
|
v
Elasticsearch
|
v
Kibana
|
v
Detection & Investigation
```
## MITRE ATT&CK 映射
| 技术 | ID |
|------------|------------|
| 暴力破解 | T1110 |
| 凭据访问 | TA0006 |
### 描述
模拟攻击使用 Hydra 对 SSH 服务进行了反复的身份验证尝试。此行为符合 MITRE ATT&CK 技术 T1110(暴力破解),攻击者利用该技术通过密码猜测获取未经授权的访问权限。
## 攻击摘要
### 攻击工具
Hydra
### 目标服务
SSH (端口 22)
### 攻击类型
凭据暴力破解攻击
### 目标
通过反复尝试密码获取有效的 SSH 凭据。
### 结果
在模拟过程中成功发现了一对有效的凭据:
- 用户名: msfadmin
- 密码: redacted
### Hydra 示例命令
```
hydra -l msfadmin -P small-wordlist.txt 192.168.223.128 ssh -t 4 -f -V
```
## 检测与分析
生成的 SSH 身份验证事件被收集并索引到 Elasticsearch 中。
使用 Kibana 的 Discover 和 Data Views 分析了攻击活动,以识别:
- 源 IP 地址
- 目标 IP 地址
- 身份验证尝试
- 成功登录事件
- 发现的凭据
- 攻击时间戳
收集的日志使得攻击者行为可见,并支持了事件响应分析。
## 发现
### 关键观察
- 检测到来自单一来源的多次身份验证尝试。
- Hydra 针对 SSH 服务生成了反复的登录尝试。
- 使用弱凭据实现了成功身份验证。
- Kibana 提供了对攻击活动和登录成功事件的可见性。
- 事件关联能够快速识别可疑行为。
### 攻陷指标 (IOCs)
| 指标 | 值 |
|------------|------------|
| 源 IP | 192.168.223.128 |
| 目标端口 | 22 |
| 攻击工具 | Hydra |
| 用户名 | msfadmin |
| 攻击类型 | SSH 暴力破解 |
## AI 风险评估
### 评估工具
对抗性机器学习工具
### 风险描述
对抗性机器学习技术可以通过精心设计恶意输入来操纵基于 AI 的安全系统,这些输入旨在逃避检测或产生错误的分类。
### 潜在风险
- 逃避由 AI 驱动的检测系统
- 威胁检测期间出现漏报
- 模型投毒攻击
- 数据完整性受损
- 降低对自动化安全决策的信心
### 风险评级
**中**
### 建议的缓解措施
- 人工验证 AI 生成的安全警报
- 对 AI 模型进行对抗性测试
- 定期重新训练模型
- 数据质量监控
- 纵深防御安全控制
## 建议
基于调查结果,建议进行以下安全改进:
1. 实施强密码策略。
2. 实施多因素身份验证 (MFA)。
3. 尽可能禁用基于密码的 SSH 身份验证。
4. 使用基于 SSH 密钥的身份验证。
5. 部署账户锁定策略。
6. 实施 Fail2Ban 或类似的保护机制。
7. 启用集中式日志记录和 SIEM 监控。
8. 配置针对身份验证异常的实时警报。
9. 定期进行密码审计。
10. 执行持续的威胁监控。
## 事件响应行动
- 识别暴力破解攻击活动。
- 调查身份验证事件。
- 验证成功的凭据攻陷。
- 将攻击行为映射到 MITRE ATT&CK。
- 记录发现和修复建议。
- 评估潜在的 AI 相关风险。
## 经验教训
本项目增强了以下方面的实践技能:
- 安全信息和事件管理 (SIEM)
- 威胁检测与监控
- 事件响应
- 日志分析
- Elasticsearch
- Kibana 可视化
- Docker 部署
- MITRE ATT&CK 映射
- AI 风险评估
- 网络安全报告
## 展示技能
- 蓝队运营
- 安全监控
- 威胁狩猎
- 日志分析
- 事件调查
- SIEM 工程
- Docker
- ELK Stack
- MITRE ATT&CK
- 风险评估
## 免责声明
本项目是在受控实验室环境中进行的,仅出于教育和防御性网络安全目的。未针对任何未经授权的系统。
标签:ELK, 内容过滤, 安全, 对抗机器学习, 库, 应急响应, 请求拦截, 超时处理, 越狱测试