thephinux132/sigma-forge

# Sigma-Forge 🔨 **检测工程 pipeline：编写 Sigma 规则，基于真实 SSH honeypot 流量进行回测，并发布经过评分与调优的规则包。** 我运行着一个 Cowrie SSH honeypot（即 *Ironside* 传感器）。Sigma-Forge 将这些实时的攻击者遥测数据转化为经过调优的检测规则集——更重要的是，它会*评估*每一条规则，就像评估 SOC 检测工程师那样：它能否在针对恶意指标触发的同时，不把分析师淹没在海量噪音中？ ## 它能做什么 1. **接入** Cowrie JSON 事件（SSH honeypot 遥测数据）。 2. **评估** [`rules/`](rules/) 中的每一条 Sigma 规则是否匹配所有事件（自包含的 Sigma 子集引擎——无需外部 Sigma 后端）。 3. **评分与分类** 通过回测对每一条规则进行操作： - `HEALTHY` — 仅对特定且有限的敌意流量触发。 - `TOO BROAD` — 匹配过多；会在生产环境中引发告警洪水。*需要缩小范围。* - `DEAD` — 在当前时间窗口内无命中；保留并在新数据上重新测试。 4. **发布** 每周 [`out/RULEPACK.md`](out/RULEPACK.md) 计分板 + `results.json`。 ## 示例输出 完整计分板请参见 [`out/RULEPACK.md`](out/RULEPACK.md)。 ## 运行说明 ``` python sigma_forge.py --logs path/to/cowrie.json --rules ./rules --out ./out ``` 要求环境具备 Python 3.10+ 和 PyYAML。 ## 包含的检测 | 规则 | 指标 | ATT&CK | |------|-----------|--------| | 已知僵尸网络 HASSH | 多个 IP 使用同一个客户端指纹 | T1071 | | SSH-2.0-Go 客户端 | 自动化（非 OpenSSH）扫描器 banner | T1595.002 | | `/bin/./` 蠕虫探测 | 冗余的 `./` 路径 = SSH 蠕虫特征 | T1059.004 / T1082 | | 针对 solana/sol 的攻击 | 加密节点凭证填充 | T1110.004 | | 弱口令暴力破解 | 常用密码字典尝试 | T1110.001 | | 恶意软件 stager 下载 | wget/curl 拉取第二阶段 payload（杀伤链） | T1105 | *诞生于我的 IGRIS 家庭实验室 stack 内部的多智能体设计辩论（Claude vs Codex，由 Gemini 担任裁判）。检测逻辑由 Claude 提供；honeypot 数据来自我自己的基础设施。*

标签：IP 地址批量处理, PB级数据处理, PFX证书, Python, Sigma规则, 主机安全, 安全检测工程, 安全运维, 恶意代码分类, 攻击检测, 无后门, 无线安全, 目标导入, 网络信息收集, 蜜罐技术, 逆向工具