dhillon65/attack-detection-response-system

# 攻击检测与响应系统 一个基于 Python 的安全运营中心（SOC）模拟平台，用于监控日志、检测恶意活动、生成警报，并执行自动化响应操作，例如 IP 封禁模拟和事件报告。 ## 功能 ### 日志监控 * 实时分析安全日志 * 处理认证和安全事件 ### 攻击检测 * 暴力破解登录检测 * 端口扫描检测 * 恶意软件活动检测 * 可疑 PowerShell 检测 ### 自动化响应 * 警报生成 * IP 封禁模拟 * 事件报告创建 ### SOC 仪表板 * 安全指标概览 * 威胁分布可视化 * 事件管理 * 已封禁 IP 监控 ## 项目结构 ``` attack-detection-response-system/ │ ├── app.py ├── monitor.py ├── detector.py ├── responder.py ├── dashboard.py │ ├── logs/ │ └── security_logs.txt │ ├── alerts/ │ └── alerts.json │ ├── blocked_ips/ │ └── blocked.json │ ├── reports/ │ └── incident_report.json │ ├── rules/ │ └── detection_rules.json │ ├── templates/ │ ├── index.html │ └── incidents.html │ ├── static/ │ ├── css/ │ │ └── style.css │ │ │ └── js/ │ └── dashboard.js │ ├── tests/ │ └── test_detection.py │ ├── requirements.txt ├── README.md └── .gitignore ``` ## 使用的技术 * Python 3 * Flask * Bootstrap 5 * Chart.js * JSON 数据存储 * Watchdog（可选，用于实时监控） ## 检测规则 | 攻击类型 | 检测方法 | | ---------------- | ---------------------------- | | 暴力破解 | 失败登录阈值 | | 端口扫描 | 端口扫描关键字检测 | | 恶意软件 | 恶意软件执行检测 | | PowerShell 滥用 | 编码 PowerShell 检测 | ## 安装说明 ### 克隆仓库 ``` git clone https://github.com/dhillon65/attack-detection-response-system cd attack-detection-response-system ``` ### 创建虚拟环境 ``` python -m venv venv ``` ### 激活虚拟环境 Windows: ``` venv\Scripts\activate ``` Linux/macOS: ``` source venv/bin/activate ``` ### 安装依赖 ``` pip install -r requirements.txt ``` ## 运行检测引擎 ``` python monitor.py ``` 输出示例： ``` [ALERT] Brute Force Attack | High | 192.168.1.100 [ALERT] Port Scan | Medium | 10.0.0.55 [ALERT] Malware Activity | Critical | Unknown [ALERT] Suspicious PowerShell | High | Unknown ``` ## 启动仪表板 ``` python app.py ``` 打开： ``` http://127.0.0.1:5000 ``` ## 安全事件示例 ``` FAILED LOGIN from 192.168.1.100 PORT_SCAN detected from 10.0.0.55 MALWARE_EXECUTION detected on host WIN10 POWERSHELL_ENCODED_COMMAND from user admin ``` ## 安全工作流 ``` Security Log │ ▼ Log Monitor │ ▼ Attack Detector │ ▼ Alert Generator │ ▼ Automated Response │ ├── Block IP ├── Create Alert └── Generate Report │ ▼ SOC Dashboard ``` ## 未来增强 * 实时日志监控 * MITRE ATT&CK 映射 * GeoIP 攻击者追踪 * PDF 事件报告 * 邮件警报通知 * 威胁情报集成 * 攻击时间线可视化 * 仪表板实时更新 * 用户认证 * SIEM 风格关联规则 ## 展现的技能 * 蓝队运营 * SOC 监控 * 事件响应 * 检测工程 * 威胁检测 * 安全自动化 * 日志分析 * 网络防御 ## 作者 Satnam Singh 网络安全爱好者 | SOC 分析师候选人 | 蓝队实践者

标签：Homebrew安装, PFX证书, Python, 安全仿真, 安全运营中心, 插件系统, 攻击检测, 无后门, 红队行动, 网络映射, 自动化响应, 逆向工具