Antonio131186/soc-python-labs

# SOC Python 实验室 — 防御性安全作品集 专注于 SOC 分析、面向 SIEM 的检测逻辑、日志解析、暴力破解检测、安全数据分析和技术报告的防御性网络安全实验室。 这个仓库是我向 SOC / SIEM / 网络安全数据分析师职位转型的一部分。目标是基于现实的安全运营工作流程，构建具有实用性、文档完备且经得起推敲的项目。 ## 当前实验室 ### 实验 01 — SSH 暴力破解检测 此实验室模拟了对身份验证日志的分析，以检测针对 SSH 服务的潜在暴力破解活动。 工作流程包括： * 解析原始身份验证日志。 * 将非结构化的日志行转换为结构化的 CSV 数据。 * 按源 IP 聚合失败的登录尝试。 * 按严重程度划分 IP 活动。 * 生成包含建议的 SOC 风格发现。 * 准备可用于报告、仪表板或 SIEM 逻辑的输出结果。 ## 工作流程 ``` Raw authentication logs ↓ log_parser_core.py ↓ parsed_auth_events.csv ↓ brute_force_detector_core.py ↓ brute_force_findings.csv ↓ SOC report / SIEM use case / dashboard ``` ## 仓库结构 ``` data/ logs/ Sample authentication logs scripts/ Python scripts for log parsing and detection outputs/ Generated structured datasets and detection findings reports/ SOC reports and analysis outputs splunk/ SPL queries and SIEM-oriented detection logic docs/ Technical notes and documentation screenshots/ Visual evidence for portfolio documentation ``` ## 工具与技术 * Python * pandas * pathlib * CSV * Linux / Kali * Git / GitHub * Splunk SPL * 防御性安全分析 ## 检测逻辑 当前的暴力破解检测逻辑基于按源 IP 分组的失败身份验证尝试。 严重程度阈值： ``` High → 7 or more failed login attempts Medium → 5 or more failed login attempts Low → fewer than 5 failed login attempts ``` 每项发现包括： * 源 IP * 总事件数 * 失败登录尝试次数 * 成功登录尝试次数 * 严重程度 * 面向 SOC 的建议 ## 发现示例 ``` 192.168.1.50 → 7 failed attempts → High severity 10.0.0.23 → 5 failed attempts → Medium severity ``` ## 职业价值 此项目展示了以下能力： * 将原始安全日志转换为结构化数据。 * 为 SOC 工作流程构建可重复使用的 Python 脚本。 * 识别可疑的身份验证模式。 * 生成支持分流处置和报告的检测输出。 * 以专业且可复现的方式记录安全发现。 ## 状态 开发中。 计划的改进： * 添加 Markdown 格式的 SOC 事件报告。 * 添加数据质量验证。 * 添加更多检测用例。 * 添加 Splunk 仪表板/搜索示例。 * 添加可视证据和作品集截图。

标签：Python, 免杀技术, 安全运营, 扫描框架, 无后门, 暴力破解检测, 红队行动, 网络安全研究, 逆向工具