prince-unk/cyber-risk-monitoring-automated-incident-response
GitHub: prince-unk/cyber-risk-monitoring-automated-incident-response
该项目构建了一套基于Linux和Python的自动化安全监控流水线,在受控实验环境中检测SSH暴力破解攻击、评估风险等级并自动生成事件报告。
Stars: 0 | Forks: 0
# 网络风险监控与自动化事件响应平台
## 概述
本项目展示了一个自动化安全监控工作流,它可以在受控的 Linux 实验环境中检测 SSH 暴力破解攻击、评估其风险并生成事件文档。
本项目的目标是:
- 使用 rsyslog 配置集中式日志收集。
- 使用 Hydra 模拟 SSH 暴力破解攻击。
- 自动检测失败的 SSH 身份验证尝试。
- 评估检测到的事件的严重程度。
- 生成技术和管理报告。
- 使用 Python 构建端到端的检测和响应工作流。
## 技术与工具
- Parrot Security OS
- Ubuntu Server
- VMware Workstation
- Python 3
- Hydra
- OpenSSH
- rsyslog
- JSON
- Linux Terminal
## 实验环境
### 攻击机
- 操作系统:Parrot Security OS
- 角色:攻击模拟

### 监控服务器
- 操作系统:Ubuntu Server
- 角色:集中式日志收集与安全监控

### 目标服务器
- 操作系统:Ubuntu Server
- 角色:SSH 服务

## 实验架构
```
+------------------+
| Parrot OS |
| Attacker |
+--------+---------+
|
Hydra SSH Attack
|
▼
+------------------+
| Ubuntu Target |
| SSH Server |
+--------+---------+
|
Authentication Logs
|
▼
+------------------+
| Ubuntu Monitor |
| rsyslog |
+--------+---------+
|
SSH Connection
|
▼
+------------------+
| Python Pipeline |
+------------------+
```
## 方法论
本次评估遵循了以下工作流:
1. 配置集中式日志记录。
2. 验证系统之间的通信。
3. 模拟 SSH 暴力破解攻击。
4. 收集身份验证日志。
5. 检测可疑的身份验证事件。
6. 根据攻击严重程度评估风险。
7. 自动生成事件文档。
# 检测引擎
检测引擎通过 SSH 从监控服务器检索身份验证日志,并识别失败的 SSH 登录尝试。
对于每个事件,它会提取:
- 时间戳
- 源 IP 地址
- 用户名
- 失败登录尝试次数
### 检测输出

# 风险评估引擎
根据失败的身份验证尝试次数对检测到的事件进行评估。
| 尝试次数 | 风险级别 |
| ----------- | ---------- |
| 1–3 | 低 |
| 4–7 | 中等 |
| 超过 7 | 高 |
### 风险评估

# 响应引擎
响应引擎将技术发现转化为结构化文档。
自动生成的输出包括:
- 事件报告
- 执行摘要
- 响应日志
### 自动化响应

# 端到端流水线
完整的工作流可以使用单个 Python 入口点执行。
```
Hydra Attack
│
▼
Authentication Logs
│
▼
Detection Engine
│
▼
security_alerts.json
│
▼
Risk Assessment
│
▼
risk_assessment.json
│
▼
Response Engine
│
▼
Incident Report
Executive Summary
Response Log
```
### 流水线执行

## 项目交付物
### 安全工件
- security_alerts.json
- risk_assessment.json
- response.log
### 管理报告
- incident_report.txt
- executive_summary.md
### 支持文档
- 评估报告
- 风险登记册
- 执行摘要
- 控制映射
- 经验教训
## 展示的能力
- Linux 管理
- 安全监控
- 集中式日志记录
- SSH 安全
- Python 自动化
- 日志分析
- 事件检测
- 风险评估
- 安全文档
- 技术报告
- 高管报告
## 经验教训
在本项目中我学到了:
- 集中式日志记录如何改善安全监控。
- 如何使用 SSH 身份验证日志来检测暴力破解攻击。
- 如何使用 Python 自动化重复性的安全任务。
- 多个脚本之间保持数据一致性处理的重要性。
- 如何将技术发现转化为风险评估和管理报告。
- 以结构化和可重复的方式记录技术工作的价值。
## 免责声明
本项目是在受控的虚拟实验室环境中出于教育目的而开发和测试的。所有攻击均仅针对为网络安全培训而拥有和配置的系统执行。未针对任何未经授权的系统或第三方网络。
标签:Homebrew安装, Python, SSH安全, 无后门