prince-unk/cyber-risk-monitoring-automated-incident-response

GitHub: prince-unk/cyber-risk-monitoring-automated-incident-response

该项目构建了一套基于Linux和Python的自动化安全监控流水线,在受控实验环境中检测SSH暴力破解攻击、评估风险等级并自动生成事件报告。

Stars: 0 | Forks: 0

# 网络风险监控与自动化事件响应平台 ## 概述 本项目展示了一个自动化安全监控工作流,它可以在受控的 Linux 实验环境中检测 SSH 暴力破解攻击、评估其风险并生成事件文档。 本项目的目标是: - 使用 rsyslog 配置集中式日志收集。 - 使用 Hydra 模拟 SSH 暴力破解攻击。 - 自动检测失败的 SSH 身份验证尝试。 - 评估检测到的事件的严重程度。 - 生成技术和管理报告。 - 使用 Python 构建端到端的检测和响应工作流。 ## 技术与工具 - Parrot Security OS - Ubuntu Server - VMware Workstation - Python 3 - Hydra - OpenSSH - rsyslog - JSON - Linux Terminal ## 实验环境 ### 攻击机 - 操作系统:Parrot Security OS - 角色:攻击模拟 ![攻击机](https://static.pigsec.cn/wp-content/uploads/repos/cas/3f/3f127db0842495f5ce323d6dd4f576bc9f0934df319854bd5fb478ece0df1cfb.png) ### 监控服务器 - 操作系统:Ubuntu Server - 角色:集中式日志收集与安全监控 ![监控服务器](https://static.pigsec.cn/wp-content/uploads/repos/cas/00/007033e34fe792081875c09c69a1f4cc585a499e1804555cd3c824e5b73593d0.png) ### 目标服务器 - 操作系统:Ubuntu Server - 角色:SSH 服务 ![目标服务器](https://static.pigsec.cn/wp-content/uploads/repos/cas/92/92c4eab896d58d99b1b4637919d0c686ac887b3d4b4a70fc10001a38adca96a0.png) ## 实验架构 ``` +------------------+ | Parrot OS | | Attacker | +--------+---------+ | Hydra SSH Attack | ▼ +------------------+ | Ubuntu Target | | SSH Server | +--------+---------+ | Authentication Logs | ▼ +------------------+ | Ubuntu Monitor | | rsyslog | +--------+---------+ | SSH Connection | ▼ +------------------+ | Python Pipeline | +------------------+ ``` ## 方法论 本次评估遵循了以下工作流: 1. 配置集中式日志记录。 2. 验证系统之间的通信。 3. 模拟 SSH 暴力破解攻击。 4. 收集身份验证日志。 5. 检测可疑的身份验证事件。 6. 根据攻击严重程度评估风险。 7. 自动生成事件文档。 # 检测引擎 检测引擎通过 SSH 从监控服务器检索身份验证日志,并识别失败的 SSH 登录尝试。 对于每个事件,它会提取: - 时间戳 - 源 IP 地址 - 用户名 - 失败登录尝试次数 ### 检测输出 ![检测引擎](https://static.pigsec.cn/wp-content/uploads/repos/cas/32/32c919c4989771c21ee2367a4a96dae9e99fdca48e73d7e66c9a4bf37c330c74.png) # 风险评估引擎 根据失败的身份验证尝试次数对检测到的事件进行评估。 | 尝试次数 | 风险级别 | | ----------- | ---------- | | 1–3 | 低 | | 4–7 | 中等 | | 超过 7 | 高 | ### 风险评估 ![风险评估](https://static.pigsec.cn/wp-content/uploads/repos/cas/d0/d0ef895befa99f103a5b7543d3544946c8c410b706d247fdfb01ee8716034c4c.png) # 响应引擎 响应引擎将技术发现转化为结构化文档。 自动生成的输出包括: - 事件报告 - 执行摘要 - 响应日志 ### 自动化响应 ![响应引擎](https://static.pigsec.cn/wp-content/uploads/repos/cas/9c/9c938f82d3bae8ad5aa2f0e72fe53196c262897aa00c93b6e2e3e19a3bf638a8.png) # 端到端流水线 完整的工作流可以使用单个 Python 入口点执行。 ``` Hydra Attack │ ▼ Authentication Logs │ ▼ Detection Engine │ ▼ security_alerts.json │ ▼ Risk Assessment │ ▼ risk_assessment.json │ ▼ Response Engine │ ▼ Incident Report Executive Summary Response Log ``` ### 流水线执行 ![完整流水线](https://static.pigsec.cn/wp-content/uploads/repos/cas/1c/1c962d64d8cc9fa4dbcbc3952a7be0c61f3a6cbe2c4f61caa90e039a560969e1.png) ## 项目交付物 ### 安全工件 - security_alerts.json - risk_assessment.json - response.log ### 管理报告 - incident_report.txt - executive_summary.md ### 支持文档 - 评估报告 - 风险登记册 - 执行摘要 - 控制映射 - 经验教训 ## 展示的能力 - Linux 管理 - 安全监控 - 集中式日志记录 - SSH 安全 - Python 自动化 - 日志分析 - 事件检测 - 风险评估 - 安全文档 - 技术报告 - 高管报告 ## 经验教训 在本项目中我学到了: - 集中式日志记录如何改善安全监控。 - 如何使用 SSH 身份验证日志来检测暴力破解攻击。 - 如何使用 Python 自动化重复性的安全任务。 - 多个脚本之间保持数据一致性处理的重要性。 - 如何将技术发现转化为风险评估和管理报告。 - 以结构化和可重复的方式记录技术工作的价值。 ## 免责声明 本项目是在受控的虚拟实验室环境中出于教育目的而开发和测试的。所有攻击均仅针对为网络安全培训而拥有和配置的系统执行。未针对任何未经授权的系统或第三方网络。
标签:Homebrew安装, Python, SSH安全, 无后门