OmarMahmoud1024/threat-intelligence-detection-engineering
GitHub: OmarMahmoud1024/threat-intelligence-detection-engineering
该项目结合 Turla/Snake APT 威胁情报分析与 Mininet 仿真网络中的 Snort IDS 部署,覆盖从 APT 研究到入侵检测与响应的完整防御链。
Stars: 0 | Forks: 0
# 威胁情报与检测工程
这两个项目来自 *Cyberdefense and Cyberintelligence: Cybersecurity Techniques* (UPB),涵盖了检测问题的两个方面:分析真实的高级持续性威胁(APT)如何运作,以及构建能够捕获它们的检测/响应工具。
## 展示的技能
| 领域 | 工具 / 技术 | 项目 |
|---|---|---|
| 威胁情报与 APT 分析 | MITRE ATT&CK 映射、IOC 提取、恶意软件/TTP 研究 | [`turla-apt-threat-intel-report`](turla-apt-threat-intel-report) |
| 攻击重现与红队对抗 | 钓鱼投递、C2 模拟、环境搭建 | [`turla-apt-threat-intel-report`](turla-apt-threat-intel-report) |
| 入侵检测 | Snort、SDN 拓扑仿真 (Mininet)、pcap 分析 | [`mininet-ids-malware-detection`](mininet-ids-malware-detection) |
| 网络防御 | iptables 过滤、事件响应工作流 | [`mininet-ids-malware-detection`](mininet-ids-malware-detection) |
## 项目
- **[turla-apt-threat-intel-report](turla-apt-threat-intel-report)** — 一份关于 Turla/Snake/Uroburos(一个自 20 世纪 90 年代中期以来活跃的俄罗斯背景 APT 组织)的完整威胁情报报告:包含归属分析、历史攻击活动时间线(CENTCOM、芬兰外交部、RUAG、德国联邦外交部)、映射至 MITRE ATT&CK 的 TTP、IOC、恶意软件工具集,以及攻击链的实验室重现(从钓鱼投递到 C2),此外还回顾了近期经同行评审的 APT 检测研究。团队项目。
- **[mininet-ids-malware-detection](mininet-ids-malware-detection)** — 在仿真的网络拓扑(Mininet)中部署了 Snort IDS,实时检测到了通过自定义端口进行的活跃恶意软件下载,捕获流量以进行取证 pcap 分析,随后编写并验证了用于阻断恶意主机的 `iptables` 规则。
标签:APT分析, IP 地址批量处理, Mininet, 威胁情报, 开发者工具, 网络信息收集, 网络安全, 隐私保护