OmarMahmoud1024/threat-intelligence-detection-engineering

GitHub: OmarMahmoud1024/threat-intelligence-detection-engineering

该项目结合 Turla/Snake APT 威胁情报分析与 Mininet 仿真网络中的 Snort IDS 部署,覆盖从 APT 研究到入侵检测与响应的完整防御链。

Stars: 0 | Forks: 0

# 威胁情报与检测工程 这两个项目来自 *Cyberdefense and Cyberintelligence: Cybersecurity Techniques* (UPB),涵盖了检测问题的两个方面:分析真实的高级持续性威胁(APT)如何运作,以及构建能够捕获它们的检测/响应工具。 ## 展示的技能 | 领域 | 工具 / 技术 | 项目 | |---|---|---| | 威胁情报与 APT 分析 | MITRE ATT&CK 映射、IOC 提取、恶意软件/TTP 研究 | [`turla-apt-threat-intel-report`](turla-apt-threat-intel-report) | | 攻击重现与红队对抗 | 钓鱼投递、C2 模拟、环境搭建 | [`turla-apt-threat-intel-report`](turla-apt-threat-intel-report) | | 入侵检测 | Snort、SDN 拓扑仿真 (Mininet)、pcap 分析 | [`mininet-ids-malware-detection`](mininet-ids-malware-detection) | | 网络防御 | iptables 过滤、事件响应工作流 | [`mininet-ids-malware-detection`](mininet-ids-malware-detection) | ## 项目 - **[turla-apt-threat-intel-report](turla-apt-threat-intel-report)** — 一份关于 Turla/Snake/Uroburos(一个自 20 世纪 90 年代中期以来活跃的俄罗斯背景 APT 组织)的完整威胁情报报告:包含归属分析、历史攻击活动时间线(CENTCOM、芬兰外交部、RUAG、德国联邦外交部)、映射至 MITRE ATT&CK 的 TTP、IOC、恶意软件工具集,以及攻击链的实验室重现(从钓鱼投递到 C2),此外还回顾了近期经同行评审的 APT 检测研究。团队项目。 - **[mininet-ids-malware-detection](mininet-ids-malware-detection)** — 在仿真的网络拓扑(Mininet)中部署了 Snort IDS,实时检测到了通过自定义端口进行的活跃恶意软件下载,捕获流量以进行取证 pcap 分析,随后编写并验证了用于阻断恶意主机的 `iptables` 规则。
标签:APT分析, IP 地址批量处理, Mininet, 威胁情报, 开发者工具, 网络信息收集, 网络安全, 隐私保护