ayushmansingh0502-hub/Project-Sentinel
GitHub: ayushmansingh0502-hub/Project-Sentinel
基于信息素图与 AI 群体智能的双层网络韧性平台,将蜜罐、浏览器扩展和遥测数据关联为高保真事件,实现亚秒级检测与自动遏制。
Stars: 0 | Forks: 0
# SwarmSentinel:AI 驱动的网络韧性
SwarmSentinel 是一个下一代 AI 驱动的蜜罐与威胁情报平台。它基于群体智能和信息素图论原理构建,能够以亚秒级的速度检测、关联并遏制分布式攻击。
## 📊 实时性能仪表板
*注意:这些指标由我们的实时基准测试套件 (`demo/run_scenarios.py`) 针对异步摄取 pipeline 运行时动态生成。*
| 关键绩效指标 | 当前值 | 目标标准 |
| :--- | :--- | :--- |
| **检测率** | 100% | > 95% |
| **误报率** | 0.0% | < 5% |
| **平均检测时间 (MTTD)** | **~508ms** | < 5 秒 |
| **平均响应时间 (MTTR)** | **~718ms** | < 1 分钟 |
## 🎯 问题所在
现代安全运营中心 (SOC) 正陷入告警疲劳的泥潭。来自防火墙、IDPS 和 endpoint 传感器的孤立信号被独立审查,导致攻击者能够在分析师手动拼凑事件全貌的同时,持续潜伏并进行横向移动。传统的 SIEM 速度太慢,而手动 playbook 意味着遏制措施要在数据泄露发生数小时后才能执行。
## 🚀 差异化的方法
我们不使用静态的 SIEM 规则。SwarmSentinel 采用 **信息素图 (Pheromone Graph)**:
- **持续衰减:** 异常情况会随时间自然“衰减”。只有协调一致、持续存在或迅速升级的威胁才会留下足够的“信息素”以触发 incident。
- **自动关联:** 单个用户点击钓鱼链接、登录失败以及相关 IP 扫描端口,会瞬间组成一个高度连接的图。
- **自治 Playbook:** 当图的威胁程度跨过关键风险阈值时,SwarmSentinel 会计算出精确的影响范围,并立即触发自动化的遏制 playbook。
## 💼 量化影响(买家价值)
### 对于 SOC 主管
- **零告警疲劳:** SOC 不再面临 10,000 个孤立的告警,而是接收 5 个由关联图证据支持的高保真“Incident”。
- **即时遏制:** 自治的 playbook 执行将 MTTR 从数小时缩短至 1 秒以内。
- **可操作的上下文:** 每个 incident 都能原生预测攻击者的下一步行动,并将其映射到 MITRE ATT&CK 框架。
### 对于工程主管
- **确定性扩展:** 最大节点/边缘图上限和严格的 O(1) 驱逐策略,保证了在无限负载下内存占用依然稳定。
- **微服务就绪:** 解耦的 FastAPI 后端配备异步队列,可轻松在 Redis/Kafka 上实现横向扩展。
## 🗺️ 演示场景与结果
以下是我们测试的实时场景映射,展示了该平台的多层检测能力。
### 1. 钓鱼网格攻击
- **触发条件:** 来自 `victim1@corp.local` 的同时钓鱼点击以及发往 `verify-wallet-support.com` 的流量。
- **检测结果:** ✅ 检测到 (0.56秒 MTTD)
- **遏制措施:** 封锁恶意 IP 90 分钟。
- **风险降低:** 阻止了外部 C2 通信和初始凭证窃取。
### 2. 账户接管(凭证暴力破解)
- **触发条件:** 不可能旅行会话与跨登录提示的密码重用重叠,针对 `alice@corp.local`。
- **检测结果:** ✅ 检测到 (0.48秒 MTTD)
- **遏制措施:** 立即撤销会话并通知用户。
- **风险降低:** 在访问任何内部资源之前,阻止了被劫持的企业身份进行横向移动。
### 3. 支付欺诈升级
- **触发条件:** 由蜜罐和 FinOps 传感器报告的高风险金融异常(未识别的 UPI / 银行账户)。
- **检测结果:** ✅ 检测到 (0.48秒 MTTD)
- **遏制措施:** 触发取证磁盘快照。
- **风险降低:** 冻结交易路径的同时,确保了法律/合规追回所需的不可变取证证据。
### 4. 良性基线
- **触发条件:** 正常的企业通信,单次成功登录。
- **检测结果:** ✅ 忽略 (0% 误报)。
- **风险降低:** 防止 SOC 捕风捉影并避免中断业务连续性。
## 🛠️ 部署极简
SwarmSentinel 开箱即用,本地原型无需任何外部依赖。
### 开发者设置
为所有安装使用项目本地的虚拟环境:
```
python -m venv .venv
.\.venv\Scripts\Activate.ps1
pip install -r requirements-dev.txt
```
### 启动/停止服务器
使用单一的 PowerShell 切换器来管理本地服务器:
```
.\scripts\ServerSwitch.ps1 toggle
```
其他支持的操作:
```
.\scripts\ServerSwitch.ps1 start
.\scripts\ServerSwitch.ps1 stop
.\scripts\ServerSwitch.ps1 status
```
该切换器使用本地的 `.venv` 并将运行时状态写入 `.run/`。
### 生成 KPI 仪表板
运行本地 demo 工具并重新计算实时指标(输出到 `demo/results/latest_metrics.json`):
```
$env:PYTHONPATH="."; .\.venv\Scripts\python.exe demo\run_scenarios.py
```
### API 概述
- `POST /honeypot` - 注入蜜罐遥测数据
- `POST /telemetry` - 异步遥测 pipeline
- `GET /incidents` - 查询关联的威胁
- `GET /playbooks` - 获取可用的遏制操作
- `POST /incidents/{incident_id}/action` - 触发遏制
*更多详情,请参阅[文档索引](docs/README.md)。*
标签:AI合规, 人工智能, 图计算, 威胁情报, 安全编排自动化响应, 开发者工具, 异常检测, 插件系统, 搜索引擎查询, 用户模式Hook绕过, 网络安全, 蜜罐, 证书利用, 逆向工具, 配置错误检测, 隐私保护