ayushmansingh0502-hub/Project-Sentinel

GitHub: ayushmansingh0502-hub/Project-Sentinel

基于信息素图与 AI 群体智能的双层网络韧性平台,将蜜罐、浏览器扩展和遥测数据关联为高保真事件,实现亚秒级检测与自动遏制。

Stars: 0 | Forks: 0

# SwarmSentinel:AI 驱动的网络韧性 SwarmSentinel 是一个下一代 AI 驱动的蜜罐与威胁情报平台。它基于群体智能和信息素图论原理构建,能够以亚秒级的速度检测、关联并遏制分布式攻击。 ## 📊 实时性能仪表板 *注意:这些指标由我们的实时基准测试套件 (`demo/run_scenarios.py`) 针对异步摄取 pipeline 运行时动态生成。* | 关键绩效指标 | 当前值 | 目标标准 | | :--- | :--- | :--- | | **检测率** | 100% | > 95% | | **误报率** | 0.0% | < 5% | | **平均检测时间 (MTTD)** | **~508ms** | < 5 秒 | | **平均响应时间 (MTTR)** | **~718ms** | < 1 分钟 | ## 🎯 问题所在 现代安全运营中心 (SOC) 正陷入告警疲劳的泥潭。来自防火墙、IDPS 和 endpoint 传感器的孤立信号被独立审查,导致攻击者能够在分析师手动拼凑事件全貌的同时,持续潜伏并进行横向移动。传统的 SIEM 速度太慢,而手动 playbook 意味着遏制措施要在数据泄露发生数小时后才能执行。 ## 🚀 差异化的方法 我们不使用静态的 SIEM 规则。SwarmSentinel 采用 **信息素图 (Pheromone Graph)**: - **持续衰减:** 异常情况会随时间自然“衰减”。只有协调一致、持续存在或迅速升级的威胁才会留下足够的“信息素”以触发 incident。 - **自动关联:** 单个用户点击钓鱼链接、登录失败以及相关 IP 扫描端口,会瞬间组成一个高度连接的图。 - **自治 Playbook:** 当图的威胁程度跨过关键风险阈值时,SwarmSentinel 会计算出精确的影响范围,并立即触发自动化的遏制 playbook。 ## 💼 量化影响(买家价值) ### 对于 SOC 主管 - **零告警疲劳:** SOC 不再面临 10,000 个孤立的告警,而是接收 5 个由关联图证据支持的高保真“Incident”。 - **即时遏制:** 自治的 playbook 执行将 MTTR 从数小时缩短至 1 秒以内。 - **可操作的上下文:** 每个 incident 都能原生预测攻击者的下一步行动,并将其映射到 MITRE ATT&CK 框架。 ### 对于工程主管 - **确定性扩展:** 最大节点/边缘图上限和严格的 O(1) 驱逐策略,保证了在无限负载下内存占用依然稳定。 - **微服务就绪:** 解耦的 FastAPI 后端配备异步队列,可轻松在 Redis/Kafka 上实现横向扩展。 ## 🗺️ 演示场景与结果 以下是我们测试的实时场景映射,展示了该平台的多层检测能力。 ### 1. 钓鱼网格攻击 - **触发条件:** 来自 `victim1@corp.local` 的同时钓鱼点击以及发往 `verify-wallet-support.com` 的流量。 - **检测结果:** ✅ 检测到 (0.56秒 MTTD) - **遏制措施:** 封锁恶意 IP 90 分钟。 - **风险降低:** 阻止了外部 C2 通信和初始凭证窃取。 ### 2. 账户接管(凭证暴力破解) - **触发条件:** 不可能旅行会话与跨登录提示的密码重用重叠,针对 `alice@corp.local`。 - **检测结果:** ✅ 检测到 (0.48秒 MTTD) - **遏制措施:** 立即撤销会话并通知用户。 - **风险降低:** 在访问任何内部资源之前,阻止了被劫持的企业身份进行横向移动。 ### 3. 支付欺诈升级 - **触发条件:** 由蜜罐和 FinOps 传感器报告的高风险金融异常(未识别的 UPI / 银行账户)。 - **检测结果:** ✅ 检测到 (0.48秒 MTTD) - **遏制措施:** 触发取证磁盘快照。 - **风险降低:** 冻结交易路径的同时,确保了法律/合规追回所需的不可变取证证据。 ### 4. 良性基线 - **触发条件:** 正常的企业通信,单次成功登录。 - **检测结果:** ✅ 忽略 (0% 误报)。 - **风险降低:** 防止 SOC 捕风捉影并避免中断业务连续性。 ## 🛠️ 部署极简 SwarmSentinel 开箱即用,本地原型无需任何外部依赖。 ### 开发者设置 为所有安装使用项目本地的虚拟环境: ``` python -m venv .venv .\.venv\Scripts\Activate.ps1 pip install -r requirements-dev.txt ``` ### 启动/停止服务器 使用单一的 PowerShell 切换器来管理本地服务器: ``` .\scripts\ServerSwitch.ps1 toggle ``` 其他支持的操作: ``` .\scripts\ServerSwitch.ps1 start .\scripts\ServerSwitch.ps1 stop .\scripts\ServerSwitch.ps1 status ``` 该切换器使用本地的 `.venv` 并将运行时状态写入 `.run/`。 ### 生成 KPI 仪表板 运行本地 demo 工具并重新计算实时指标(输出到 `demo/results/latest_metrics.json`): ``` $env:PYTHONPATH="."; .\.venv\Scripts\python.exe demo\run_scenarios.py ``` ### API 概述 - `POST /honeypot` - 注入蜜罐遥测数据 - `POST /telemetry` - 异步遥测 pipeline - `GET /incidents` - 查询关联的威胁 - `GET /playbooks` - 获取可用的遏制操作 - `POST /incidents/{incident_id}/action` - 触发遏制 *更多详情,请参阅[文档索引](docs/README.md)。*
标签:AI合规, 人工智能, 图计算, 威胁情报, 安全编排自动化响应, 开发者工具, 异常检测, 插件系统, 搜索引擎查询, 用户模式Hook绕过, 网络安全, 蜜罐, 证书利用, 逆向工具, 配置错误检测, 隐私保护