shaik-muskinvali/IDS-Tool

# 入侵检测系统 (IDS) #### 作者: https://github.com/shaik-muskinvali 带有用于 SOC 监控的 GUI 的入侵检测系统 (IDS)。使用 Python 和 AI 辅助开发构建。包括异常检测、结构化事件 ID 和实时日志记录。 本项目是一个基础的主机系统活动监控、检测可疑行为并向用户发出潜在威胁警报的入侵检测与防御系统 (ids)。该 IDS 包括文件系统、网络和进程监控，以及异常检测功能。 ## 这些工具的 Markdown 安装说明 - Python - Watchdog - Tkinter - psutil - Scikit-learn (Isolation Forest) - AI 辅助开发工具 ## 功能 1. 监控指定目录中的文件系统更改（创建、修改、删除、移动）。 2. 监控网络连接。 3. 监控系统进程。 4. 基于短时间内的事件数量和机器学习技术（Isolation Forest 算法）进行异常检测。 ## 安装 1. 克隆仓库： `git clone https://github.com/shaik-muskinvali/IDS-Tool` 2. 安装所需的 Python 包： `pip install -r requirements.txt` ## 使用方法 1. 编辑 `ids.py` 脚本并将 `path` 变量设置为您想要监控的目录。 2. 注意：您需要手动创建 "logs" 和 "lab" 文件夹 3. 运行 IDS： `python ids.py` IDS 将开始监控指定目录和主机系统的任何可疑活动。检测到的事件将记录在以下文件中： - `file_system_log.txt`: 文件系统更改 - `network_connections_log.txt`: 网络连接 - `processes_log.txt`: 系统进程 此外，如果根据短时间内的事件数量或 Isolation Forest 算法识别出的异常事件模式检测到异常，IDS 将向用户发出警报。 ## 自定义 您可以通过编辑 `ids.py`、`monitor.py` 和 `detector.py` 脚本中的相应变量和参数，来自定义 IDS 的各个方面，例如监控间隔、异常检测阈值和日志选项。 ## 局限性与未来工作 此 IDS 是一个基础实现，存在若干局限性。可以通过整合更先进的机器学习算法、统计模型或事件模式分析来进一步增强异常检测系统。将 IDS 与其他安全工具和平台集成也可以提高其有效性。

标签：AMSI绕过, Apex, EDR, ETW劫持, GUI, HTTP/HTTPS抓包, Isolation Forest, psutil, Python, Scikit-learn, SOC监控, Tkinter, Watchdog, 入侵检测系统, 图形用户界面, 威胁检测, 孤立森林, 安全数据湖, 安全运营中心, 工具集, 开源安全工具, 异常检测, 态势感知, 文件系统监控, 无后门, 日志记录, 时间线生成, 机器学习, 网络安全, 网络映射, 网络连接监控, 脆弱性评估, 逆向工具, 逆向工程平台, 隐私保护