irstabyjorge/aegis_omni_xeon

# AEGIS OMNI-XEON **自主安全监控与威胁情报平台** AEGIS OMNI-XEON 是一个使用 Python 构建的实时安全监控套件。它提供系统分析、网络威胁检测、身份验证日志审计、防火墙检查以及预测性威胁建模——所有这些都可以通过一个统一的命令行界面完成。 ## 功能 - **实时系统监控** -- CPU、内存、磁盘、启动时间、进程检查 - **QByte-22 威胁引擎** -- 使用 50 多个信号向量（Tor 出口节点、扫描器网络、威胁情报、Bogon 地址范围）进行真实 IP 威胁评分 - **网络威胁扫描器** -- 检测可疑端口、高频远程连接以及加密货币挖矿活动 - **自动封锁名单** -- 通过持久的封锁名单数据库自动拦截高威胁 IP - **身份验证日志审计器** -- 解析 auth.log 和 syslog，以查找登录失败、权限提升和会话异常 - **防火墙检查器** -- 一目了然地报告 UFW 和 iptables 状态 - **预测性威胁建模** -- 使用 scikit-learn 的基于机器学习的风险分类 - **熵与密钥生成** -- 带有 SHA-512 摘要验证的 Fernet 密钥生成 - **连续监控模式** -- 在 10 秒循环中自动进行威胁扫描 - **结构化事件日志记录** -- 所有事件记录为 JSONL 格式，以供取证审查 - **策略引擎** -- 将安全的自主操作与需要手动授权的操作分离开来 ## 模式 | 模式 | 脚本 | 目的 | |------|--------|---------| | **OMNI-XEON** | `aegis_omni.py` | 结合 QByte-22 引擎与 ML 预测的完整自主安全操作 | | **Real System** | `aegis_real.py` | 使用真实网络/认证数据的实时系统监控 | | **Unified** | `aegis_unified.py` | 结合所有功能的生产平台 | ## 快速入门 ``` # 克隆仓库 git clone https://github.com/irstabyjorge/aegis_omni_xeon.git cd aegis_omni_xeon # 创建虚拟环境并安装依赖 python3 -m venv .venv source .venv/bin/activate pip install -r requirements.txt # 运行统一系统 python3 aegis_unified.py ``` ## 命令（统一模式） ``` status -- System health overview listeners -- Show listening ports with risk flags connections -- Show active connections threats -- Scan live connections with QByte-22 engine scan [port] -- Analyze specific IP threat level auth -- Audit authentication logs firewall -- Show firewall rules and status packages -- List installed packages entropy -- Generate cryptographic key material blocklist -- Show auto-blocked IPs all -- Run full security audit watch -- Continuous threat monitoring (10s interval) logs -- View recent event log help -- Show available commands exit -- Quit ``` ## 环境要求 - Python 3.10+ - Linux（推荐 Ubuntu/Debian） - 需要具有 Root/sudo 权限以进行完整的认证日志和防火墙检查 ## 依赖项 ``` numpy scikit-learn rich psutil cryptography ``` ## 模块 ### API 服务器 (`modules/api_server.py`) 通过 HTTP 暴露所有 AEGIS 功能的 REST API。零外部依赖——构建于 Python 的 `http.server` 之上。提供用于威胁扫描、连接监控、日志分析、熵生成、运行时间检查以及预测性建模的端点。 ``` # 启动 API 服务器（默认端口 8443） python3 -m modules.api_server # 或者设置自定义端口 AEGIS_PORT=9000 python3 -m modules.api_server ``` **端点：** | 端点 | 描述 | |----------|-------------| | `GET /api/status` | 系统健康状况概览 | | `GET /api/threats` | 使用 QByte-22 扫描实时连接 | | `GET /api/scan/` | 分析特定 IP 的威胁级别 | | `GET /api/connections` | 活动的网络连接 | | `GET /api/listeners` | 带有风险标记的监听端口 | | `GET /api/entropy` | 生成加密密钥材料 | | `GET /api/blocklist` | 自动拦截的 IP 列表 | | `GET /api/uptime` | 服务可用性报告 | | `GET /api/logs/analysis` | 系统日志安全分析 | | `GET /api/logs/threats` | AEGIS 威胁日志分析 | | `GET /api/predict` | 基于机器学习的威胁预测 | | `GET /api/vuln` | 带有安全评分的漏洞扫描 | | `GET /api/ioc` | 失陷指标 扫描 | | `GET /api/forensics` | 完整的取证状态捕获 | | `GET /api/passwords` | 密码策略与凭据审计 | | `GET /api/payloads` | Web 攻击载荷检测 | | `GET /api/honeypot` | 蜜罐连接分析 | ### 日志分析器 (`modules/log_analyzer.py`) 基于模式的安全日志分析引擎。扫描系统日志（`auth.log`、`syslog`、`kern.log`、`ufw.log`）以查找攻击特征，包括暴力破解尝试、权限提升、SSH 扫描、可疑命令、账户更改以及防火墙修改。 ``` # 分析系统日志 python3 -m modules.log_analyzer # 分析 AEGIS 威胁历史 python3 -m modules.log_analyzer threats ``` ### 运行时间监控器 (`modules/uptime_monitor.py`) 服务可用性追踪，具有 HTTP 端点监控、TCP 端口检查、DNS 解析验证以及 SSL 证书过期警告功能。 ``` # 运行单次检查 python3 -m modules.uptime_monitor # 持续监控（每 30 秒） python3 -m modules.uptime_monitor watch ``` ### 漏洞扫描器 (`modules/vuln_scanner.py`) 本地系统安全评估。检查 SUID 文件、全局可写文件、SSH 配置、防火墙状态、自动更新、暴露的端口、敏感文件权限、Root 执行以及内核加固（ASLR、ptrace、核心转储）。 ``` python3 -m modules.vuln_scanner ``` 生成安全评分 (0-10)，并将发现的问题划分为严重、警告或通过。 ### 蜜罐 (`modules/honeypot.py`) 轻量级诱饵服务，使用真实的服务横幅开启伪端口（SSH、FTP、Telnet、MySQL、Redis、Elasticsearch）。记录每一个连接尝试的完整元数据，用于威胁情报。捕获攻击者载荷并识别惯犯。 ``` # 在默认诱饵端口上启动 honeypot python3 -m modules.honeypot # 分析捕获的 honeypot 数据 python3 -m modules.honeypot analyze ``` ### IOC 扫描器 (`modules/ioc_scanner.py`) 失陷指标 检测。扫描可疑进程（加密货币矿工、反向 shell）、持久化机制（恶意 cron 任务、ld.so.preload 劫持）、恶意 SSH 密钥、临时目录中的隐藏文件、DNS 劫持以及可疑的 shell 历史记录条目。 ``` python3 -m modules.ioc_scanner ``` ### 取证工具包 (`modules/forensics.py`) 系统取证分析与证据收集。捕获易失性系统状态（进程、连接、路由、ARP 缓存、内核模块），分析关键目录中最近的文件更改，审计用户账户以查找 UID-0 后门，并生成关键系统二进制文件的 SHA-256 哈希。 ``` # 完整取证捕获（将报告保存到 logs/） python3 -m modules.forensics # 仅易失状态 python3 -m modules.forensics volatile # Hash 关键二进制文件 python3 -m modules.forensics hashes ``` ### 密码审计器 (`modules/password_audit.py`) 凭据安全评估。检查密码老化策略、空密码、PAM 配置（复杂性要求、账户锁定）、密码哈希算法强度以及来自 `/var/log/btmp` 的暴力破解登录尝试。 ``` python3 -m modules.password_audit ``` ### 载荷检测器 (`modules/payload_detector.py`) Web 攻击载荷与漏洞利用特征检测引擎。扫描 Web 服务器日志和文件以查找 SQL 注入、XSS、命令注入、路径遍历、Web shell、XXE、SSRF 以及 Log4Shell 模式。灵感来源于 SecLists 和 PayloadsAllTheThings。 ``` # 扫描 web 服务器日志 python3 -m modules.payload_detector web # 扫描特定文件 python3 -m modules.payload_detector scan /var/log/nginx/access.log # 扫描目录以查找 web shell python3 -m modules.payload_detector dir /var/www/html ``` ## 项目结构 ``` aegis_omni_xeon/ aegis_omni.py # OMNI-XEON -- full autonomous security with QByte-22 + ML aegis_real.py # Real system -- live network/auth/firewall monitoring aegis_unified.py # Unified -- production platform combining all modules requirements.txt # Python dependencies pyproject.toml # Package metadata config/ # Configuration files data/ # Blocklists, known-good IPs, runtime data logs/ # JSONL event logs and threat logs modules/ __init__.py api_server.py # REST API server (18 endpoints) log_analyzer.py # Security log analysis engine uptime_monitor.py # Service availability monitoring vuln_scanner.py # Vulnerability assessment scanner honeypot.py # Decoy service intrusion detection ioc_scanner.py # Indicators of Compromise detection forensics.py # Forensic analysis & evidence collection password_audit.py # Credential security assessment payload_detector.py # Web attack payload detection ``` ## 日志记录 所有事件均以带有时间戳、事件类型和完整有效载荷的 JSONL 文件形式记录到 `logs/` 目录中。这些日志专为取证分析设计，可以被任何 SIEM 或日志聚合工具摄入。 ## 许可证 本软件采用双重许可： - **个人与学术用途**：在 [MIT 许可证](LICENSE) 下免费 - **商业用途**：需要商业许可证。参见 [COMMERCIAL_LICENSE.md](COMMERCIAL_LICENSE.md) ### 商业许可 | 级别 | 月付 | 年付 | 用户数 | |------|---------|--------|-------| | 专业版 | $2,499 | $29,988 | 最多 10 人 | | 商业版 | $9,999 | $119,988 | 最多 50 人 | | 企业版 | $24,999 | $299,988 | 不限人数 | | 企业增强版 | $49,999 | $599,988 | 不限人数 | | 主权 / 政府 | $99,999 | $1,199,988 | 不限人数 | 提供多年折扣（最高可享 6 折优惠）。联系 IRSTAXBYJORGE@GMAIL.COM 咨询许可事宜。 ## 作者 **Jorge Francisco Paredes** (irstabyjorge) - GitHub: [github.com/irstabyjorge](https://github.com/irstabyjorge) - Email: IRSTAXBYJORGE@GMAIL.COM ### 支持本项目 [](https://github.com/sponsors/irstabyjorge) 如果您在工作中使用了 AEGIS，请考虑赞助该项目以支持其持续开发。 版权所有 (c) 2024-2026 Jorge Francisco Paredes。保留所有权利。

标签：Apex, iptables, IP信誉评分, JSONL日志, PE 加载器, Python安全工具, scikit-learn, UFW, 加密货币挖矿检测, 商业授权, 威胁建模, 威胁情报, 子域名变形, 实时安全监控, 开发者工具, 时序数据库, 机器学习, 权限提升检测, 熵与密钥生成, 端点安全, 网络威胁扫描, 网络安全, 自主安全平台, 自动封禁, 补丁管理, 认证日志审计, 逆向工具, 防火墙检查, 隐私保护