Gav2011/MGuard
GitHub: Gav2011/MGuard
一款轻量级网络威胁检测代理,通过对 LAN/WAN 持续扫描并为每个 IP 分配威胁评分,在入侵演变为安全事件前发出警报并自动响应。
Stars: 0 | Forks: 0
# MGaurd
## 什么是 MGuard?
MGuard 是一个**轻量级网络智能代理**,可在数秒内完成部署。它能持续扫描您的 LAN 和 WAN,为每个发现的 IP 分配一个基于证据的 0-100 威胁评分,并在入侵演变为安全事件之前向您发出警报。
## 快速开始
**Windows (当前平台)**
直接下载代理程序:
```
https://cdn.modeminc.com/MGuard/MGuard_Agent.exe
```
或使用安装脚本:
```
curl -sSL https://cdn.modeminc.com/MGuard/MGuard_Install.sh | sh
```
运行代理程序:
```
MGuard_Agent.exe
```
## 功能特性
| 功能 | 描述 |
|---|---|
| **LAN 发现** | 对所有可达子网进行 ARP 扫描。检测新的、缺失的和非法的设备。 |
| **WAN 监控** | 被动检查所有 WAN 流量,并与超过 1400 万个已知恶意 IP 范围进行关联分析。需要路由器 syslog 或防火墙日志转发才能实现完整的 WAN 可见性。 |
| **IP 威胁评分** | 综合端口行为、GeoIP 风险、ASN 信誉和 ML 异常检测,为每个 IP 提供 0-100 的综合评分。 |
| **即时警报** | 通过 webhook 发送亚秒级阈值警报。支持 Discord、[Bark 通知](https://apps.apple.com/us/app/bark-custom-notifications/id1403753865), |
| **自动响应** | 当主机超过定义的阈值时,自动推送防火墙规则、BGP 空路由或 VLAN 隔离。 |
| **多代理网格** | 跨多个网段部署。代理之间共享情报。 |
## 威胁评分参考
| 评分 | 等级 | 含义 |
|---|---|---|
| 0 – 15 | **SAFE** | 已知安全或白名单主机 |
| 16 – 34 | **LOW** | 轻微异常,异常端口或时间特征 |
| 35 – 54 | **MED** | 信誉信号或扫描活动增加 |
| 55 – 74 | **HIGH** | 已知恶意 ASN、主动扫描或 C2 行为 |
| 75 – 89 | **CRIT** | 已确认的恶意攻击者或主动漏洞利用尝试 |
| 90 – 100 | **BLOCK** | 建议立即采取自动化响应 |
评分计算自:
- **GeoIP 风险权重** - 来源国家/地区与 ModemINC 的区域威胁指数对比
- **ASN 信誉** - 交叉对比恶意主机托管商、VPN 出口节点、Tor 出口节点
- **端口行为分析** - 扫描速度、端口模式、连接时间
- **行为 ML 基线** - 基于 72 小时数据建立的每设备正常模型;偏差会提高评分
- **实时源关联** - 每小时与 abuse.ch、Emerging Threats、Spamhaus 以及 Modeminc 全球传感器网络同步
## WAN 监控说明
为了获得完整的 WAN 可见性,MGuard 需要访问路由器或防火墙日志。代理可以接收:
- 从您的路由器/防火墙转发的 **Syslog**
- **防火墙日志** (pfSense、OPNsense、iptables、Windows 防火墙)
如果没有日志转发,MGuard 仍会监控其运行主机可见的流量。要实现完整的边界覆盖,需要进行日志集成。
有关更多信息,请访问 [modeminc.com/MGuard/help](https://modeminc.com/MGuard/help)。
## 评分信号源
```
abuse.ch
GeoIP (MaxMind)
ASN Database
```
## 路线图
| 符号 | 状态 |
|--------|-------------|
| `+` | 已完成 |
| `~` | 进行中 |
| `-` | 已规划 |
- `+` Windows x86-64 代理
- `~` LAN ARP 发现
- `~` IP 威胁评分引擎
- `~` WAN 日志摄入 (syslog / 防火墙)
- `~` 警报 Webhook (Discord, Slack, Json)
- `~` Web 仪表盘 UI
- `~` LAN 代理间同步
- `-` Linux (amd64 / arm64)
- `-` macOS (Apple Silicon / Intel)
## 许可证
MIT - 详见 [LICENSE](LICENSE)。
由 **[Modeminc](https://modeminc.com)** 构建 · [网站](https://modeminc.com/MGuard) · [帮助/文档](https://modeminc.com/MGuard/help) · [下载](https://cdn.modeminc.com/MGuard/MGuard_Agent.exe)
标签:AMSI绕过, ARP扫描, ASN信誉, BGP黑洞路由, C2行为检测, Discord通知, GeoIP, GitHub, HTTP/HTTPS抓包, IP 地址批量处理, IP威胁评分, ML机器学习, VLAN隔离, Webhook, 入侵检测系统, 力导向图, 多智能体, 威胁情报, 威胁检测, 安全数据湖, 安全研发, 密码管理, 局域网扫描, 广域网监控, 开发者工具, 异常检测, 微隔离, 态势感知, 插件系统, 流氓设备检测, 端点安全, 网络安全, 网络情报, 自动化扫描, 自动响应, 补丁管理, 轻量级代理, 防火墙规则, 隐私保护