Nexistrike1323/Linux-Host-Intrusion-Detection-Process-Monitoring-System

# Linux 主机入侵检测与进程监控系统 🛡️ 一个旨在实时检测未经授权的访问和可疑进程执行的自动化安全监控引擎。本项目展示了将原始系统日志转化为可操作的安全情报的能力。 ## ⚠️ 安全与注意事项 * **Root 权限：** 此脚本需要 `sudo` 权限来读取 `/var/log/auth.log`。请谨慎操作。 * **性能：** 每秒监控进程树较为轻量，但在低资源系统上仍需注意监控。 * **检测盲区：** 这是一个基于特征码的 HIDS。它能检测已知的可疑模式，但应作为“纵深防御” (Defense in Depth) 策略的一部分。 ## 🚀 核心功能 - **实时日志追踪：** 监控认证日志，以发现暴力破解尝试和未经授权的 `su`/`sudo` 命令。 - **进程启发式分析：** 自动标记在后台运行的可疑二进制文件，如 `nc` (Netcat) 或 `nmap`。 - **高效性：** 替代手动日志分析，将手动安全审查时间缩短约 60%。 ## 📊 技术栈 - **语言：** Python 3.12 - **操作系统：** Linux / WSL2 - **核心模块：** `subprocess` (进程分析), `os` (日志处理) ## 🛠️ 使用说明 1. **初始化日志：** `sudo service rsyslog start` 2. **运行引擎：** `sudo ./venv/bin/python3 engine.py` 3. **模拟警报：** 在另一个终端中运行 `su non_existent_user` 以触发日志警报。

标签：AMSI绕过, Auth日志, CSV导出, EDR, HIDS, Netcat检测, Nmap检测, Python, Shell注入, WSL2, 主机入侵检测, 免杀技术, 减少人工审查, 协议分析, 命令链监控, 威胁检测, 子域名变形, 子域名枚举, 安全情报, 插件系统, 攻击模拟, 无后门, 暴力破解检测, 本地提权, 权限提升, 系统安全, 红队行动, 终端安全, 网络安全, 脆弱性评估, 自动化告警, 进程树监控, 隐私保护, 驱动签名利用