liNAyildiiz/ZeroDaySentinel

# ZeroDaySentinel 🛡️ ZeroDaySentinel 是一个防御性网络安全研究项目，重点关注零日漏洞 readiness、检测工程、威胁建模、合成遥测、事件响应和负责任的披露工作流。 本代码库**不**提供真实的漏洞利用代码、武器化的 payload、绕过技术、持久化机制或未经授权访问的说明。该项目旨在通过安全的模拟、遥测分析、检测规则和响应剧本，帮助防御者推演和应对未知的漏洞。 ## 为什么会有这个项目 零日威胁的棘手之处在于，防御者通常必须在公开的 CVE、供应商补丁或稳定的检测特征出现之前采取行动。ZeroDaySentinel 探讨安全团队如何使用以下方法为这种不确定性做好准备： - 威胁建模， - 攻击面分析， - 合成日志生成， - 防御性检测逻辑， - Sigma/YARA 风格规则， - 威胁情报丰富化， - 事件响应剧本， - 负责任的披露模板。 ## 当前状态 ZeroDaySentinel 目前处于早期积极开发阶段。 第一个里程碑侧重于构建一个安全且可重现的防御实验室： - 代码库基础构建， - 伦理与法律边界， - 零日概念文档， - 合成日志生成， - 安全的异常检测， - 初始 Sigma/YARA 风格示例， - 事件响应文档， - 负责任的披露工作流。 ## 本项目不是什么 这**不是**一个漏洞利用代码库。 ZeroDaySentinel 不包含： - 真实的零日漏洞利用代码， - 武器化的概念验证 payload， - 未经授权的测试说明， - 漏洞利用链， - 隐蔽或持久化逻辑， - 检测规避技术， - 互联网范围扫描工具。 ## 计划模块 | 模块 | 用途 | 状态 | |---|---|---| | `docs/` | 零日概念、威胁建模、伦理边界 | 已计划 | | `lab/` | 合成日志与安全检测器实验 | 已计划 | | `detection/` | Sigma/YARA 风格防御规则 | 已计划 | | `incident-response/` | 分类、遏制、恢复剧本 | 已计划 | | `disclosure/` | 负责任披露模板 | 已计划 | | `dashboard/` | 未来的可视化层 | 已计划 | | `research/` | 笔记、参考资料和方法论 | 已计划 | ## 基准测试策略 性能指标只会在实现可重现的实验后发布。 计划的指标包括： - 精确率， - 召回率， - F1-score， - 误报率， - 事件处理延迟， - 内存开销， - 检测覆盖率。 本代码库不包含任何未经证实的基准测试声明。 ## 伦理声明 本项目仅用于防御性教育、授权研究和安全意识培养。所有示例均为合成的、本地的且故意设计为非武器化的。 ## 路线图 ### v0.1 — 代码库基础 - README - SECURITY.md - 贡献指南 - 伦理边界 - 项目结构 - 初始 CI 工作流 ### v0.2 — 合成遥测实验室 - 合成正常日志 - 合成可疑日志 - 安全日志生成器 - 本地检测器原型 ### v0.3 — 检测工程 - Sigma 风格规则 - YARA 风格规则 - IOC 示例 - MITRE ATT&CK 映射 ### v0.4 — 响应与披露 - 事件响应剧本 - 负责任披露模板 - 零日就绪状态报告样本 ### v0.5 — 仪表板原型 - 本地仪表板 - 异常时间线 - 规则命中可视化 - 可重现的演示截图 ## 快速入门 运行第一个安全的本地演示： ``` python lab/log-generator/generate_logs.py python lab/detector/detector.py ``` 预期输出： ``` [ZeroDaySentinel] Generated synthetic events. [ZeroDaySentinel] Detection completed. [ZeroDaySentinel] Alerts generated. ``` 生成的文件： - `lab/sample-logs/sample_events.jsonl` - `reports/alerts.json` - `reports/summary.json` 此演示仅使用合成遥测和非武器化的防御检测逻辑。 ## 从这里开始 ZeroDaySentinel 被组织为一个安全的防御性安全实验室。有用的切入点： | 领域 | 链接 | 用途 | |---|---|---| | CLI 演示 | [`docs/cli.md`](docs/cli.md) | 使用 `python sentinel.py --demo` 运行安全的本地演示。 | | 架构 | [`docs/architecture.md`](docs/architecture.md) | 了解合成遥测和检测 pipeline。 | | 演示输出 | [`docs/demo-output.md`](docs/demo-output.md) | 查看生成的文件和预期输出。 | | 检测规则目录 | [`detection/rules/catalog.json`](detection/rules/catalog.json) | 浏览合成的防御性检测规则。 | | 检测规则指南 | [`detection/rules/README.md`](detection/rules/README.md) | 了解当前的规则目录。 | | 事件响应映射 | [`incident-response/playbook-mapping.md`](incident-response/playbook-mapping.md) | 将检测映射到安全的分类操作。 | | 更新日志 | [`CHANGELOG.md`](CHANGELOG.md) | 查看版本历史。 | | 路线图 | [`ROADMAP.md`](ROADMAP.md) | 关注计划开发进度。 | ## 架构概述 ZeroDaySentinel 被组织为一个防御性检测实验室。当前的原型遵循一个安全的合成遥测 pipeline： 合成事件生成器 → sample_events.jsonl → 防御性检测器 → 风险评分和规则匹配 → alerts.json 和 summary.json 该项目有意避免开发漏洞利用。它侧重于防御者如何利用遥测、检测逻辑、响应剧本和负责任的披露工作流来推演未知或未公开的威胁。 有关更多详细信息，请参阅 `docs/architecture.md`。 ## 演示输出 当前的本地演示会分析合成事件并生成防御性警报。 v0.2 原型的示例结果： - 生成的事件：120 - 分析的事件：120 - 生成的警报：25 - 输出文件：`reports/alerts.json` 和 `reports/summary.json` 有关更多详细信息，请参阅 `docs/demo-output.md`。 ## 命令行用法 ZeroDaySentinel 也可以通过一个小型的本地 CLI 入口运行： ``` python sentinel.py --demo ``` 要打印最新生成的摘要： ``` python sentinel.py --summary ``` 有关更多详细信息，请参阅 `docs/cli.md`。 ## 仪表板原型 ZeroDaySentinel 包含一个本地 HTML 仪表板，用于可视化合成的防御性遥测数据。 运行演示并生成仪表板： ``` python sentinel.py --demo python dashboard/generate_dashboard.py ``` 然后打开： ``` dashboard/index.html ``` 仪表板显示： - 合成事件总数， - 生成的警报总数， - 警报率， - 警报优先级分布， - 事件类型分布， - 防御性安全边界。 ## 项目跟踪 - 查看 `CHANGELOG.md` 了解版本历史。 - 查看 `ROADMAP.md` 了解计划开发进度。

标签：0day防御, DNS信息、DNS暴力破解, Homebrew安装, Sigma规则, YARA规则, 合成遥测, 多模态安全, 威胁建模, 威胁情报, 安全合规, 安全实验室, 密码管理, 开发者工具, 异常检测, 攻击面分析, 时序数据库, 检测规则, 漏洞响应, 目标导入, 网络代理, 网络安全, 网络资产发现, 负责任的披露, 逆向工具, 隐私保护, 零日漏洞