chuahmy/SentinelCore-Autonomous-Threat-Intelligence-Static-Analysis-Engine

# 🛡️ SentinelCore ### 自主威胁情报与静态分析引擎

# 📌 项目概述 **SentinelCore** 是一个事件驱动的网络安全系统，旨在通过自动化监控、恶意软件静态分析和智能隔离操作，**实时防御恶意文件下载**。 作为我网络安全学习研究的一部分，SentinelCore 能够持续监控多个驱动器上的文件系统活动，并使用启发式检测技术进行本地威胁分析，该技术的灵感来源于现代端点保护系统。 该系统针对 Windows 环境下的轻量级执行进行了优化，同时保持了对可疑可执行文件的快速响应能力。 # 🚀 核心功能 ## 🔍 实时事件监控 - 使用 Windows API `ReadDirectoryChangesW` - 监控： - 文件创建 - 文件修改 - 文件重命名 - 支持跨驱动器监控，例如： - `C:\` - `D:\` ## 🧬 本地静态分析引擎 SentinelCore 通过检查文件“DNA”来执行轻量级的恶意软件静态分析，包括： - PE 头部分析 - 可疑导入检测 - 文件熵分析 - 可执行文件签名检查 - 基于哈希的完整性追踪 这使得引擎能够识别： - 加壳可执行文件 - 混淆 payload - 可疑二进制文件 - 潜在的恶意软件投放器 ## 🚨 自主隔离系统 当文件超过配置的危险阈值时： - 文件将被自动隔离 - 移动到安全的隔离目录中 - 使用唯一标识符进行重命名 - 防止被意外执行 这最大程度地减少了用户交互并降低了感染风险。 ## ⚡ 去重与冷却逻辑 Windows 文件系统会产生大量快速重复的事件。 SentinelCore 包含： - 事件去重 - 冷却计时器 - 队列稳定逻辑 这提升了： - 性能 - 可靠性 - 告警准确性 - 系统稳定性 ## 📧 自动化安全告警 引擎会通过 SMTP 自动发送详细的威胁通知。 每份报告可能包含： - 文件名 - SHA-256 哈希值 - 威胁分数 - 检测原因 - 时间戳 - 隔离位置 # 🛠️ 技术栈 | 组件 | 技术 | |---|---| | 语言 | Python 3.13 | | 平台 | Windows 11 | | API 集成 | pywin32 | | 静态分析 | pefile | | 哈希计算 | hashlib | | 后台执行 | Windows 任务计划程序 | # 🧠 检测工作流 ``` [ File Event Triggered ] ↓ [ Extension Filtering ] ↓ [ SHA-256 Hash Generation ] ↓ [ Static Analysis Engine ] ↓ [ Heuristic Evaluation ] ↓ [ Risk Score Calculation ] ↓ ┌───────────────┬───────────────┐ │ Safe File │ Suspicious │ │ Allow Access │ Quarantine │ └───────────────┴───────────────┘ ↓ [ SMTP Alert Notification ] ``` # 🔬 分析方法论 ## 1️⃣ 事件捕获 系统会监听高风险文件类型，例如： ``` .exe .dll .zip .bat .scr .ps1 ``` ## 2️⃣ 哈希计算 生成 SHA-256 哈希值用于： - 完整性验证 - 威胁追踪 - 重复检测 ## 3️⃣ 启发式评估 本地分析引擎会评估以下指标： - 高熵值 - 可疑的 PE 导入 - 可执行文件异常 - 已知的恶意模式 - 加壳二进制行为 ## 4️⃣ 威胁隔离 如果计算出的风险超过安全阈值： - 阻止文件访问 - 重新定位文件 - 隔离威胁 - 生成告警 # ⚙️ 部署 SentinelCore 被设计为一个轻量级的后台驻留服务运行。 ### 部署方式 - Windows 任务计划程序 - 高权限执行 - 开机自动启动 # 🎯 项目目标 SentinelCore 的目标是展示： - 实时防御性编程 - Windows API 集成 - 恶意软件分析基础 - 威胁检测自动化 - 安全的文件处理 - 事件驱动的网络安全架构 # 📚 教育目的 本项目的开发旨在： - 学习网络安全 - 研究恶意软件分析 - 进行防御性安全实验 - 练习静态分析 其用途严格**仅限于教育和防御目的**。 # 🔒 未来改进 - YARA 规则集成 - 机器学习威胁评分 - 实时仪表盘监控 - 多线程扫描引擎 - 沙箱执行支持 - 云端信誉 API 集成 - 行为分析引擎 # 👨‍💻 作者 **Chuah Ming Yuan** 网络安全专业学生 # ⚠️ 免责声明 SentinelCore 是一个研究与教育项目。 在生产环境中，它不应取代企业级的防病毒软件或 EDR 解决方案。

标签：DAST, DeepSeek, DNS 反向解析, DNS 解析, EDR, PE文件分析, Python, Windows API, 事件驱动, 云安全监控, 勒索软件防护, 启发式检测, 哈希校验, 威胁情报, 实时防护, 开发者工具, 异常检测, 恶意软件分析, 搜索语句（dork）, 文件系统监控, 无后门, 熵值分析, 终端安全, 网络信息收集, 网络安全, 脆弱性评估, 自动化防御, 隐私保护, 隔离系统, 静态分析, 黑客攻防