SUDARSHANCHAUDHARI/GhostWireSentinel
GitHub: SUDARSHANCHAUDHARI/GhostWireSentinel
GhostWire Sentinel是一款基于AI的Linux终端威胁狩猎代理。
Stars: 1 | Forks: 0
# GhostWire 监视者
[](#requirements)
[](#status)
[](#safe-use)
[](https://opensource.org/licenses/MIT)
Linux设备、自助终端和边缘系统的终端威胁狩猎代理。检测隐蔽持久化、基线漂移、可疑的出站行为和静默攻击者的技巧(未经授权的cron、修改的二进制文件、隐藏的SSH密钥、反向代理)。
## 概述
GhostWire Sentinel是一个防御性分析代理,它捕获Linux主机的安全相关快照——进程、服务、cron作业、SSH密钥、出站连接——然后将其与批准的基线进行比较以检测漂移。它还在实时快照上运行异常、信标和持久性检测器以提供即时警报。
目标环境:Linux自助终端、标牌播放器、物联网/边缘设备和无人值守服务器,在这些环境中,隐蔽持久化和静默后门是主要威胁。
## 功能
- 收集进程、服务、cron作业、SSH密钥和出站连接
- 快照基线带有审批工作流程和历史记录
- 将实时快照与批准的基线进行比较(漂移检测)
- 异常检测器用于意外的进程和服务
- 信标检测器用于周期性的出站回调
- 持久性检测器(cron、启动、修改的二进制文件、可疑的SSH密钥)
- 信任进程和服务白名单
- Markdown报告、时间线报告、异常报告和仪表板摘要JSON
## 要求
- Python 3.10或更高版本
- Linux(完整功能支持);macOS / Windows(部分)
- 无第三方Python包(仅标准库)
- 可选:Docker用于演示容器
## 安装
```
git clone https://github.com/SUDARSHANCHAUDHARI/GhostWireSentinel.git
cd GhostWireSentinel
pip install .
```
这将注册`ghost-wire` CLI命令。
要运行而不安装:
```
python3 main.py --help
```
## 使用
使用包含的示例数据捕获和分析快照:
```
python3 main.py --out-dir reports
```
在`reports/`中生成的输出:
- `snapshot.json` — 收集的遥测数据
- `baseline-diff.json` — 与批准基线的漂移发现
- `anomalies.json` — 检测到的异常
- `beaconing.json` — 周期性出站回调发现
- `persistence.json` — 持久性机制发现
- `report.md` — Markdown威胁狩猎报告
- `timeline.md` — 发现的按时间顺序的时间线
- `triage.md` — 分析师分类清单
## 项目结构
```
GhostWireSentinel/
├── agent/
│ ├── collectors/ Processes, services, cron, SSH keys, connections, USB
│ ├── detectors/ Anomaly, beaconing, persistence
│ ├── baseline/ Snapshot, compare, approve workflow
│ ├── allowlist.py Trusted-entity allowlist
│ ├── main.py Agent entry
│ └── report.py Markdown report builders
├── apps/ FastAPI/React dashboard scaffold (planned)
├── data/ Safe sample snapshots and baselines
├── rules/ Detection rule definitions
├── docs/ Architecture, security notes, demo
├── tests/ Unit tests
├── main.py CLI entrypoint
├── pyproject.toml Package metadata
└── LICENSE
```
## 测试
```
python3 -m unittest discover -s tests -p 'test_*.py'
```
## Docker演示
```
docker compose run --rm ghost-wire-demo
```
## 安全使用
该项目是防御性和分析性的。仅在您拥有或明确获得监控权限的设备上运行。示例数据是合成的,适用于公共演示。
## 状态
具有收集器、检测器、基线工作流程、测试和Docker支持的CLI代理MVP。Web仪表板框架存在,但尚未实现。
## 路线图
- 在真实Linux主机上实时收集(读取`/proc`、`/etc`、`ss`、`crontab`)
- 加密快照上传到中央收集器
- 签名的基线批准
- Web仪表板用于舰队漂移可视化
- GitHub发布`v0.1.0-mvp`
## 许可证
在[MIT许可证](LICENSE)下发布。您有权使用、修改和分发此软件,并注明出处。
## 作者
**Sudarshan Chaudhari** — [SudarshanTechLabs](https://github.com/SUDARSHANCHAUDHARI)
曼谷,泰国
查询:在[GitHub](https://github.com/SUDARSHANCHAUDHARI/GhostWireSentinel/issues)上打开一个问题。
标签:AI安全, Chat Copilot, Cron监控, JSON数据输出, Kiosk安全, MIT许可协议, MVP产品, Python开发, SSH安全, 入侵检测系统, 基线检测, 安全分析工具, 安全数据湖, 开源安全软件, 异常检测, 持久化检测, 服务监控, 物联网安全, 端点安全, 签名播放器安全, 自动化报告, 补丁管理, 请求拦截, 边缘计算安全, 逆向工具