wa7a4h/dr0na

## 什么是 Dr0na？ Dr0na 是一个轻量级、AI 原生的端点检测与响应（EDR）agent，完全在您的本地机器上运行。不向任何人发送遥测数据。无需订阅。没有企业销售代表。只有纯粹的防护——无论是为印度乡村的医院、肯尼亚的非政府组织（NGO）、圣保罗的初创公司，还是您家里的 Linux 电脑。 CrowdStrike 的费用是每台端点每月 15 美元。Microsoft Defender 会将您的数据发送给 Microsoft。Wazuh 需要 3 天时间才能正确设置。 **Dr0na 只需一条命令即可安装，并会向您报告它所做的每一件事。** ## Zero Trace 承诺 Zero Trace 意味着两件事，而且我们对此言出必行： **对于攻击者** —— 恶意软件、凭证窃取者、勒索软件操作者在受 Dr0na 保护的端点上不会留下任何成功的痕迹。我们会在造成损害之前捕获这些行为。 **对于您的数据** —— 您的遥测数据、事件、模型输入都保留在您的机器上。您的数据绝对不会有任何痕迹离开您的端点。永远如此。这是由架构设计决定的，而不是仅仅依靠策略。 Dr0na 收集的每个事件都以纯 JSON 格式存储在本地。您可以随时读取、删除、导出或审计它。模型对每个警报的推理过程都会与警报本身一起记录。没有黑盒。 ## Dr0na 能捕获什么 | 威胁 | 检测方法 | |---|---| | 恶意软件执行 | YARA 规则 + 行为 AI 评分 | | 凭证窃取 (LSASS, /etc/passwd) | eBPF syscall hooks + Sigma 规则 | | 反向 shell | 进程树分析 + 连接行为 | | 持久化驻留 (cron, rc.local, systemd) | 文件写入钩子 + 路径白名单 | | Living-off-the-land 攻击 | 父子进程异常检测 | | 恶意浏览器扩展 | 扩展权限监控 | | Drive-by 下载 | 文件哈希信誉 + 行为评分 | | 横向移动 | 网络连接 + 进程关联分析 | ## 工作原理 ``` ┌─────────────────────────────────────────────┐ │ Dr0na Agent │ │ │ │ eBPF Sensors │ │ ├── Process monitor (execve, fork, kill) │ │ ├── File write hooks (/etc, /tmp, cron) │ │ └── Network hooks (tcp_connect + PID) │ │ │ │ │ ▼ │ │ Detection Engine │ │ ├── YARA rules (known malware IOCs) │ │ ├── Sigma rules (behavioral patterns) │ │ └── ONNX AI model (anomaly scoring) │ │ │ │ │ ▼ │ │ Alert Output │ │ └── JSON → MITRE ATT&CK mapped │ │ tactic + technique │ │ confidence score │ │ full process tree │ └─────────────────────────────────────────────┘ ``` 一切均在本地运行。不会有任何数据外传。 ## 性能目标 | 指标 | 目标 | |---|---| | CPU 开销（空闲） | < 2% | | CPU 开销（主动扫描） | < 8% | | 内存占用 | < 30 MB | | 警报延迟 | < 3 秒 | | 安装时间 | < 60 秒 | ## 快速开始 ``` # 安装 Dr0na（Linux，使用 eBPF 需要 root） curl -sSL https://dr0na.io/install.sh | sudo bash # 启动 agent sudo dr0na start # 检查状态 dr0na status # 查看本地 alert log dr0na alerts # 查看 Dr0na 收集的关于您机器的所有信息 dr0na transparency # 导出完整的 telemetry dataset dr0na export --format json > my_data.json ``` ## 透明度保险库 运行 `dr0na transparency`，您将看到我们所看到的一切。每一个进程事件。每一次文件写入。每一个网络连接。AI 模型用于评估警报的每一个特征。每一条触发的规则及其原因。 这不是一项功能。这是一个承诺。您的数据归您所有。我们只是您的眼睛。 ## 警报格式 Dr0na 的每一个警报在在设计上都保证人类可读： ``` { "timestamp": "2026-05-18T14:32:01Z", "severity": "critical", "title": "Credential access — LSASS memory read", "mitre_tactic": "Credential Access", "mitre_technique": "T1003.001", "confidence": 0.94, "detection_method": ["sigma_rule:lsass_memory_read", "ai_anomaly_score"], "ai_reasoning": { "anomaly_score": 0.94, "top_features": ["unusual_parent_process", "lsass_handle_open", "no_av_process"] }, "process_tree": { "pid": 4821, "name": "rundll32.exe", "cmdline": "rundll32.exe comsvcs.dll MiniDump", "parent": "cmd.exe (pid 4190)", "grandparent": "explorer.exe (pid 2201)" }, "data_source": "ebpf_syscall", "raw_event_path": "~/.dr0na/events/2026-05-18/event_4821.json" } ``` ## 技术栈 | 组件 | 技术 | |---|---| | Agent 语言 | Go 1.22+ | | 内核传感器 | 通过 cilium/ebpf 实现的 eBPF | | 规则引擎 | go-yara + 自定义 Sigma 解析器 | | AI 推理 | ONNX Runtime（本地运行，无需 GPU） | | 模型类型 | Isolation Forest —— 基于进程行为训练 | | 本地存储 | SQLite + JSON 事件日志 | | 浏览器监控 | Chrome/Firefox 扩展（将在 v0.2 版本推出） | ## 路线图 - [x] 项目结构 + eBPF 传感器基础 - [ ] **v0.1 POC** —— 进程、文件、网络传感器 + YARA + Sigma + ONNX 模型 - [ ] **v0.2** —— 浏览器监控扩展 + 透明度保险库 UI - [ ] **v0.3** —— Windows agent（基于 ETW） - [ ] **v0.4** —— BPF-LSM 防篡改模式（在 root 权限被攻破后仍能存活） - [ ] **v0.5** —— 可选的 LLM 分析师层（Ollama + Phi-4-mini） - [ ] **v1.0** —— 稳定、生产就绪、单二进制文件安装 ## 为什么免费？为什么开源？ 因为印度二线城市的 200 张床位的医院不应该在购买药品和购买端点防护之间做出选择。 因为在肯尼亚运营捐赠平台的非政府组织（NGO）理应享有与财富 500 强公司同等的检测质量。 因为安全不应该是一种奢侈品。 Dr0na 现在是，而且永远会对个人、非政府组织（NGO）、学校、医院和小型组织免费。源代码是开放的，因此您可以验证我们做出的每一项声明。数据保留在本地，因此您永远不必信任我们——您可以自己检查。 ## 许可证 MIT 许可证 —— 免费使用、修改和分发。永远如此。 ## 带着使命感打造于印度班加罗尔。 ### 为了全世界。 *“最伟大的战士是那些无需被请求便主动保护他人的人。”*

标签：EDR, Golang, Homebrew安装, 人工智能安全, 反勒索软件, 合规性, 安全编程, 日志审计, 本地部署, 端点检测与响应, 脆弱性评估, 脱壳工具