nrobertson138-maker/Project-Aegis-Track

Aegis-Track：多节点分布式边缘检测与云审计架构 项目概述 Aegis-Track 是一个开源、超轻量级的 Python 自动化框架，专为在资源受限的端点上实时摄取、解析和评估 Linux 核心身份验证遥测数据而设计。 在企业环境中，在远程边缘部署处运行基于 Java 的重量级 SIEM 软件代理会引入重大技术风险——特别是资源枯竭、内存泄漏和高昂的计算基础设施成本。Aegis-Track 通过充当零依赖的本地入侵检测引擎来缓解此风险。该框架完全在 Python 标准库内运行，其执行内存占用低于 15 MB，同时强制实施安全控制可见性。 为了在异构企业基础设施中验证控制有效性，该项目已积极部署于一个**分布式物理硬件实验室环境**，该环境包含多代 CPU 和跨平台操作系统虚拟机管理程序。遥测数据被格式化为结构化 JSON 对象，直接映射到全球合规框架，并通过带外方式安全地流式传输至云日志库，确保审计跟踪的不可篡改性，以抵御权限提升攻击。 企业架构与数据管道 该框架将计算逻辑隔离在本地端点，同时建立自动化的云传输层，以将检测与集中式存储管理解耦： [ 裸金属节点 1 / 2 / 3 ] ──> 运行 Rocky Linux 9 虚拟化管理程序 │ ▼ （持续实时聚合 /var/log/secure 日志） [ Aegis-Track 执行引擎 ] │ ▼ （预编译正则表达式处理与滑动窗口评估） [ 触及风险阈值 ] ──> 触发自动化关键分诊钩子 │ ├──> [ 本地文件 ] 将 JSON 对象追加至本地备份 (aegis_alerts.json) │ └──> [ 带外 REST ] 签署 SigV4 载荷并通过 HTTPS TLS 流式传输 │ ▼ [ Amazon Web Services (AWS) S3 云存储库 ] 1. 摄取与动态解析：轻量级引擎建立一个低开销、无缓冲的流读取器，连接到系统身份验证子系统（/var/log/secure）。 2. 确定性安全分析：预编译的正则表达式系统性地识别高速异常模式（如 SSH 暴力破解活动或未经授权的本地权限提升）。滑动时间窗口数组准确地将持续性攻击与例行人工操作区分开来。 3. 不可篡改的带外云存储：为满足身份治理和审计验证标准（NIST SP 800-30 / FFIEC），遥测数据必须绕过本地威胁边界。一旦触发，脚本将执行一个异步原生 REST 连接，直接通过 HTTPS TLS 连接到外部 AWS S3 存储桶，在对手无法触及的范围内建立防篡改的审计存储库。 实验室部署与物理硬件概况 多节点架构模拟分布式分支机构部署模型，展示了在多样化的消费级和企业级硬件资产上的优化情况： 节点 1：边缘计算端点（基于 macOS） * 物理硬件：2019 款 MacBook Air（双核 Intel i5 | 8 GB LPDDR3） * 虚拟化管理层：运行 Rocky Linux 9 Core 的 Oracle VirtualBox * 资源配置：2 个 vCPU | 1.0 GB 内存分配 | 40 GB 存储 节点 2：专用遗留工作站节点（基于 Windows 10） * 物理硬件：HP ProDesk 400 G4 SFF（Intel i5-7500 CPU @ 3.40GHz | 8 GB RAM） * 虚拟化管理层：运行 Rocky Linux 9 Core 的 Oracle VirtualBox * 资源配置：2 个 vCPU | 2.0 GB 内存分配 | 40 GB 存储（HDD 支持） 节点 3：高吞吐量核心节点（基于 Windows 11） * 物理硬件：HP ProDesk 400 G5 MT（Intel i5-8500 CPU @ 3.00GHz | 8 GB RAM） * 虚拟化管理层：运行 Rocky Linux 9 Core 的 Oracle VirtualBox * 资源配置：2 个 vCPU | 2.0 GB 内存分配 | 40 GB 存储（SSD 支持） 脚本部署与本地执行 1. 独立执行（本地模式） 若要在未配置云转发凭据的情况下，在任意节点本地审计执行指标： sudo python3 aegis_track.py --local-only 2. 生产环境云架构执行 在启动生产引擎之前，请确保本地系统环境配置文件拥有编程式 IAM 权限（s3:PutObject）： sudo python3 aegis_track.py 项目验证遥测 （在此处粘贴来自您 3 个不同主机名的文本块或终端截图，显示脚本正在执行，以及您的 AWS S3 存储桶截图，显示文件输出已按 alerts/Node_Name/ 文件夹组织！） 作者与专业框架对齐 * 开发者：Nicholas Robertson * 专业认证：CompTIA CySA+ | CompTIA Linux+ | CompTIA Security+ | CompTIA Network+ | CompTIA A+ * 框架映射：NIST SP 800-30 风险评估、MITRE ATT&CK 框架 [关键干预] [2026-05-16 00:55:23] 目标：192.168.40.25 被标记为 SSH 暴力破解。 [关键干预] [2026-05-16 01:00:14] 目标：192.168.40.25 被标记为 SSH 暴力破解。

标签：Python自动化框架, 云传输, 云审计, 云日志管理, 企业安全解决方案, 入侵检测系统, 分布式监控系统, 合规性监控, 安全信息与事件管理, 安全控制可见性, 安全数据湖, 安全遥测, 实时日志分析, 开源安全工具, 搜索引擎爬取, 端点检测, 网络安全, 自动化安全响应, 认证日志处理, 资源受限环境, 轻量级软件, 边缘计算, 逆向工具, 逆向工程平台, 隐私保护