srujal-patil/EntropyShield

# EntropyShield：AI驱动的反勒索软件原型 ## 概述 EntropyShield是一个概念性的新一代反病毒（NGAV）和终端检测与响应（EDR）原型系统。它依赖行为机器学习而非过时的病毒特征库，以实现勒索软件的实时检测与清除。 本项目从零开始在Google Colab中构建，旨在模拟现代网络安全防御流水线的完整架构。 ## 系统架构 * **第一阶段：实时文件I/O监控哨兵** 利用`watchdog`库监视本地目录。它拦截文件修改操作，并实时计算二进制载荷的香农熵以检测加密行为模式。 * **第二阶段：行为特征流水线** 使用`pandas`将原始系统日志聚合为滑动时间序列窗口，追踪文件修改频率与平均熵值变化，从而区分正常用户行为与批量加密循环。 * **第三阶段：Scikit-Learn分类器（AI核心）** 基于合成数据训练的Scikit-Learn随机森林模型。通过高级特征工程（进程谱系与魔数变更）消除误报（例如用户压缩文件夹的情况）。 * **第四阶段：防御响应守护进程** 自动化响应循环，模拟使用`psutil`和`subprocess`库在毫秒内定位并终止恶意进程ID（PID）。 ## 技术能力展示 - Python系统编程 - 机器学习（`scikit-learn`） - 数据聚合（`pandas`、`numpy`） - 操作系统进程管理模拟 ## 🚀 未来路线图：内核级集成 当前第一阶段实现采用用户空间（`Ring 3`）的监控哨兵。未来计划升级为将文件系统监控直接迁移至操作系统内核（`Ring 0`），以防止高级恶意软件篡改安全守护进程。 **计划中的架构升级：** * **eBPF（扩展伯克利数据包过滤器）：** 通过Python的`bcc`库在专用Linux环境中部署基于C的内核探针，钩入`vfs_write`系统调用。 * **进程ID追踪：** 这将使流水线能够明确地将高熵文件修改关联到具体的可执行文件名和PID，为AI模型在触发主动响应前提供完美上下文。 ## 注意事项 *这是为教育目的在Google Colab中构建的模拟环境。*

标签：AI驱动安全, Apex, Docker镜像, Python编程, 下一代杀毒软件, 内核级安全, 反勒索软件, 子域名枚举, 安全原型, 技术演示, 数据聚合, 文件监控, 机器学习, 熵计算, 特征工程, 端点检测与响应, 系统安全, 网络安全, 脱壳工具, 自动化响应, 行为反恶意软件, 进程终止, 逆向工具, 隐私保护