aswath00/KEEG
GitHub: aswath00/KEEG
KEEG 是一个基于熵动力学和运行时行为分析的恶意软件检测框架,无需签名即可识别加密载荷执行和内存注入等异常。
Stars: 0 | Forks: 0
# KEEG
## 动力学熵执行门控
# 概述
KEEG 是一个基于数学的运行时行为安全框架,旨在通过熵动力学而非传统恶意软件签名来检测恶意进程活动。
与依赖静态指标和已知威胁数据库的传统防病毒系统不同,KEEG 通过以下方式持续分析运行时进程行为:
- Shannon 熵动力学
- 熵相移检测 (EPSD)
- 滑动窗口熵分析
- 进程血缘关联
- RWX 可执行内存检测
- 复合多信号威胁关联
KEEG 专注于识别与以下相关的 *行为异常*:
- 加密载荷执行
- 无文件恶意软件
- 内存解包
- Shellcode 注入
- 进程空洞
- 运行时解密活动
- 可疑的父子进程链
# 核心研究概念
传统检测系统询问:
KEEG 询问:
该框架引入了一个行为原语,称为:
# EPSD - 熵相移检测
EPSD 监控随时间变化的熵,而非依赖静态熵快照。
突然的熵相移通常表明:
- 载荷解包
- 运行时解密
- 加密 shellcode 激活
- 内存注入
这使得能够检测签名引擎无法识别的行为。
# 检测流水线
```
Process Enumeration
↓
Memory Sampling
↓
Shannon Entropy Analysis
↓
EPSD Kinetic Analysis
↓
Sliding Window Analysis
↓
RWX Memory Inspection
↓
Process Lineage Correlation
↓
Compound Threat Scoring
↓
ALLOW / WARN / FLAG
```
# 功能
## 运行时行为检测
- 实时进程监控
- 数学熵分析
- 运行时内存检查
- 熵动力学追踪
## EPSD 引擎
- 熵差值计算
- 速度分析
- 加速度分析
- 相移识别
- 慢趋势检测
## 滑动窗口熵分析
- 256 字节分段熵分析
- 检测熵填充规避
- 识别隐藏的加密载荷
## 进程血缘关联
检测可疑的祖先链,例如:
```
winword.exe → powershell.exe
acrobat.exe → bash
firefox.exe → cmd.exe
excel.exe → powershell.exe
```
## RWX 内存检测
- 检测可执行可写内存区域
- 识别 shellcode 注入指标
- JIT 感知抑制系统
## 复合威胁关联
关联:
- EPSD 峰值
- RWX 内存
- 血缘异常
- 网络行为
威胁置信等级:
- NONE(无)
- LOW(低)
- MEDIUM(中)
- HIGH(高)
- CRITICAL(严重)
## SOC 风格仪表盘
包括:
- 熵热力图
- 风险分布
- 威胁告警
- 进程图
- 攻击时间线
- 系统日志
- 熵监视器
## 报告引擎
导出:
- JSON
- CSV
- 可读的调查报告
支持 SIEM 兼容的遥测输出。
# 仪表盘模块
| 模块 | 用途 |
|-----------------|---------------------------------------|
| 仪表盘 | 系统级安全概览 |
| 进程 | 可排序的运行时进程分析 |
| 熵监视器 | EPSD 时间线和动力学 |
| 威胁告警 | 实时安全事件 |
| 进程图 | 父子进程拓扑 |
| 攻击时间线 | 按时间顺序的取证重建 |
| 系统日志 | 原始遥测流 |
| 设置 | 检测阈值和权重 |
# 技术栈
| 组件 | 技术 |
|--------------------|-------------|
| 语言 | Python 3 |
| 后端 | Flask |
| 进程检查 | psutil |
| 前端图表 | Chart.js |
| 仪表盘 | HTML/CSS/JS |
| 报告 | JSON / CSV |
# 安装
## 克隆仓库
```
git clone https://github.com/aswath00/KEEG.git
cd KEEG
```
## 安装依赖
```
pip install -r requirements.txt
```
# 使用
## 默认扫描
```
python3 keeg_v3.1.py
```
## 单次扫描
```
python3 keeg_v3.1.py --scan
```
## 持续监控
```
python3 keeg_v3.1.py --monitor
```
## 仪表盘模式
```
python3 keeg_v3.1.py --monitor --dashboard
```
打开:
```
http://localhost:5000
```
# 演示模式
## 熵演示
```
python3 keeg_v3.1.py --demo
```
展示:
- 熵参考值
- EPSD 行为
- 填充攻击防御
- 检测对比
## 威胁模拟
```
python3 keeg_v3.1.py --simulate
```
模拟:
- 熵峰值
- 载荷解密
- RWX 内存注入
- 血缘异常
- 复合升级
适用于:
- 演示
- 研究展示
- 答辩演示
# 检测信号
| 信号 | 含义 |
|--------|------------------------------|
| EPSD | 检测到熵相移 |
| LIN | 可疑的血缘链 |
| RWX | 可执行可写内存 |
| WIN | 滑动窗口异常 |
| NET | 活跃的网络活动 |
# 门控判决
| 判决 | 含义 |
|---------|------------------------------|
| ALLOW | 正常的运行时行为 |
| WARN | 可疑活动升级 |
| FLAG | 活跃威胁指示器 |
# 示例威胁逻辑
```
EPSD Spike + RWX + Lineage
↓
CRITICAL Threat
↓
FLAG
```
# 研究重点
KEEG 探索:
- 熵动力学
- 运行时恶意软件行为
- 行为检测原语
- 无文件恶意软件分析
- 内存驻留攻击检测
- 进程行为分析
- 运行时异常检测
# 性能
- 轻量级架构
- 无云依赖
- 无内核驱动
- 支持离线运行
- 低 CPU 占用
- 最小内存占用
# 支持平台
| 操作系统 | 支持 |
|---------|---------|
| Linux | 是 |
| Windows | 是 |
| macOS | 是 |
# 当前限制
- 周期性扫描架构
- 快速瞬态进程可能规避扫描间隔
- 仅用户态可见
- 不能替代企业级 EDR
# 未来路线图
- 事件驱动监控
- 内核辅助遥测
- 多端点聚合
- 分布式策略管理
- 机器学习辅助基线化
- 威胁情报集成
- 实时远程监控
- SIEM 连接器
# 项目结构
```
KEEG/
├── keeg_log.json
├── screenshots/
├── keeg_v3.1.py
├── requirements.txt
├── README.md
├── LICENSE
└── .gitignore
```
# 截图
## 仪表盘
## 熵监视器
## 进程图
## 威胁告警
威胁告警](screenshots/threat_alerts_tab.png)
# 安全声明
KEEG 是一个面向研究的行为分析框架,适用于:
- 教学
- 运行时分析
- 恶意软件研究
- 安全实验
- 学术研究
其目的并非替代企业级端点防护系统。
# 作者
Ash
MCA 毕业设计项目
网络安全领域
# 许可证
MIT 许可证
# 关键词
网络安全,熵分析,恶意软件分析,行为分析,运行时安全,进程监控,无文件恶意软件,内存分析,EPSD,威胁检测,EDR,蓝队,SOC,信息安全
标签:EPSD, OpenCanary, Python, Qt, RWX内存检测, Shellcode注入, 内存解包, 多模态安全, 实时检测, 数学方法, 数据可视化, 文件无文件恶意软件, 无后门, 滑动窗口分析, 熵检测, 相位偏移, 研究原型, 网络安全, 运行时解密, 进程血缘分析, 进程镂空, 逆向工具, 隐私保护, 香农熵