Sahilsharma-ss/NetSentinel
GitHub: Sahilsharma-ss/NetSentinel
NetSentinel 是一个结合数据包检查、规则检测和机器学习异常分析的实时网络入侵检测平台,用于监控网络流量、检测多类网络攻击并生成可操作的安全警报。
Stars: 0 | Forks: 0
# NetSentinel
## 实时网络威胁检测与分析平台
NetSentinel 是一个专注于网络安全的网络监控和入侵检测平台,旨在捕获实时网络流量、分析数据包行为、检测可疑活动,并实时生成可操作的安全警报。
该项目结合了数据包检查、攻击检测、威胁评分和安全分析,将其整合为一个统一的解决方案,旨在模拟现代入侵检测系统 (IDS) 和安全运营中心 (SOC) 平台的核心功能。
## 功能
### 实时数据包监控
* 使用 Scapy 捕获实时网络流量
* 监控源 IP 和目标 IP
* 追踪端口、协议、数据包大小和时间戳
### 威胁检测引擎
检测多种攻击模式,包括:
* 端口扫描
* SSH 暴力破解尝试
* 分布式拒绝服务攻击 (DDoS) 活动
* DNS 隧道
* 信标通信 / 命令与控制 (Command-and-Control) 通信
* 可疑流量模式
### 警报管理
* 实时警报生成
* 严重性分类
* 警报日志记录和存储
* 安全事件追踪
### 威胁情报集成
* 集成 AbuseIPDB
* 集成 AlienVault OTX
* 恶意 IP 信誉检查
### 安全分析
* 流量统计
* 攻击时间线
* 威胁评分
* 安全事件可视化
### 基于机器学习的检测
* Isolation Forest 异常检测
* 行为分析
* 检测未知威胁
## 项目架构
## 项目架构
```
NetSentinel
│
├── backend
│ │
│ ├── main.py
│ │
│ ├── config
│ │ └── setting.py
│ │
│ ├── capture
│ │ ├── __init__.py
│ │ └── sniffer.py
│ │
│ ├── detector
│ │ ├── __init__.py
│ │ ├── port_scan.py
│ │ ├── brute_force.py
│ │ ├── ddos.py
│ │ ├── dns_tunnel.py
│ │ └── beaconing.py
│ │
│ ├── database
│ │ ├── __init__.py
│ │ ├── db.py
│ │ ├── packet_store.py
│ │ └── alert_store.py
│ │
│ ├── services
│ │ ├── __init__.py
│ │ ├── alert_manager.py
│ │ ├── threat_score.py
│ │ └── threat_intel.py
│ │
│ ├── models
│ │ ├── __init__.py
│ │ ├── packet.py
│ │ └── alert.py
│ │
│ ├── utils
│ │ ├── logger.py
│ │ ├── helpers.py
│ │ └── time_window.py
│ │
│ └── api
│ ├── __init__.py
│ └── routes.py
│
├── frontend
│ ├── src
│ ├── public
│ └── package.json
│
├── pcaps
│ ├── attack_samples
│ └── test_traffic
│
├── logs
│ ├── alerts.log
│ └── system.log
│
├── docs
│ ├── architecture.md
│ └── setup.md
│
├── requirements.txt
├── README.md
├── Dockerfile
└── docker-compose.yml
```
## 技术栈
### 后端
* Python
* FastAPI
* Scapy
* PyShark
### 数据库
* SQLite
* PostgreSQL
### 机器学习
* Scikit-Learn
* Pandas
* NumPy
### 前端
* React
* Chart.js
### 部署
* Docker
* Linux (Kali/Ubuntu)
## 应用场景
* 网络安全监控
* 入侵检测
* 威胁狩猎
* 安全研究
* 网络安全教育
* 安全运营中心 (SOC) 模拟
## 检测工作流示例
1. 攻击者执行网络侦察。
2. NetSentinel 检测到异常的 SYN 活动。
3. 端口扫描检测器触发警报。
4. 警报管理器计算风险评分。
5. 事件被存储到数据库中。
6. 仪表板显示该事件。
7. 安全分析师对威胁进行调查。
## 未来增强功能
* 自动化 IP 封锁
* 威胁关联引擎
* 高级行为分析
* 恶意软件流量检测
* SIEM 集成
* 多主机监控
* 实时威胁情报源
* AI 驱动的安全建议
## 免责声明
NetSentinel 仅用于教育、研究和防御性安全目的。在监控网络流量时,用户有责任确保遵守适用的法律、法规和组织政策。
标签:IP 地址批量处理, Scapy, 入侵检测系统, 威胁情报, 安全告警, 安全数据湖, 对抗机器学习, 开发者工具, 插件系统, 流量监控, 测试用例, 网络安全, 请求拦截, 逆向工具, 隐私保护