Sanchay0123/IDS-with-Quantum-Safe-Digital-Forensics
GitHub: Sanchay0123/IDS-with-Quantum-Safe-Digital-Forensics
SENTINEL_QS 是一款结合 YARA 规则、无监督机器学习与后量子密码学的多层入侵检测系统,解决现代 Linux 环境下高速网络威胁检测与取证日志防篡改问题。
Stars: 2 | Forks: 0
# SENTINEL_QS:量子安全混合入侵检测系统
![SENTINEL_QS Dashboard]
SENTINEL_QS 是一款为现代 Linux 环境设计的高速、多层次入侵检测系统 (IDS)。它将原生 C 编译的 YARA 规则的确定性与无监督机器学习和香农熵分析结合在一起。
为了保证威胁情报的完整性,每一个检测到的异常都使用后量子密码学 (ML-KEM 和 ML-DSA) 进行加密封存,从而确保取证日志拥有不可篡改的保管链。
## 🚀 核心架构
该系统将原始网络流量通过零延迟的 Redis 队列路由到三层检测流水线中:
* **第一层:确定性 C 引擎 (YARA)**
* 将 1,500 多个 OSINT 新兴威胁 (ET) 特征编译为原生 C 矩阵,以实现线速的封包检测。
* 检测明确的 CVE(例如 Log4j JNDI 查找、路径遍历),实现零误报。
* **第二层:密码学异常检测**
* 计算原始应用 payload 的香农熵。
* 标记指示加密数据外泄或混淆的 C2 信标的高熵字节流 (H > 7.5)。
* **第三层:无监督行为 ML**
* 利用有状态的 `IsolationForest` 模型提取向量特征(大小、协议、TCP 标志、∆t)。
* 识别绕过静态特征检测的零日体量和时间异常。
## 🔐 后量子取证 (PQC)
标准的日志记录机制很容易受到违规后篡改的影响。SENTINEL_QS 使用以下技术保护其 SQLite 取证数据库:
* **ML-KEM (Kyber):** 封装 payload 数据。
* **ML-DSA (Dilithium):** 对确定性威胁信封进行签名,提供针对经典和量子密码学攻击的日志完整性数学证明。
## ⚡ 技术栈
* **核心系统:** Python 3、Scapy (Raw Sockets)、Linux (原生 Arch/Ubuntu)
* **数据流水线:** Redis (Pub/Sub & Atomic NX Deduplication)、SQLite3
* **安全与 ML:** `yara-python`、`scikit-learn` (Isolation Forest)、自定义 PQC 包装器
* **前端 UI:** FastAPI、WebSockets、TailwindCSS、Jinja2
## 🛠️ 快速开始
**1. 克隆并设置环境**
```
git clone [https://github.com/yourusername/sentinel-qs.git](https://github.com/yourusername/sentinel-qs.git)
cd sentinel-qs
pip install -r requirements.txt
```
SENTINEL_QS 是一款为现代 Linux 环境设计的高速、多层次入侵检测系统 (IDS)。它将原生 C 编译的 YARA 规则的确定性与无监督机器学习和香农熵分析结合在一起。
为了保证威胁情报的完整性,每一个检测到的异常都使用后量子密码学 (ML-KEM 和 ML-DSA) 进行加密封存,从而确保取证日志拥有不可篡改的保管链。
## 🚀 核心架构
该系统将原始网络流量通过零延迟的 Redis 队列路由到三层检测流水线中:
* **第一层:确定性 C 引擎 (YARA)**
* 将 1,500 多个 OSINT 新兴威胁 (ET) 特征编译为原生 C 矩阵,以实现线速的封包检测。
* 检测明确的 CVE(例如 Log4j JNDI 查找、路径遍历),实现零误报。
* **第二层:密码学异常检测**
* 计算原始应用 payload 的香农熵。
* 标记指示加密数据外泄或混淆的 C2 信标的高熵字节流 (H > 7.5)。
* **第三层:无监督行为 ML**
* 利用有状态的 `IsolationForest` 模型提取向量特征(大小、协议、TCP 标志、∆t)。
* 识别绕过静态特征检测的零日体量和时间异常。
## 🔐 后量子取证 (PQC)
标准的日志记录机制很容易受到违规后篡改的影响。SENTINEL_QS 使用以下技术保护其 SQLite 取证数据库:
* **ML-KEM (Kyber):** 封装 payload 数据。
* **ML-DSA (Dilithium):** 对确定性威胁信封进行签名,提供针对经典和量子密码学攻击的日志完整性数学证明。
## ⚡ 技术栈
* **核心系统:** Python 3、Scapy (Raw Sockets)、Linux (原生 Arch/Ubuntu)
* **数据流水线:** Redis (Pub/Sub & Atomic NX Deduplication)、SQLite3
* **安全与 ML:** `yara-python`、`scikit-learn` (Isolation Forest)、自定义 PQC 包装器
* **前端 UI:** FastAPI、WebSockets、TailwindCSS、Jinja2
## 🛠️ 快速开始
**1. 克隆并设置环境**
```
git clone [https://github.com/yourusername/sentinel-qs.git](https://github.com/yourusername/sentinel-qs.git)
cd sentinel-qs
pip install -r requirements.txt
```
标签:Apex, IP 地址批量处理, YARA, 云资产可视化, 入侵检测系统, 后量子密码学, 安全数据湖, 搜索引擎查询, 数字取证, 机器学习, 网络安全, 自动化脚本, 逆向工具, 隐私保护