Sanchay0123/IDS-with-Quantum-Safe-Digital-Forensics

GitHub: Sanchay0123/IDS-with-Quantum-Safe-Digital-Forensics

SENTINEL_QS 是一款结合 YARA 规则、无监督机器学习与后量子密码学的多层入侵检测系统,解决现代 Linux 环境下高速网络威胁检测与取证日志防篡改问题。

Stars: 2 | Forks: 0

# SENTINEL_QS:量子安全混合入侵检测系统 ![SENTINEL_QS Dashboard] screen SENTINEL_QS 是一款为现代 Linux 环境设计的高速、多层次入侵检测系统 (IDS)。它将原生 C 编译的 YARA 规则的确定性与无监督机器学习和香农熵分析结合在一起。 为了保证威胁情报的完整性,每一个检测到的异常都使用后量子密码学 (ML-KEM 和 ML-DSA) 进行加密封存,从而确保取证日志拥有不可篡改的保管链。 ## 🚀 核心架构 该系统将原始网络流量通过零延迟的 Redis 队列路由到三层检测流水线中: * **第一层:确定性 C 引擎 (YARA)** * 将 1,500 多个 OSINT 新兴威胁 (ET) 特征编译为原生 C 矩阵,以实现线速的封包检测。 * 检测明确的 CVE(例如 Log4j JNDI 查找、路径遍历),实现零误报。 * **第二层:密码学异常检测** * 计算原始应用 payload 的香农熵。 * 标记指示加密数据外泄或混淆的 C2 信标的高熵字节流 (H > 7.5)。 * **第三层:无监督行为 ML** * 利用有状态的 `IsolationForest` 模型提取向量特征(大小、协议、TCP 标志、∆t)。 * 识别绕过静态特征检测的零日体量和时间异常。 ## 🔐 后量子取证 (PQC) 标准的日志记录机制很容易受到违规后篡改的影响。SENTINEL_QS 使用以下技术保护其 SQLite 取证数据库: * **ML-KEM (Kyber):** 封装 payload 数据。 * **ML-DSA (Dilithium):** 对确定性威胁信封进行签名,提供针对经典和量子密码学攻击的日志完整性数学证明。 ## ⚡ 技术栈 * **核心系统:** Python 3、Scapy (Raw Sockets)、Linux (原生 Arch/Ubuntu) * **数据流水线:** Redis (Pub/Sub & Atomic NX Deduplication)、SQLite3 * **安全与 ML:** `yara-python`、`scikit-learn` (Isolation Forest)、自定义 PQC 包装器 * **前端 UI:** FastAPI、WebSockets、TailwindCSS、Jinja2 ## 🛠️ 快速开始 **1. 克隆并设置环境** ``` git clone [https://github.com/yourusername/sentinel-qs.git](https://github.com/yourusername/sentinel-qs.git) cd sentinel-qs pip install -r requirements.txt ```
标签:Apex, IP 地址批量处理, YARA, 云资产可视化, 入侵检测系统, 后量子密码学, 安全数据湖, 搜索引擎查询, 数字取证, 机器学习, 网络安全, 自动化脚本, 逆向工具, 隐私保护