MANISH-524/GANGLION-OOB

GitHub: MANISH-524/GANGLION-OOB

一个带外自愈式 SOC 与蓝队平台,通过确定性决策引擎在毫秒级检测威胁、隔离受感染主机并将工作负载故障转移到热备节点,从而在攻击发生时保持业务持续运行。

Stars: 1 | Forks: 0


# 🛡️ GANGLION‑OOB ### 带外网络弹性 — 勒索软件无法摧毁它无法触及的目标。 **一个自动化优先的 SOC + 蓝队平台,能够在毫秒级检测现代攻击,在网络层隔离受感染的主机,并将工作负载故障转移到热备节点 —— 从而在人类进行决定性工作的同时,保持业务持续运行。** **版本 3.1.1** · 发布于 2026‑07‑07 · 状态:稳定 · Python 3.10+ · Linux / Windows / macOS *(曾以 VANGUARD‑OOB 名称发布 — 现已更名为 Ganglion‑OOB。旧链接将自动重定向。)* [![Version](https://img.shields.io/badge/version-3.1.1-2ea043?style=flat-square)](CHANGELOG.md) [![Python](https://img.shields.io/badge/Python-3.10+-3776ab?style=flat-square&logo=python&logoColor=white)](https://www.python.org/) [![Channel](https://img.shields.io/badge/Channel-AES--256--GCM-00b4d8?style=flat-square&logo=letsencrypt&logoColor=white)](common/secure_channel.py) [![MITRE ATT&CK](https://img.shields.io/badge/MITRE-28%20techniques%20mapped-ff6b35?style=flat-square)](common/mitre_attack.py) [![Sigma](https://img.shields.io/badge/Sigma-16%20rules-9d6cff?style=flat-square)](blue_team/sigma_engine/rules/) [![Perimeter](https://img.shields.io/badge/IDS%2FIPS%2FWAF%2FFW-built--in-ff6b35?style=flat-square)](blue_team/) [![Self-Healing](https://img.shields.io/badge/Self--Healing-nervous%20system-9d6cff?style=flat-square)](SELF_HEALING.md) [![Decisions](https://img.shields.io/badge/Decision%20Engine-deterministic%20·%20no%20ML-00b4d8?style=flat-square)](decision_engine/) [![No eval](https://img.shields.io/badge/rule%20eval-no%20eval()%20·%20safe%20parser-22c55e?style=flat-square)](common/safe_eval.py) [![Verify](https://img.shields.io/badge/verify.py-44%2F44-22c55e?style=flat-square)](verify.py) [![Tests](https://img.shields.io/badge/pytest-64%20passing-22c55e?style=flat-square&logo=pytest&logoColor=white)](tests/) [![Replay](https://img.shields.io/badge/attack__replay-14%2F14%20·%200%20FP-22c55e?style=flat-square)](attack_replay.py) [![RTO](https://img.shields.io/badge/Failover%20RTO-~0.8s%20(simulated)-00c8e8?style=flat-square)](host_control_plane/failover_orchestrator.py) [![Platform](https://img.shields.io/badge/Linux%20·%20Windows%20·%20macOS-0078d4?style=flat-square)](#-installation--running-linux-windows-macos) [![License](https://img.shields.io/badge/License-MIT-22c55e?style=flat-square)](LICENSE)
``` git clone https://github.com/MANISH-524/GANGLION.git && cd GANGLION pip install -r requirements.txt python3 demo.py # watch a full ransomware kill-chain get defeated end-to-end ``` ## ▶️ 观看运行示例 ![Ganglion-OOB demo](https://static.pigsec.cn/wp-content/uploads/repos/cas/77/772e56ef4116b3acaa72ce8902c967e8cf62e38ea7afad8ac4ff5a9cc40b58d3.gif) `demo.py` 的完整录制 —— 勒索软件攻击链在约 0.8 秒内被端到端挫败 —— 位于 [`media/demo.cast`](media/demo.cast) (asciinema v2)。 ``` # 在你的 terminal 中运行它: asciinema play media/demo.cast # 或者将其转换为 GIF 用于 README / 帖子: agg media/demo.cast media/demo.gif # https://github.com/asciinema/agg ``` ## 🧭 理念 — 放弃 10% 以节省 90% 在网络安全领域,**没有任何代码、AI、WAF 或 IDS/IPS 能取代人类** —— 攻击是由人发起的,阻止它们也需要人。Ganglion‑OOB 的构建初衷是**与团队合作,而不是替代团队**:它负责检测、遏制、争取时间,并为分析师提供一张清晰的、映射了 ATT&CK 的全貌,由他们做出决断。自动化负责毫秒级的条件反射;而人类负责做出判断。 ## ⚖️ 真实与模拟(请先阅读本节 — 完全诚实) 本仓库是一个**可用的参考实现**。检测逻辑、认证通道、评分、关联分析、SOC 工作流和蓝队工具**目前都是真实且可运行的**。涉及物理基础设施的部分则以**明确标记的适配器**形式提供,您可以将其指向您自己的环境。 | 能力 | 状态 | 备注 | |---|---|---| | 认证遥测 (AES‑256‑GCM,重放 + 欺骗保护) | ✅ **真实** | `common/secure_channel.py`,由 `verify.py` 验证 | | 检测引擎 (Sigma + 评分 + ATT&CK 映射) | ✅ **真实** | 16 条规则,28 项技术,`verify.py` + `attack_replay.py` | | SOC 告警工作流 (队列、生命周期、MTTD/FP 指标) | ✅ **真实** | `blue_team/alert_correlator/` | | 主机网络隔离 (iptables/nftables/netsh/pf) | ✅ **真实,默认 dry-run** | `host_control_plane/containment.py` — 传递 `--live` 参数应用 | | 21 款工具的蓝队套件 | ✅ **真实** (深度各异 — 见套件表) | 部分工具针对特定用途,少数标记为*实验性* | | Hypervisor 隔离 / 快照回滚 | ✅ **真实 (KVM) + 适配器** | `libvirt_backend.py` 可在 KVM/QEMU 上执行真实的网卡断开 / 内存转储 / 快照恢复(默认 dry-run);`hypervisor_api.py` 封装了 VBox 和 Proxmox | | 热备故障转移 | ✅ **提供真实适配器** | `host_control_plane/libvirt_backend.py` (`LibvirtFailoverBackend`) 通过 libvirt/virsh 驱动真实的 KVM/QEMU 启动/停止 + 网卡断开,默认为 dry-run。`SimulatedBackend` 仍保留用于零基础设施演示;`~0.8s` 的 RTO 是**模拟**的时间线,并非生产环境的基准测试结果 | | 针对每项技术的客户机触发器 | 🚧 **部分实现** | Agent 目前触发文件系统/进程/socket/加密事件;LSASS、PowerShell、驱动加载、云等已作为**检测内容**进行验证,并已列入触发器开发路线图 | ## 🧠 为什么选择带外 任何运行在操作系统**内部**的安全工具都有一个致命缺陷:拥有管理员权限的恶意软件可以将其关闭。勒索软件的套路正是如此 —— *杀掉 Agent,删除备份,加密一切。* 即使受感染的机器**被**隔离了,工作负载也会停止,因此业务无论如何都要承受全面停机。
#### ❌ 传统的基于主机的 EDR - 运行在 VM **内部** → 可能被提权的恶意软件终止 - 在加密进行*时*检测到勒索软件 - 隔离受害者 → **工作负载停止,业务中断** - 以只有它自己能看懂的供应商格式发出告警 - “相信我,它能行” — 毫无证据 #### ✅ Ganglion‑OOB - 控制平面运行在 VM **外部** → 恶意软件无法触及 - **加密激增检测器**在批量加密开始时即可捕获 - 隔离**并执行故障转移** → **工作负载持续运行** - 每一条告警都映射到 **MITRE ATT&CK** + **Sigma** - **已被证明** — 44 项检查,14/14 重放,测得 MTTD,0 FP
## 🏗️ 架构 — 三个隔离的信任平面 ``` ┌──────────────────────────────────────────────────┐ GUEST VM (untrusted) │ HOST CONTROL PLANE │ ┌───────────────────────┐ │ ┌─────────────────────────────────────────┐ | │ Sentry Agent │──┼────▶ │ SecureReceiver → Correlation / Scoring │ │ │ (sender-only, │ AES │ │ Sigma engine · ATT&CK map · SOC queue │ │ │ zero listen ports) │ GCM │ └───────────────────┬─────────────────────┘ │ └───────────────────────┘ │ │ threat score ≥ threshold │ authenticated, │ ▼ │ replay-protected │ ┌───────────────────────────────────────────┐ │ │ │ RESPONSE │ │ │ │ • host containment (iptables/nftables/ │ │ │ │ netsh/pf) ← real, dry-run by default │ │ │ │ • hypervisor isolate/dump/rollback │ │ │ │ (VBox/Proxmox adapter) │ │ │ │ • warm-standby failover (RTO timeline) │ │ │ └───────────────────────────────────────────┘ │ └──────────────────────────────────────────────────┘ │ ┌───────────────────────────┴───────────────────────────┐ ▼ ▼ WARM STANDBY (promoted → ACTIVE) INFECTED VM (cured → rejoins as standby) ``` - **Guest VM** 运行 `guest_production_vm/sentry_agent.py` — 一个具有**零监听端口**的*只发送*遥测 daemon。它监控文件、进程和 socket,并源源不断地发送经过认证的事件。 - **Host Control Plane** 运行 `host_control_plane/control_center.py` — 接收经过认证的遥测数据,在**服务端评估威胁(绝不信任 Agent 自报的分数)**,匹配 Sigma 规则,驱动 SOC 队列,并触发响应。 - **响应执行器** — 网络隔离(真实)、Hypervisor IR(适配器)、故障转移(模拟后端 + 真实的编排逻辑)。 ## 🦠 勒索软件攻击链 (`demo.py` 展示的内容) ``` ┌──────────────────────────────────────────────────────────────┐ │ 1. BLOCK host NIC drop in milliseconds (cut C2/exfil) │ │ 2. ISOLATE move VM to quarantine VLAN (hypervisor adapter) │ │ 3. DUMP capture RAM → forensics_archive/ │ │ 4. FAILOVER promote warm STANDBY → ACTIVE, redirect VIP │ │ ►►► WORKLOAD KEEPS RUNNING (RTO ~0.8s sim) │ │ 5. RESTORE rollback infected disk to a clean golden image │ │ 6. REJOIN cured VM returns as the new STANDBY (self-heal) │ └──────────────────────────────────────────────────────────────┘ ``` ## 🎯 检测内容 (28 项 ATT&CK 技术 · 16 条 Sigma 规则) 与主导 2024–2026 年安全事件的技术保持一致:身份/凭证窃取、无文件执行、RMM 滥用、BYOVD、Hypervisor 勒索软件和双重勒索数据窃取。 | ATT&CK | 技术 | 战术 | Ganglion 信号 | |---|---|---|---| | T1486 | Data Encrypted for Impact | Impact | 相比基线的加密激增 ≥3σ | | T1486 | ESXi/hypervisor datastore encryption | Impact | 大批 `.vmdk/.vmx` 写入 | | T1490 | Inhibit System Recovery | Impact | `vssadmin`/备份破坏 | | T1496 | Resource Hijacking | Impact | 异常的加密/CPU | | T1003.001 | LSASS Credential Dumping | Credential Access | LSASS 内存访问 | | T1558.003 | Kerberoasting | Credential Access | SPN TGS 请求突发 | | T1621 | MFA Fatigue / Push Bombing | Credential Access | 重复的推送批准 | | T1110 | Brute Force | Credential Access | 认证失败喷射 | | T1059.001 | Encoded / Obfuscated PowerShell | Execution | `-enc`,下载触发器 | | T1027 | Obfuscated Files or Information | Defense Evasion | base64/压缩的 payload | | T1059 | Command & Scripting Interpreter | Execution | shell 生成 | | T1218 | LOLBin Proxy Execution | Defense Evasion | rundll32/mshta/regsvr32 | | T1562.001 | Impair Defenses / agent kill | Defense Evasion | 心跳静默 | | T1036.005 | Masquerading exec path | Defense Evasion | 从 `/tmp`、temp 执行 | | T1068 | BYOVD kernel driver load | Privilege Escalation | 已知存在漏洞的驱动 | | T1505.003 | Web Shell | Persistence | Web server 生成 shell | | T1053 | Scheduled Task/Job | Persistence | 添加 cron/schtasks | | T1546.003 | WMI Event Subscription | Persistence | 无文件 WMI 消费者 | | T1136 | Create Account | Persistence | 新建特权账户 | | T1219 | Remote Access Software (RMM) | C2 | AnyDesk/ScreenConnect 等 | | T1071 / T1571 | C2 app‑layer / non‑standard port | C2 | 意外的出站流量 | | T1560 | Archive Collected Data | Collection | rar/7z 整理 | | T1567.002 | Exfil to Cloud Storage | Exfiltration | rclone/MEGA/S3 大量数据传出 | | T1078.004 | Valid Cloud Accounts | Defense Evasion | 不可能完成的旅行 / 异常登录 | | T1021 | Remote Services (lateral) | Lateral Movement | RDP/SSH/SMB 传播 | ## 🧠 自愈 — 神经系统模型 Ganglion 的“检测→响应→恢复”闭环是以**人类神经系统**为模型的,因为生物学已经解决了弹性问题:感知损伤、在大脑之前*先*在反射层面做出反应、升级到大脑进行判断,并持续恢复至健康的基准线(稳态)。完整论述见 **[SELF_HEALING.md](SELF_HEALING.md)**。关于绑定到实际代码路径的完整事件生命周期(检测→停止→保存→备份→自愈→恢复),请参见 **[HOW_IT_WORKS.md](HOW_IT_WORKS.md)**。 | 生物学 | Ganglion | |---|---| | 感受器 | `sentry_agent`、`ids_engine`、`waf_engine`、蓝队工具 | | 传入神经 | 经过认证的遥测 (`secure_channel`) | | **脊髓反射弧** | `self_healing/reflex_arc.py` — 确定性条件下的毫秒级遏制 | | 大脑 / 中枢神经系统 | `control_center` + `self_healing/nervous_system.py` (强类型信号总线) | | 效应器 | 隔离 · 防火墙 · 故障转移 · 自愈 | | **稳态** | `self_healing/health_monitor.py` (HEALTHY→DEGRADED→UNHEALTHY→DEAD) | | **愈合 / 修复** | `self_healing/healing_orchestrator.py` (期望状态对账 + 熔断器 + playbook) | 自愈算法:**期望状态对账**(幂等控制循环)、**熔断器**(熔断打开→半开→关闭以阻止级联故障),以及**修复 playbook**(带有指数退避 + 抖动,会**升级交由人工处理**而不是无限循环 —— 这就是代码中体现的 90/10 哲学)。 ``` PYTHONPATH=. python3 -m self_healing.runtime # full loop, dry-run safe ``` ## 🧭 确定性决策引擎(设计上不使用 AI) 所有人都在将 LLM 硬塞进 SOC。Ganglion 却反其道而行之:它使用一个**透明的、基于规则的决策引擎** (`decision_engine/`) 来选择响应方式 —— MONITOR / ALERT / CONTAIN / FAILOVER / HEAL / ESCALATE —— 并且通过列出触发的确切规则及其权重来**解释每一个决策**。不需要模型,不需要训练数据,也不存在概率漂移。 -**进行严格的安全闸门检查**(例如发生批量加密 ⇒ 必定 CONTAIN,不可被其他选项否决)。 - **加权规则**向每个候选动作累加积分;总分最高者胜出(这是一种记分卡,而不是神经网络)。 - 当优势微弱或情况不可逆/属于未知情况时,**升级交由人工处理** —— 这是 90/10 哲学的具体代码实现。 ``` PYTHONPATH=. python3 decision_engine/decision_engine.py # see it reason, with explanations ``` **已接入实时控制平面:** 每一个处理过的事件现在都会产生一条存储的、可解释的决策(判决结果 + 触发的规则 + 权重),并显示在每个 VM 的状态面板上 —— 从而让操作员看到采取某项行动的*原因*,而不仅仅是知道发生了行动。 为什么这是一次与众不同的押注:在安全领域,**可解释性是一项功能****。**一个你能逐行阅读、测试和辩护的确定性决策,胜过一个你只能盲目信任的黑盒答案。 ## 🧱 边界防御 (IDS / IPS / WAF / Firewall — 内置) 配置驱动的引擎,可插入同样的评分 + ATT&CK + 响应流水线。Firewall/WAF 的行为是*针对您环境的配置*;而检测逻辑和执行连接机制则是 Ganglion 原生自有的。 | 引擎 | 检测内容 | ATT&CK | 执行 | |---|---|---|---| | **WAF** (`waf_engine`) | SQLi, XSS, 路径遍历, RCE, SSRF, JNDI/Log4Shell, 扫描器 | T1190 / T1595 | BLOCK 判决 (累加异常评分) | | **IDS/IPS** (`ids_engine`) | 已知的恶意 IP、C2 端口、端口扫描、主机扫描、暴力破解、低频抖动 beacon | T1046 / T1071 / T1571 / T1110 | 内联 ALLOW/DROP/RESET | | **Firewall** (`firewall`) | 首匹配获胜,默认拒绝策略 | — | 编译为真实的 OS 后端 (iptables/nftables/netsh/pf),默认 dry-run | ``` python3 blue_team/ganglion.py run waf_engine --test python3 blue_team/ganglion.py run ids_engine --test python3 blue_team/ganglion.py run firewall --test ``` ## 🛡️ 预防 / 执行的操作 - **即时网络隔离** — 在获取高置信度信号(加密激增、LSASS 转储、ESXi 加密)时,控制平面会在防火墙层 (`iptables`/`nftables`/`netsh`/`pf`) 硬性阻断主机,以便在全面隔离**之前**切断 C2 和数据窃取。默认处于 dry-run 模式;保留一个可达的管理 CIDR,确保您永远不会将自己锁定在外;每一条规则都可以通过 `lift()` 撤销。 - **业务连续性故障转移** — 提升一台热备节点,使工作负载在安全事件中存活下来,随后治愈受感染的节点,并将其作为新的备用节点重新加入(自愈)。 - **防篡改遥测** — 采用 AES‑256‑GCM 认证的数据帧、基于每个 Agent 的 HKDF 密钥、重放窗口以及身份绑定:伪造、重放或欺骗的数据帧都会被拒绝。 - **服务端评分** — 控制平面自行计算每一项威胁评分;受到破坏的 Agent 无法通过巧言令色获取低分。 - **完整的 SOC 工作流** — 告警队列支持 Open → Ack → Escalate → Close/False‑Positive(打开 → 确认 → 升级 → 关闭/误报)、分配任务、备注,以及实时 MTTD / FP 率 / 数量指标。 ## ⚙️ 安装与运行 (Linux, Windows, macOS) **要求:** Python 3.10+ 和 pip。所有内容均以 dry-run/模拟模式运行,无需特殊权限 — 非常适合用于演示、实验环境和 CI。 ### Linux / macOS ``` git clone https://github.com/MANISH-524/GANGLION.git && cd GANGLION python3 -m venv .venv && source .venv/bin/activate pip install -r requirements.txt python3 demo.py # full attack→defense story python3 verify.py # 44 correctness checks python3 attack_replay.py # ATT&CK coverage + MTTD + FP-rate pytest -q # unit tests ``` 可选的真实网络隔离(需要 root 权限;**请先预览命令**): ``` python3 host_control_plane/containment.py # dry-run, prints exact rules sudo python3 host_control_plane/containment.py --live --mgmt-allow 10.0.0.0/24 sudo python3 host_control_plane/containment.py --lift # remove the rules ``` 便捷安装程序 + systemd 单元: ``` ./install_linux_mac.sh # services: guest_production_vm/ganglion-sentry.service, host_control_plane/ganglion-control.service ``` ### Windows (PowerShell) ``` git clone https://github.com/MANISH-524/GANGLION.git; cd GANGLION py -3 -m venv .venv; .\.venv\Scripts\Activate.ps1 pip install -r requirements.txt py demo.py py verify.py py attack_replay.py pytest -q ``` 在 Windows 上进行真实隔离使用的是 `netsh advfirewall`(以管理员身份运行,请先预览): ``` py host_control_plane\containment.py --force netsh # dry-run py host_control_plane\containment.py --force netsh --live # applies block rules ``` 或者使用 `install_windows.bat`。 ### 生产环境强化(在进行任何真实部署之前) ``` export GANGLION_MASTER_KEY=$(python3 -c "import os;print(os.urandom(32).hex())") # never ship the dev key export GANGLION_API_TOKEN=$(python3 -c "import secrets;print(secrets.token_urlsafe(24))") python3 host_control_plane/control_center.py --api-token "$GANGLION_API_TOKEN" --allow-ips 10.0.0.0/24 ``` ## 🧰 蓝队套件 (24 款工具,一个 CLI) 通过 `python3 blue_team/ganglion.py ` 运行任意工具。工具深度绝对诚实:专注型工具能做好一件事;少数标记为*实验性*。 `threat_intel` · `threat_hunter` · `ioc_hunter` · `yara_engine` · `sigma_engine` · `log_analyzer` · `packet_inspector` · `dns_analyzer` · `network_mapper` · `memory_forensics` · `file_integrity` · `behavioral_engine` (UEBA) · `credential_monitor` · `lateral_movement_detector` · `config_auditor` · `vuln_scanner` · `deception_engine` · `honeypot_manager` · `alert_correlator` · `timeline_builder` · `reporting_engine` · `soc_dashboard` · `waf_engine` · `ids_engine` · `firewall` ## 📁 仓库结构 ``` GANGLION/ ├── demo.py # one-command end-to-end story ├── verify.py # 44 correctness assertions ├── attack_replay.py # ATT&CK coverage + MTTD + FP-rate ├── common/ │ ├── secure_channel.py # AES-256-GCM authenticated telemetry (real) │ └── mitre_attack.py # 28-technique catalog + event→technique map ├── guest_production_vm/ │ ├── sentry_agent.py # sender-only guest telemetry daemon │ └── ganglion-sentry.service # systemd unit ├── host_control_plane/ │ ├── control_center.py # receiver, scoring, correlation, SOC, response │ ├── containment.py # REAL host network containment (dry-run default) │ ├── hypervisor_api.py # VBox/Proxmox isolation + IR adapter │ ├── failover_orchestrator.py # warm-standby failover (pluggable backend) │ ├── alert_manager.py · geo_intel.py · dashboard.html │ └── ganglion-control.service # systemd unit ├── blue_team/ # 24-tool suite + Sigma engine + rules/ │ ├── sigma_engine/rules/*.yml # 16 detection rules │ ├── waf_engine/ # web app firewall (SQLi/XSS/RCE/SSRF/JNDI) │ ├── ids_engine/ # network IDS/IPS (scan/beacon/brute/known-bad) │ ├── firewall/ # config-driven policy → OS enforcement │ ├── killchain_reconstructor/ # orders detections into an ATT&CK kill chain │ └── blast_radius/ # reachability mapper → asset-criticality for decisions ├── decision_engine/ # deterministic, explainable response decisions (no ML) ├── self_healing/ # nervous-system model (see SELF_HEALING.md) │ ├── nervous_system.py # typed signal bus (afferent/reflex/efferent) │ ├── reflex_arc.py # spinal-level fast containment │ ├── health_monitor.py # homeostasis / vitals / watchdog │ ├── healing_orchestrator.py # reconcile + circuit breaker + playbooks │ └── runtime.py # wires the whole loop together ├── tests/ # pytest suite (36 tests) ├── common/safe_eval.py # no-eval boolean parser for rule conditions ├── SECURITY.md # security posture + bandit baseline ├── HOW_IT_WORKS.md # full lifecycle: detect→stop→save→heal→resume ├── LAUNCH.md # discoverability + launch kit ├── media/demo.cast # asciinema recording of demo.py ├── DEFENSE_GUIDE.md # defend every module out loud ├── SELF_HEALING.md # nervous-system self-healing framework ├── VERSION · pyproject.toml # single-source version + packaging └── .github/workflows/ci.yml # conflict gate + compile + verify + replay + pytest ``` ## 🗺️ 路线图 - 针对 LSASS、PowerShell、驱动加载、RMM、云认证、WMI 持久化的 **Guest 触发器**(检测内容已验证)。 - 在现有 `FailoverBackend` 接口背后的**真实故障转移适配器** (Keepalived/HAProxy 或云负载均衡)。 - **Sigma 社区规则导入**,让分析师能够原封不动地引入公共规则库。 - **Sigma 时间/聚合**支持 (count‑by, near),用于关联规则。 - 跨重启持久化的 **有状态 UEBA 基线**。 ## 🔒 设计原则 - **检测使用标准,逻辑专有。** Sigma / YARA / ATT&CK 是标准,而不是用来隐藏的工具 —— 保持兼容性可以让整个 SOC 生态系统接入。Ganglion 的*价值*体现在其关联分析、评分、带外部署和故障转移编排上。 - **绝不自行研发加密算法。** 通信通道使用了经过审查的 `cryptography` 库中的 AES-GCM。 - **安全失效。** 隔离功能默认处于 dry-run 模式且可撤销;如果正在使用公开的开发密钥或未使用 API token,控制平面将发出强烈的警告。 ## 🏷️ 版本控制 **当前发布版本:`v1.1.0`** (2026‑07‑02) — 增加了受生物学启发的**自愈**子系统以及内置的 **IDS/IPS/WAF/Firewall** 边界引擎。包含 44/44 项正确性检查,36 个单元测试,14/14 ATT&CK 重放,且在包含的良性对照组中实现了 0 误报,涵盖 28 项技术的 16 条 Sigma 规则。 版本号在 [`VERSION`](VERSION) 中定义一次,并作为 `common.__version__` 暴露: ``` import common print(common.__version__) # 1.1.0 ``` Ganglion‑OOB 遵循 [语义化版本控制](https://semver.org/):`MAJOR.MINOR.PATCH`。完整历史记录请参见 [CHANGELOG.md](CHANGELOG.md)。 | 版本 | 日期 | 亮点 | |---|---|---| | **1.1.0** | 2026‑07‑02 | 自愈神经系统子系统;IDS/IPS/WAF/Firewall 引擎;pip 打包 (`ganglion` CLI);28 项技术;36 个测试 | | **1.0.0** | 2026‑07‑02 | 解决了合并冲突;真实的跨平台隔离;16 条 Sigma 规则 / 25 项 ATT&CK 技术;CI 冲突检查机制;诚实客观的真实与模拟对比文档 | ## 📜 许可证 MIT — 详见 [LICENSE](LICENSE)。
构建初衷是与团队协同工作**,**而非取而代之。快速检测,更快遏制,保持业务生命力,让人类做出决策。
标签:Python, 安全规则引擎, 安全运营中心, 无后门, 网络映射, 自动化防御, 逆向工具