SecDhanush/SentinelX-Hybrid-Threat-Intelligence-and-Automated-Intrusion-Prevention-System

# SentinelX：混合威胁情报与自动化入侵防御架构 ### *自主检测。智能分析。即时防护。* ## 1. 概述 SentinelX 是一个有状态且自主的内部威胁检测与事件响应平台，旨在保护本地网络环境免受高级网络威胁和未经授权的活动。通过集成 ARP 欺骗防御、实时 IDS 事件分析、行为威胁评分、自动化防火墙执行以及攻击者情报充实，SentinelX 能够持续监控网络流量、识别恶意行为、评估威胁严重程度，并执行即时的遏制操作。 ### 核心能力： * 使用 IDS (Suricata) 进行**实时内部威胁检测** * **ARP 欺骗检测**与自动缓解 * **基于行为的威胁评分**与攻击者画像 * **自动化防火墙执行**与连接终止 * 支持智能解封的**临时与永久封禁** * 针对攻击者情报的 **OSINT 充实** * 具备运行时 watchdog 监控的**自愈安全** * 具备防篡改数据库完整性的**有状态记忆** ## 2. 目标 * 实时检测并响应内部威胁。 * 防止未经授权的横向移动。 * 自动隔离攻击者与恶意主机。 * 维护攻击者声誉与历史记录以供未来防护。 * 通过持续验证网关真实性来确保网络信任与完整性。 * 在遭受攻击后自动恢复并自愈网络。 ## 3. 架构理念 SentinelX 建立在分层安全理念之上，结合了检测、分析、决策与自动化响应。它不仅仅是发出警报，而是能够思考、决策并采取行动。 **SENTINELX = 检测 + 情报 + 自动化 + 执行 + 自愈** ## 4. 核心功能工作流 1. **网络监控：** Suricata IDS 捕获并记录所有流量。 2. **警报消费：** SentinelX 实时解析并处理 IDS 警报。 3. **威胁分类：** 将警报映射到攻击类别（例如，端口扫描、SSH 暴力破解、SMB 攻击）。 4. **威胁评分：** 根据行为与持久性为每个攻击者分配动态威胁分数。 5. **决策引擎：** 基于分数与严重程度决定采取的操作（监控 / 临时封禁 / 永久封禁）。 6. **自动化执行：** SentinelX 更新 pfSense 防火墙，终止活动会话，并封禁攻击者。 7. **情报充实：** 针对高风险攻击者，通过 AbuseIPDB 获取 OSINT 数据（国家、ISP、VPN、TOR、滥用分数）。 8. **自愈与 Watchdog：** 始终确保防火墙与数据库的完整性，并自动恢复缺失的封禁规则。 ## 5. 核心安全层 * **网络信任保护：** 持续监控网关 MAC 以检测 ARP 欺骗与信任违规。 * **即时遏制：** 封禁攻击者 MAC，锁定网关 MAC，并停止进行中的恶意活动。 * **网络恢复：** 自动切换 DHCP 池，续订 IP，并恢复干净的网络状态。 * **威胁检测：** Suricata 检测诸如扫描、暴力破解、漏洞利用、隧道等攻击。 * **威胁分析与评分：** 专家级评分模型基于频率与严重程度评估风险。 * **自动化响应：** 实时进行防火墙执行、会话终止与主机隔离。 ## 6. 使用的技术 * **语言与工具：** Python 3、Linux 网络工具 (IP、iptables、dhclient) * **IDS/SIEM：** Suricata IDS (`eve.json`) * **防火墙：** pfSense 防火墙 (`pfctl`) * **数据库与安全：** HMAC-SHA256（数据库完整性验证） * **威胁情报：** AbuseIPDB（OSINT API 集成）

标签：DNS 反向解析, IP 地址批量处理, Metaprompt, pfSense, Suricata, 威胁情报, 开发者工具, 现代安全运营, 自动响应, 防火墙