5Ec8KL6tyct9JAic/SENTRY

# SENTRY ## 概述 SENTRY 是一个轻量级的安全监控系统，旨在收集、处理和分析系统及网络日志，以便实时或近实时地检测可疑活动。该项目以简化且模块化的形式模拟了安全信息与事件管理（SIEM）系统的核心概念。 它旨在作为一个实用的网络安全项目，侧重于日志分析、检测逻辑和安全事件关联。 ## 目的 SENTRY 的主要目标是提供一种结构化的方法，以帮助理解安全监控系统在真实环境中的运作方式。 它旨在： - 演示如何将原始日志转化为结构化的安全事件 - 实现针对常见攻击模式的基础检测逻辑 - 模拟真实的 SOC（安全运营中心）工作流 - 为更高级的安全工程项目奠定基础 ## 功能 SENTRY 通过一个 pipeline 处理传入的日志，对事件进行标准化和分析。它采用基于规则的检测逻辑来识别潜在的恶意行为，并在满足预定义条件时生成告警。 该系统侧重于检测以下模式： - 反复的身份验证失败（暴力破解尝试） - 异常的登录行为或访问模式 - 可疑的权限使用 - 异常的系统活动激增 所有事件都会被标准化为一致的格式，以实现关联和规则评估。 ## 预期用途 SENTRY 不适用于生产环境部署。它的设计初衷是用于： - 网络安全学习与实践 - 为 SOC / 蓝队职位提供作品集展示 - 尝试日志分析和检测技术 - 在简化层面上理解类似 SIEM 的架构 ## 设计原则 该项目围绕以下原则构建： - 模块化：每个组件负责 pipeline 的一个特定阶段 - 简单性：依赖极简，专注于核心安全逻辑 - 可扩展性：易于集成新的检测规则和数据源 - 透明性：具备良好可读性和可维护性的结构，便于教学使用 ## 局限性 SENTRY 是一个简化的模型，不包含： - 高级威胁情报集成 - 基于机器学习的异常检测（默认情况下） - 大规模的分布式日志处理 - 企业级的安全保障 它旨在作为一个概念性和实践性的学习工具，而不是生产级的安全解决方案。 ## 许可证 MIT 许可证

标签：HTTP/HTTPS抓包, Web报告查看器, 安全告警, 安全运营中心, 态势感知, 网络映射, 逆向工具