sharpeye 的项目扩展与二次开发

项目的基础介绍

Sharpeye 是一个由 innora.ai 开发的高级 Linux 入侵检测系统。该系统利用先进的数据分析、机器学习和基于行为检测的技术，实时识别和报告可疑活动、潜在的妥协和安全威胁。Sharpeye 旨在为 Linux 系统提供一个全面的监控和防御框架，以保护系统不受恶意活动的侵害。

项目的核心功能

Sharpeye 的核心功能包括但不限于：

• 高级机器学习资源分析：检测 CPU、内存和磁盘使用模式中的异常。
• 用户账户安全：识别未授权账户、权限提升和可疑登录模式。
• 进程分析：通过行为分析检测恶意和可疑进程。
• 网络连接监控：识别不寻常的网络连接和数据传输。
• 文件系统完整性：通过健壮的校验和验证检测未授权的系统文件更改。
• 日志分析引擎：跨多个日志源关联事件，检测复杂的攻击模式。
• 计划任务检查：识别恶意的 cron 作业和计划任务。
• SSH 安全：监控 SSH 配置和未授权的访问尝试。
• 内核模块分析：检测恶意内核模块、rootkits 和 syscall 表钩子。
• 库检查：识别动态库劫持尝试和恶意预加载库。
• 特权提升检测：发现和报告潜在的特权提升向量，包括 SUID 二进制文件、功能和危险的 sudo 配置。

项目使用了哪些框架或库？

Sharpeye 项目使用了多种框架和库，以支持其功能，包括但不限于：

• Python 3.6+：作为主要编程语言。
• Pyinotify：用于文件系统活动跟踪。
• Trivy/Grype：用于容器安全扫描和漏洞检测。
• Machine Learning：使用 Isolation Forest 等算法进行异常检测。

项目的代码目录及介绍

项目的代码目录结构大致如下：

sharpeye/
├── assets/               # 资源文件
├── config/               # 配置文件
├── docs/                 # 文档
├── src/                  # 源代码
├── tests/                # 测试文件
├── .gitignore            # git 忽略文件
├── COMPLETION_REPORT.md  # 完成报告
├── CONTRIBUTING.md       # 贡献指南
├── DEEP_ENHANCEMENT_SUMMARY.md  # 深度增强总结
├── GITHUB_SETU