Sentinel：基于 Agentic AI 的自动化安全运营中心平台

Sentinel 是一个开源的网络安全运营平台，利用 Agentic AI 实现 SOC 工作流的自动化，支持网络流量异常检测与实时可视化监控。

• 原作者/维护者：muro906
• 来源平台：github
• 原始标题：Sentinel
• 原始链接：https://github.com/muro906/Sentinel
• 来源发布时间/更新时间：2026-05-27T23:15:30Z

原作者与来源

• 原作者/维护者：muro906
• 来源平台：github
• 原始标题：Sentinel
• 原始链接：https://github.com/muro906/Sentinel
• 来源发布时间/更新时间：2026-05-27T23:15:30Z 原作者与来源\n\n- 原作者/维护者： muro906\n- 来源平台： GitHub\n- 原始标题： Sentinel\n- 原始链接： https://github.com/muro906/Sentinel\n- 发布时间： 2026年5月27日\n\n---\n\n项目概述\n\nSentinel 是一个面向现代安全运营中心（SOC）的开源网络安全平台，核心目标是利用 Agentic AI 技术自动化安全运营工作流。该项目采用模块化架构设计，专注于网络流量异常检测，为安全团队提供从数据采集到实时监控的完整解决方案。\n\n与传统的安全工具不同，Sentinel 强调"智能体驱动"的设计理念——系统中的各个组件能够自主协作，形成持续监控、自动分析和实时响应的安全闭环。这种架构特别适合需要7x24小时不间断监控的企业网络环境。\n\n---\n\n系统架构解析\n\n分层数据处理流程\n\nSentinel 当前实现的第一层架构展示了清晰的数据流向：\n\n\nPCAP 文件 → Zeek 分析引擎 → 连接/SSL/DNS 日志 → 特征提取器 → Kafka 消息队列 → 实时仪表板\n\n\n这个流程体现了现代安全架构的核心原则：\n\n1. 数据采集层：支持标准 PCAP 格式，兼容各类网络抓包工具\n2. 协议解析层：使用 Zeek（原 Bro）进行深度包检测，生成结构化日志\n3. 特征工程层：提取 CESSNET 风格的网络特征向量\n4. 消息总线层：通过 Kafka 实现高吞吐量数据流\n5. 可视化层：提供实时 Web 仪表板展示网络状态\n\n核心组件详解\n\nZeek 分析引擎\n\nZeek 是网络安全领域的工业标准工具，Sentinel 将其集成在 Docker 容器中，实现了自动化的 PCAP 文件处理。当新的抓包文件放入指定目录时，系统通过 inotifywait 机制自动触发分析流程，无需人工干预。\n\n特征提取模块\n\nSentinel 实现了 CESSNET 风格的特征向量提取，每个网络连接会被转化为包含以下维度的结构化数据：\n\n- 基础连接信息：源/目的 IP、端口、协议类型\n- 流量统计：字节数、数据包数量、持续时间\n- 比率指标：上下行流量比、包数量比\n- 加密特征：SSL/TLS 版本、加密套件、是否加密标记\n- 连接状态：标准化连接状态码\n\n这些特征向量为后续的异常检测算法提供了高质量的输入数据。\n\n实时仪表板\n\n基于 FastAPI 和 WebSocket 构建的实时可视化界面，让安全分析师能够即时观察网络流量模式。相比传统的离线分析工具，这种实时性对于检测正在进行的攻击至关重要。\n\n---\n\n技术实现亮点\n\n容器化部署\n\nSentinel 采用 Docker Compose 编排所有服务组件，包括：\n\n| 服务 | 端口 | 功能描述 |\n|------|------|----------|\n| Zookeeper | 2181（内部） | Kafka 协调服务 |\n| Kafka | 9092（内部） | 消息总线 |\n| Kafka UI | 9000 | 主题和消息浏览器 |\n| Zeek | - | 数据包分析引擎 |\n| Feature Extractor | - | 日志解析与特征提取 |\n| Dashboard | 8080 | 实时可视化界面 |\n\n这种设计使得部署变得极其简单——只需一条 docker compose up --build 命令即可启动完整环境。\n\n自动化工作流\n\n系统内置了基于文件系统事件的自动化机制。当用户将新的 PCAP 文件复制到 capture/pcap/ 目录时，Zeek 会自动检测并开始处理，生成的日志文件会被特征提取器消费，最终数据流入 Kafka 供仪表板展示。\n\n可扩展的数据格式\n\n生成的特征向量采用 JSON 格式，包含丰富的网络元数据：\n\njson\n{\n \"uid\": \"CKyrpe4JCbVRCPbNe8\",\n \"ts\": \"1700000001.234\",\n \"src_ip\": \"192.168.1.12\",\n \"src_port\": 54321,\n \"dst_ip\": \"10.0.0.1\",\n \"dst_port\": 443,\n \"proto\": \"tcp\",\n \"service\": \"ssl\",\n \"duration\": 0.142,\n \"orig_bytes\": 2048,\n \"resp_bytes\": 8192,\n \"bytes_ratio\": 0.25,\n \"is_encrypted\": 1\n}\n\n\n这种标准化格式便于与机器学习模型对接，为后续实现异常检测算法奠定了基础。\n\n---\n\n应用场景与实践价值\n\n企业安全运营\n\n对于拥有复杂网络基础设施的企业，Sentinel 可以作为 SOC 平台的流量分析基础层。安全团队可以：\n\n- 导入历史 PCAP 进行回溯分析\n- 实时监控关键网段的流量模式\n- 建立正常流量基线，识别偏离行为\n- 集成威胁情报，标记已知恶意 IP\n\n安全研究与教育\n\nSentinel 的模块化设计使其成为网络安全教学的理想工具。学生可以通过观察系统各组件的协作，理解：\n\n- 网络协议分析的基本原理\n- 流式数据处理架构\n- 实时可视化系统的构建方法\n- 容器化部署的最佳实践\n\n威胁狩猎\n\n高级安全分析师可以利用 Sentinel 进行主动威胁狩猎。通过分析特征向量的分布模式，发现潜在的横向移动、数据外泄或命令控制通信。\n\n---\n\n快速开始指南\n\n部署 Sentinel 需要满足以下前提条件：\n\n- Docker 24+ 和 Docker Compose v2\n- 可选：scapy 用于生成示例 PCAP\n\n部署步骤：\n\n1. 克隆仓库并进入项目目录\n2. 生成或准备 PCAP 文件\n3. 运行 docker compose up --build\n4. 访问 http://localhost:8080 查看实时仪表板\n5. 访问 http://localhost:9000 浏览 Kafka 消息\n\n整个启动过程约需 25 秒（主要是 Kafka 初始化），之后系统即可持续处理新增的网络流量数据。\n\n---\n\n总结与展望\n\nSentinel 展示了如何将成熟的网络安全工具（Zeek）与现代数据架构（Kafka、Docker）结合，构建面向未来的 SOC 平台。虽然当前版本主要实现了数据采集和可视化层，但其清晰的架构设计为后续集成 Agentic AI 能力预留了充足空间。\n\n对于希望建立或增强安全运营能力的团队，Sentinel 提供了一个可立即运行的开源基础。随着项目演进，期待看到更多 AI 驱动的异常检测、自动事件响应等高级功能的加入。