보안 에이전트
Nightwatch
실시간 악성코드 탐지 에이전트
서버에 설치하는 경량 에이전트로, 파일 변경을 실시간 감시하고 YARA 룰과 해시 DB로 스캔한 뒤, 의심 파일을 클라우드 AI에 에스컬레이션하여 정밀 분석합니다.
설치
원라인 설치
curl -sL https://install.aientrophy.com/agent | sudo bash -s -- --key YOUR_API_KEY
pip으로 설치
pip install aientrophy-nightwatch
다계층 스캔 파이프라인
해시 DB (즉시) → 확장자 위장 탐지 → YARA 룰 → 클라우드 AI. 빠른 로컬 검사 우선, 무거운 분석은 클라우드로.
YARA 룰 엔진
컴파일된 룰 매칭 + 클라우드 자동 업데이트. 웹쉘, 백도어, 랜섬웨어 패턴 탐지.
확장자 위장 탐지
magic byte 분석으로 이미지/문서로 위장한 실행 파일과 스크립트를 탐지합니다.
클라우드 AI 분석
의심 파일을 AI로 에스컬레이션하여 콘텐츠 심층 검사, 난독화 탐지, 판정을 수행합니다.
자동 격리
악성 파일은 즉시 chmod 400으로 권한 제거, 격리 디렉토리로 이동, 메타데이터 JSON 기록.
룰 자동 업데이트
YARA 룰과 해시 DB가 매시간 클라우드에서 동기화. AI가 확인한 위협은 자동 등록되어 즉시 탐지.
아키텍처
에이전트 (고객 서버)
파일시스템 감시, 로컬 스캔, 위협 격리
클라우드 API
의심 파일 수신, AI 분석, 룰 배포
스캔 파이프라인
해시 검사→
확장자 검사→
YARA 스캔→
클라우드 AI→
조치
설정
YAML 기반 설정, 환경변수 오버라이드 지원.
watch:
paths:
- /var/www
- /tmp
exclude: ["*.log", "node_modules/*"]
recursive: true
scan:
yara_rules_dir: /var/lib/aientrophy/yara-rules
hash_db_path: /var/lib/aientrophy/hash-db/malware_hashes.txt
yara_rules_auto_update: true
action:
on_detect: quarantine # quarantine | alert | block
quarantine_dir: /var/lib/aientrophy/quarantine
cloud:
server: https://malware.aientrophy.com
# api_key: set via NIGHTWATCH_API_KEY env var클라우드 API 엔드포인트
| Method | Endpoint |
|---|---|
| POST | /api/v1/scan |
| GET | /api/v1/hash/{sha256} |
| POST | /api/v1/events |
| GET | /api/v1/rules/yara/manifest |
| GET | /api/v1/stats |
| GET | /api/v1/health |
요구사항
- Python 3.10+
- Linux (권장) 또는 Windows
- ~50MB RAM 사용