夜更けに、ほとんどの人がソーシャルメディアをスクロールしている間も、毎秒数百万もの見えないパケットがネットワーク上を静かに移動しています。
中には無害なものもあります。
攻撃を運んでいるものもあります。
その考えが私を好奇心に駆り立てました:
「サイバーセキュリティの仕組みは、実際に脅威をリアルタイムでどう検知しているのだろう?」
そこで、サイバーセキュリティを読むだけで終えるのをやめて…
本物を作ることにしました。
こうしてThreatPulse IDSが始まりました。
最初は、Scapyを使ってパケットをキャプチャしようとする小さなPythonスクリプトでした。そこからは、エラー、クラッシュ、スレッド関連の問題、Windowsでのパケットスニッフィングの問題、Npcapのセットアップでの苦戦、壊れたFlaskのリロード、データベースの再設計、そして終わりのないデバッグセッションが続きました。
しかし、プロジェクトはゆっくりと進化していきました。
私は、生のライブTCP、UDP、ICMPトラフィックを監視できるシステムを構築し、DDoSのような挙動を検知し、ポートスキャンを特定し、不審なIPをフラグし、さらにIsolation Forestを使って異常なトラフィックパターンを機械学習で検出できるようにしました。
次に、Flask-SocketIOを使ってすべてをリアルタイムのSOC風ダッシュボードに接続し、永続的な監視のためのSQLiteストレージを追加し、ライブチャート、アラートシステム、そして自動化されたPDFセキュリティレポートを作成しました。
好奇心から始まったものが、動作するAI搭載の侵入検知システムになりました。
このプロジェクトは、私に大切なことを教えてくれました:
サイバーセキュリティは、ツールだけの話ではありません。
人間が「何かがおかしい」と気づく前に、反応できるシステムを作ることです。そのためには、挙動、パターン、ネットワークを理解することが必要です。
ThreatPulse IDSは今も成長しています。
今後のステップには、GeoIPトラッキング、SIEM統合、脅威インテリジェンスのフィード、Docker展開、そして高度な分析が含まれます。
ですが、このプロジェクトはすでに私にとってもっと大きな意味を持っています:
学ぶことを「作る」ことで実現するのが、成長の最速の方法だという証明です。
生のパケットから…
知的な脅威検知へ。
click to view
