# SecuBox 三环安全架构 > **Languages:** [English](../DOCS/THREE-LOOP-ARCHITECTURE.md) | [Francais](../DOCS-fr/THREE-LOOP-ARCHITECTURE.md) | 中文 **版本:** 0.17.0 - 首次公开发布 **作者:** Gerald Kerma (Gandalf) - CyberMind.FR **日期:** 2026年1月 --- ## 执行摘要 SecuBox 实现了一个**三环安全模型**,将安全操作分为三个不同但相互关联的反馈环。每个环在不同的时间尺度上运行,服务于互补功能,从毫秒级数据包过滤到战略威胁情报演进,提供纵深防御。 --- ## 三环模型 ``` ┌─────────────────────────────────────────────────────────────────────────────┐ │ 三环安全架构 │ │ │ │ ┌─────────────────────────────────────────────────────────────────────┐ │ │ │ 第三环: 战略层 │ │ │ │ (小时 → 天 → 周) │ │ │ │ │ │ │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ │ │ 第二环: 战术层 │ │ │ │ │ │ (分钟 → 小时) │ │ │ │ │ │ │ │ │ │ │ │ ┌─────────────────────────────────────────────────┐ │ │ │ │ │ │ │ 第一环: 作战层 │ │ │ │ │ │ │ │ (毫秒 → 秒) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ 检测 → 决策 → 响应 → 学习 │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ └─────────────────────────────────────────────────┘ │ │ │ │ │ │ │ │ │ │ │ │ 关联 → 分析 → 适应 → 优化 │ │ │ │ │ │ │ │ │ │ │ └──────────────────────────────────────────────────────────┘ │ │ │ │ │ │ │ │ 聚合 → 趋势 → 预测 → 演进 │ │ │ │ │ │ │ └─────────────────────────────────────────────────────────────────────┘ │ │ │ └─────────────────────────────────────────────────────────────────────────────┘ ``` --- ## 第一环: 作战层 (实时响应) **时间尺度:** 毫秒到秒 **功能:** 即时威胁检测和自动响应 **目标:** 在损害发生之前阻止攻击 ### SecuBox 实现 ``` ┌─────────────────────────────────────────────────────────────────────┐ │ SECUBOX 第一环 — 作战层 │ │ │ │ 入口流量 │ │ │ │ │ ▼ │ │ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │ │ │ nftables │───▶│ netifyd │───▶│ CrowdSec │ │ │ │ fw4 规则 │ │ DPI │ │ Bouncer │ │ │ │ BPF/XDP │ │ (L7协议) │ │ (nft sets) │ │ │ └──────────────┘ └──────────────┘ └──────────────┘ │ │ │ │ │ │ │ ▼ ▼ ▼ │ │ ┌────────────────────────────────────────────────────────┐ │ │ │ 决策引擎 │ │ │ │ • 有状态连接跟踪 │ │ │ │ • 协议异常检测 │ │ │ │ • 基于信誉的过滤 │ │ │ │ • 速率限制与连接上限 │ │ │ └────────────────────────────────────────────────────────┘ │ │ │ │ │ ▼ │ │ 允许 / 阻止 / 限速 / 重定向 │ └─────────────────────────────────────────────────────────────────────┘ ``` ### 组件 | 组件 | 模块 | 功能 | |------|------|------| | **nftables/fw4** | OpenWrt 核心 | 线速数据包过滤 | | **netifyd** | `luci-app-secubox-netifyd` | 第7层协议识别 | | **nDPId** | `luci-app-ndpid` | 深度包检测 (300+ 协议) | | **CrowdSec Bouncer** | `luci-app-crowdsec-dashboard` | 实时阻断执行 | ### 性能指标 | 指标 | 目标 | v0.17 状态 | |------|------|------------| | 数据包决策延迟 | < 1ms | 已达成 | | DPI 分类时间 | < 10ms | 已达成 | | Bouncer 更新传播 | < 1s | 已达成 | | 内存占用 | < 64MB | 典型 ~45MB | --- ## 第二环: 战术层 (关联与适应) **时间尺度:** 分钟到小时 **功能:** 模式关联、行为分析、规则优化 **目标:** 提高检测准确性并减少误报 ### SecuBox 实现 ``` ┌─────────────────────────────────────────────────────────────────────┐ │ SECUBOX 第二环 — 战术层 │ │ │ │ 来自第一环 │ │ │ │ │ ▼ │ │ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │ │ │ CrowdSec │───▶│ LAPI │───▶│ 场景 │ │ │ │ Agent │ │ (本地) │ │ 与解析器 │ │ │ │ (日志) │ │ │ │ │ │ │ └──────────────┘ └──────────────┘ └──────────────┘ │ │ │ │ │ │ │ │ ▼ │ │ │ │ ┌──────────────┐ │ │ │ │ │ Netdata │ │ │ │ │ │ 指标 │ │ │ │ │ │ 与告警 │ │ │ │ │ └──────────────┘ │ │ │ │ │ │ │ │ ▼ ▼ ▼ │ │ ┌────────────────────────────────────────────────────────┐ │ │ │ 关联引擎 │ │ │ │ • 多源事件关联 │ │ │ │ • 行为基线偏差 │ │ │ │ • 攻击链识别 │ │ │ │ • 误报消除 │ │ │ └────────────────────────────────────────────────────────┘ │ │ │ │ │ ▼ │ │ 决策 → 第一环 | 告警 → 运维人员 | 情报 → 第三环 │ └─────────────────────────────────────────────────────────────────────┘ ``` ### 组件 | 组件 | 模块 | 功能 | |------|------|------| | **CrowdSec Agent** | `luci-app-crowdsec-dashboard` | 日志解析和事件生成 | | **CrowdSec LAPI** | `luci-app-crowdsec-dashboard` | 本地决策引擎 | | **场景** | 自定义 + 社区 | 攻击模式定义 | | **Netdata** | `luci-app-netdata-dashboard` | 指标和异常检测 | ### 场景示例 | 场景 | 触发条件 | 动作 | |------|----------|------| | SSH 暴力破解 | 30秒内5次失败 | 封禁4小时 | | 端口扫描 | 10秒内20个端口 | 封禁24小时 | | HTTP 扫描器 | 已知模式 | 封禁1小时 | | DPI 异常 | 协议不匹配 | 告警 + 调查 | ### 反馈到第一环 | 战术输出 | 第一环动作 | |----------|------------| | 新 IP 封禁决策 | Bouncer 更新 nft 集合 | | 协议异常模式 | DPI 规则增强 | | 识别出误报 | 白名单/例外规则 | | 攻击签名 | 解析器/场景更新 | --- ## 第三环: 战略层 (情报与演进) **时间尺度:** 小时到周 **功能:** 威胁情报、趋势分析、架构演进 **目标:** 预测威胁并持续改进安全态势 ### SecuBox 实现 ``` ┌─────────────────────────────────────────────────────────────────────┐ │ SECUBOX 第三环 — 战略层 │ │ │ │ 来自第二环 │ │ │ │ │ ▼ │ │ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │ │ │ CrowdSec │───▶│ 中央 │───▶│ 社区 │ │ │ │ CAPI │ │ API │ │ 黑名单 │ │ │ │ (上传) │ │ │ │ │ │ │ └──────────────┘ └──────────────┘ └──────────────┘ │ │ │ │ │ │ │ │ ▼ │ │ │ │ ┌──────────────┐ │ │ │ │ │ P2P 中心 │◀───────────┘ │ │ │ │ (v0.18+) │ │ │ │ └──────────────┘ │ │ │ │ │ │ ▼ ▼ │ │ ┌────────────────────────────────────────────────────────┐ │ │ │ 情报引擎 │ │ │ │ • 全球威胁态势聚合 │ │ │ │ • 新兴威胁预警 │ │ │ │ • 信誉评分演进 │ │ │ │ • 架构与策略建议 │ │ │ └────────────────────────────────────────────────────────┘ │ │ │ │ │ ▼ │ │ 黑名单 → 第二环 | 策略 → 第一环 | 演进 → 下一版本 │ └─────────────────────────────────────────────────────────────────────┘ ``` ### 组件 | 组件 | 模块 | 功能 | |------|------|------| | **CrowdSec CAPI** | `luci-app-crowdsec-dashboard` | 社区情报交换 | | **黑名单** | 通过 CAPI 管理 | IP/域名信誉 | | **P2P 中心** | 计划于 v0.18+ | 去中心化情报共享 | --- ## P2P 中心: 第三环演进 (v0.18+) ### 愿景 P2P 中心将实现 SecuBox 节点之间的**去中心化威胁情报共享**,无需依赖中央服务。 ``` ┌─────────────────────────────────────────────────────────────────────┐ │ P2P 中心架构 (v0.18+) │ │ │ │ ┌───────────────┐ │ │ │ SecuBox A │ │ │ │ (did:plc) │ │ │ └───────┬───────┘ │ │ │ │ │ ┌────────────┼────────────┐ │ │ │ │ │ │ │ ┌───────▼───────┐ │ ┌───────▼───────┐ │ │ │ SecuBox B │ │ │ SecuBox C │ │ │ │ (did:plc) │ │ │ (did:plc) │ │ │ └───────┬───────┘ │ └───────┬───────┘ │ │ │ │ │ │ │ └────────────┼────────────┘ │ │ │ │ │ ┌───────▼───────┐ │ │ │ SecuBox D │ │ │ │ (did:plc) │ │ │ └───────────────┘ │ │ │ │ 传输层: WireGuard mesh (加密, 认证) │ │ 身份层: did:plc (可轮换密钥, 自主主权) │ │ 协议层: 通过 P2P gossip 签名的情报共享 │ └─────────────────────────────────────────────────────────────────────┘ ``` ### did:plc 身份模型 受 ATProto/Bluesky 启发,每个 SecuBox 节点将拥有去中心化标识符: | 层级 | 功能 | 控制权 | |------|------|--------| | **DID** | 永久加密标识符 | 数学性 (不可撤销) | | **轮换密钥** | 被入侵后恢复 | 人工操作员 | | **签名密钥** | 日常操作 | SecuBox 节点 | **优势:** - 节点身份在密钥被入侵后仍然存在 (轮换而不丢失信誉) - 信任关系跨密钥更新持续 - 无需中央授权进行身份管理 - 与 ATProto 生态系统互操作 ### 信任模型 | 信任级别 | 来源 | 环集成 | |----------|------|--------| | **高** | 直接对等节点, 长期历史 | 第一环 (即时阻断) | | **中** | 传递信任, 已验证签名 | 第二环 (关联输入) | | **低** | 新节点, 未验证 | 仅第三环 (审查) | --- ## 集成矩阵 ### 当前状态 (v0.17) | 环 | 组件 | 模块 | 状态 | |----|------|------|------| | 1 | nftables/fw4 | OpenWrt 核心 | 完成 | | 1 | netifyd DPI | `luci-app-secubox-netifyd` | 完成 | | 1 | nDPId DPI | `luci-app-ndpid` | 完成 | | 1 | CrowdSec Bouncer | `luci-app-crowdsec-dashboard` | 完成 | | 2 | CrowdSec Agent | `luci-app-crowdsec-dashboard` | 完成 | | 2 | CrowdSec LAPI | `luci-app-crowdsec-dashboard` | 完成 | | 2 | Netdata | `luci-app-netdata-dashboard` | 完成 | | 2 | 自定义场景 | `luci-app-secubox-security-threats` | 部分 | | 3 | CrowdSec CAPI | `luci-app-crowdsec-dashboard` | 完成 | | 3 | 黑名单 | 通过 CAPI 管理 | 完成 | | 3 | P2P 中心 | 计划中 | v0.18+ | ### 路线图 | 阶段 | 版本 | 环重点 | 状态 | |------|------|--------|------| | Core Mesh | v0.17 | 第1+2环完成 | 已发布 | | Service Mesh | v0.18 | 第3环 P2P 基础 | 下一步 | | Intelligence Mesh | v0.19 | 完整 P2P 情报 | 计划中 | | AI Mesh | v0.20 | ML 增强第2环 | 计划中 | | 认证 | v1.0 | ANSSI 认证 | 计划中 | --- ## 总结 | 环 | 功能 | 时间尺度 | v0.17 状态 | |----|------|----------|------------| | **第一环** | 作战层 (阻断威胁) | 毫秒 → 秒 | 完成 | | **第二环** | 战术层 (关联与适应) | 分钟 → 小时 | 完成 | | **第三环** | 战略层 (情报与演进) | 小时 → 天 | 仅 CAPI | **第一环** = 反射 → 快速阻断,精准阻断 **第二环** = 本地情报 → 理解模式,适应变化 **第三环** = 集体情报 → 共享,预测,演进 --- **Ex Tenebris, Lux Securitas** *SecuBox v0.17.0 - 首次公开发布* *CyberMind.FR - 2026年1月*