Vor zwei Wochen habe ich eine selbstlernende KI veröffentlicht, die SSH‑Brute‑Force‑Angriffe in Echtzeit erkennt und automatisch blockiert.
Nach zehntausenden Angriffen, hunderten gebannten IPs und mehreren produktiven Servern ist es Zeit, die technische Architektur dahinter zu zeigen – inklusive Skalierung, Performance und Entscheidungslogik.
Dieser Artikel richtet sich an Entwickler, Admins und DevOps‑Engineers, die verstehen wollen, wie ein autonomer Security‑Agent intern funktioniert.
🔥 Live‑Statistiken (Stand heute)
- 61.762 Angriffe analysiert
- 8.386 Angriffe in der letzten Stunde
- 375+ Angreifer‑IPs in der globalen Blacklist
- 99,48 % Modellgenauigkeit
- 3 produktive Server (weiter steigend)
Der Agent arbeitet vollständig autonom:
Er erkennt Anomalien, blockiert Angreifer via nftables und verbessert seine Erkennungsqualität kontinuierlich.
🧠Architektur: Wie die KI funktioniert
Das System kombiniert klassische Sicherheitsregeln mit einem leichten neuronalen Netzwerk.
So bleibt es schnell, transparent und zuverlässig – und profitiert trotzdem von Machine Learning.
1. Feature‑Extraktion (alle 30 Sekunden)
Der Agent liest die SSH‑Logs und extrahiert vier Kernmerkmale:
- hour – Uhrzeit
- attack_count – fehlgeschlagene Logins im Intervall
- new_ips – Anzahl neuer Angreifer
- new_usernames – erstmalig verwendete Benutzernamen
Diese Features sind bewusst minimalistisch gehalten, um Ăśberanpassung zu vermeiden und serverĂĽbergreifend zu funktionieren.
2. Neuronales Netzwerk (TensorFlow)
Das Modell ist ein kompaktes Feed‑Forward‑Netz:
Es liefert eine Anomalie‑Wahrscheinlichkeit zwischen 0 und 1.
- Decision Layer Die KI entscheidet nicht allein – sie arbeitet mit deterministischen Regeln zusammen.
Entscheidungslogik:
Wenn Anomalie > 0.7 und neue IPs vorhanden → KI‑Ban
Sonst → klassische Regeln:
3 fehlgeschlagene Versuche
bekannte Angreifer
geblacklistete Usernames
Diese Hybrid‑Strategie verhindert False Positives und reagiert trotzdem sofort auf echte Angriffe.
- Globale Blacklist (serverübergreifend) Jede gebannte IP landet in einer zentralen SQLite‑Datenbank. Neue Server laden die komplette Liste beim Setup.
Ergebnis:
Viele Angreifer werden blockiert, bevor sie überhaupt einen Versuch starten können.
📊 Live‑Dashboard
Die KI kann live beobachtet werden:
👉 https://sentry.forgebots.de/dashboard.html
Das Dashboard zeigt:
Weltkarte mit Angreifer‑Standorten
Echtzeit‑Entscheidungen der KI
globale Blacklist
Angriffsfrequenz‑Graphen
📦 GitHub & Demo
GitHub: https://github.com/Kajane2023/sentry-agent
Live‑Dashboard: https://sentry.forgebots.de/dashboard.html
Top comments (0)