Kontrola egzekucji na urządzeniu na granicy pakietu
AIGuard jest warstwą kontroli egzekucji stacku QuantixLabs. Nie obserwuje i nie raportuje. Przechwytuje, klasyfikuje i egzekwuje. Przechwycenie pakietów WinDivert Ring-0. Sześć silników detekcji. Lokalne wsparcie decyzyjne Llama 3 8B. Poniżej 100ms od pakietu do decyzji. Bez telemetrii chmurowej. Bez zależności od proxy.
Parametry operacyjne
Pełna latencja pipeline od przechwycenia WinDivert do akcji enforcement
Python backend + JavaScript dashboard
DPI, C2 heartbeat, GeoIP, reputacja, honeypot, klasyfikacja AI
Powierzchnia kontroli operatora w 8 modułach dashboardu
Pojemność bufora WinDivert Ring-0
SQLite WAL - wszystkie dane forensyczne zachowane lokalnie
Sześć warstw od sygnału do egzekucji
Przechwycenie jądrowe
WinDivert przechwytuje pakiety przed stosem TCP/IP. Dual-stack IPv4/IPv6 z kolejką 10 000 pakietów.
Kolejka i router
Router decyzji kieruje ruch do silników detekcji. Turbo bypass chroni przepustowość dla podpisanych procesów powyżej 1.5 Gbps.
Głęboka inspekcja pakietów
Pomiar entropii i kontrola protokołów wykrywają VPN, crypto, P2P oraz skanowanie. Trafienie w honeypot uruchamia natychmiastową blokadę.
Analiza behawioralna
Warstwa behawioralna śledzi heartbeat, anomalie uploadu i zmiany bramy.
Klasyfikacja Llama 3 8B
Izolowany proces Llama 3 8B łączy wzorce deterministyczne z NLP i zwraca wynik ryzyka 0-100.
Egzekucja i odpowiedź
Hammer Kill, SetTcpEntry i reguły netsh egzekwują decyzję przy zachowaniu ochrony localhost i bramy domyślnej.
Lokalny triage, nie przeciążenie operatora
AIGuard nie jest interfejsem alertowym. To lokalny system triage decydujący, czy ruch powinien przejść, zostać eskalowany czy zostać zakończony. Przegląd operatora istnieje tam, gdzie niepewność jest realna. Wszystko inne rozstrzygane jest w runtime.
Sesyjna whitelista dla znanego ruchu bezpiecznego. Podpisane procesy wysokoprzepustowe mogą używać Turbo Bypass.
Przegląd operatora z kontekstem DPI, zachowania, GeoIP i AI w jednym widoku.
Natychmiastowa blokada z terminacją połączenia, zabiciem procesu i lokalnym alertem.
Decepcja i forensyka
Siatka honeypotów
Nasłuch TCP na FTP (21), Telnet (23), RDP (3389). Jedna próba połączenia triggeruje permanentną blokadę IP. Brak ścieżki false-positive - legalny ruch nigdy nie dotyka tych portów.
Abyss Sinkhole
Ruch TCP/UDP zaznaczony do blokady jest przechwytywany przed usunięciem. Payload dekodowany hex/base64 przechowywany do forensycznej inspekcji. Grupowanie kampanii z narracją AI co 30 sekund.
WiFi Sentinel
Weryfikacja MAC, egzekucja polityki SSID, wykrywanie rogue access point. Monitoring zmiany bramy z natychmiastową eskalacją alertu.
Mapa zagrożeń GeoIP
Wizualizacja real-time via deck.gl + MapLibre GL. 800 animowanych łuków połączeń, 200 pinów celów, failover LRU cache → SQLite → ip-api → ipwhois → GeoLite2.