- 엔터프라이즈 보안 도구의 고비용(연 $50,000 수준)과 Windows 중심 설계에 불만을 가진 개발자가 만든 리눅스 전용 호스트 기반 보안 모니터링 도구
- 사용자 공간과 커널 공간을 아우르는 다계층 탐지를 통해 악성코드, 루트킷, 은폐 시도를 실시간으로 감시
- 단일 Bash 스크립트로 동작하며, 의존성이 거의 없어 설치가 간단하고 대부분의 Linux 관리자가 직접 읽고 수정 가능
- 저비용 환경(개발자는 $500짜리 노트북에서 개발)에서도 사용할 수 있도록 설계됨
주요 기능
-
실시간 모니터링 : 프로세스, 네트워크, 파일 감시
- eBPF 기반 커널 이벤트 추적 : 실시간 프로세스 실행 추적 및 시스템 콜 분석
- YARA 룰 기반 악성코드 (웹쉘·리버스쉘·암호화폐 채굴기) 탐지
-
위협 대응
- 이상 행동 감지 및 차단 (IP 차단, 프로세스 종료, 파일 격리)
- 루트킷·고급 위협의 은폐 기법 탐지
-
보안 확장
- 네트워크 허니팟으로 공격 탐지 (공격자 유인용 포트 리스닝)
- 위협 인텔리전스 자동 업데이트 (IP 평판 조회 포함)
- 포렌식 로깅 및 무결성 검증
-
운영 편의성
- 단일 Bash 스크립트 기반 (복잡한 설치 불필요)
- Web 대시보드 및 REST API 제공
- Docker 등 컨테이너 환경 최적화
시스템 요구사항
-
Linux Kernel 4.9+ (eBPF 필요)
-
Bash 4.0+