मास्टर सुरक्षा फ्रेमवर्क: आधुनिक अनुप्रयोगों के लिए मेरा मल्टी-लेयर सुरक्षा फ्रेमवर्क

मास्टर सुरक्षा फ्रेमवर्क: आधुनिक अनुप्रयोगों के लिए मेरा मल्टी-लेयर सुरक्षा फ्रेमवर्क

05/18/2026

एमएसएफ

सारांश

मास्टर सिक्योरिटी फ्रेमवर्क (एमएसएफ) एक व्यापक, बहु-भाषा, बहु-परत सुरक्षा ढांचा है जिसे प्रौद्योगिकी स्टैक के सभी स्तरों पर आधुनिक अनुप्रयोगों की सुरक्षा के लिए डिज़ाइन किया गया है। पायथन और टाइपस्क्रिप्ट में कार्यान्वित, एमएसएफ 28 मॉड्यूल में वितरित 350 से अधिक फ़ंक्शन प्रदान करता है, जिसमें प्रमाणीकरण और एन्क्रिप्शन से लेकर वेब हमले का पता लगाने, नेटवर्क विश्लेषण, क्लाउड सुरक्षा, कृत्रिम बुद्धिमत्ता सुरक्षा, अनुकूली हनीपोट्स, सक्रिय रक्षा और उद्यम अनुपालन तक सब कुछ शामिल है। यह आलेख ढांचे में कार्यान्वित प्रत्येक मॉड्यूल, फ़ंक्शन, डिज़ाइन पैटर्न और सुरक्षा तंत्र का विस्तृत तकनीकी विश्लेषण प्रस्तुत करता है।

1. परिचय

1.1. समस्या

आधुनिक अनुप्रयोगों को खतरों के बढ़ते परिष्कृत स्पेक्ट्रम का सामना करना पड़ता है। एक ही सिस्टम को एक साथ कई परतों पर हमलों द्वारा लक्षित किया जा सकता है: भाषा मॉडल में संकेतों का इंजेक्शन, वेब कमजोरियों का शोषण (एक्सएसएस, एसक्यूएलआई, एसएसआरएफ), पोर्ट स्कैनिंग, डीडीओएस हमले, क्लाउड गलत कॉन्फ़िगरेशन, समझौता किए गए कंटेनर, सॉफ्टवेयर आपूर्ति श्रृंखला में कमजोर निर्भरताएं, और नियामक अनुपालन उल्लंघन।

सुरक्षा के लिए पारंपरिक दृष्टिकोण - प्रत्येक समस्या को अलग-अलग उपकरणों के साथ हल करना - रक्षा के साइलो बनाता है जो परतों के बीच अंतराल छोड़ देता है। एमएसएफ को एक एकीकृत सुरक्षा मंच की पेशकश करके इस समस्या को हल करने के लिए डिज़ाइन किया गया था जो एप्लिकेशन की सभी परतों पर काम करता है।

1.2. मास्टर सिक्योरिटी फ्रेमवर्क क्या है?

एमएसएफ एक ओपन-सोर्स सुरक्षा ढांचा है जो दो भाषाओं में लागू किया गया है: पायथन और टाइपस्क्रिप्ट। प्रत्येक मॉड्यूल समान शब्दार्थ के साथ दोनों भाषाओं में मौजूद है, जो बहुभाषी टीमों को प्रौद्योगिकी स्टैक की परवाह किए बिना सुरक्षा क्षमताओं के समान सेट का उपयोग करने की अनुमति देता है।

ढांचा चार स्तंभों के आसपास संरचित है:

  1. रोकथाम: इनपुट सत्यापन, स्वच्छता, एन्क्रिप्शन, कॉन्फ़िगरेशन हार्डनिंग
  2. पता लगाना: हमले के पैटर्न, सांख्यिकीय विसंगतियों, मैलवेयर हस्ताक्षर, संदिग्ध व्यवहार का विश्लेषण
  3. उत्तर: स्वायत्त अलर्ट, संगरोध, रोकथाम, स्व-उपचार
  4. अनुपालन: LGPD, GDPR, HIPAA, PCI-DSS का स्वचालित सत्यापन

1.3. प्रोजेक्ट मेट्रिक्स

  • 243 स्वचालित परीक्षण उत्तीर्ण (77 पायथन + 166 टाइपस्क्रिप्ट)
  • 180 से अधिक कार्यों के साथ 14 पायथन मॉड्यूल
  • 170+ फ़ंक्शन के साथ 14 टाइपस्क्रिप्ट मॉड्यूल
  • ओपन टेलीमेट्री टेलीमेट्री सभी कार्यों में एकीकृत है
  • संरचित लॉगिंग (टाइपस्क्रिप्ट में पिन, पायथन में लॉगुरु)
  • स्वचालित अमान्यकरण के साथ इन-मेमोरी कैश
  • कॉन्फ़िगर करने योग्य सुरक्षा नियमों के लिए नीति इंजन
  • मॉड्यूल के बीच अतुल्यकालिक संचार के लिए इवेंट बस

2. फ्रेमवर्क आर्किटेक्चर

2.1. इन्फ्रास्ट्रक्चर परत (कोर)

एमएसएफ आधार छह बुनियादी ढांचे घटकों से बना है जो अन्य सभी मॉड्यूल द्वारा साझा किए जाते हैं:

वैश्विक कॉन्फ़िगरेशन: एक केंद्रीकृत कॉन्फ़िगरेशन ऑब्जेक्ट जो सुरक्षा पैरामीटर, सीमाएँ, अनुमत/अवरुद्ध सूचियाँ और क्रिप्टोग्राफ़िक कुंजियाँ संग्रहीत करता है। कॉन्फ़िगरेशन को एप्लिकेशन को पुनरारंभ किए बिना पर्यावरण चर से वास्तविक समय में पुनः लोड किया जा सकता है।

नीति इंजन: एक नियम मूल्यांकन प्रणाली जो आपको सुरक्षा नीतियों को संरचित कथनों के रूप में परिभाषित करने की अनुमति देती है। इंजन तार्किक ऑपरेटरों, यौगिक स्थितियों और प्रवर्तन क्रियाओं (अनुमति, अस्वीकार, चेतावनी, लॉग) का समर्थन करता है।

इवेंट बस: एक अतुल्यकालिक पब/उप प्रणाली जो मॉड्यूल को सुरक्षा घटनाओं को प्रकाशित करने और अन्य मॉड्यूल को प्रतिक्रिया के लिए सदस्यता लेने की अनुमति देती है। ईवेंट बस में एक ईवेंट इतिहास और उन ईवेंट के लिए एक मृत पत्र कतार शामिल होती है जो संसाधित होने में विफल रहे।

मेट्रिक्स रजिस्ट्री: एक मेट्रिक्स प्रणाली जो काउंटरों (संचयी गणनाओं के लिए), गेज (तात्कालिक मूल्यों के लिए), और हिस्टोग्राम (वितरण के लिए) का समर्थन करती है। सभी खोज फ़ंक्शन स्वचालित रूप से मेट्रिक्स प्रकाशित करते हैं।

कैश प्रबंधक: कॉन्फ़िगर करने योग्य टीटीएल (टाइम-टू-लाइव) के साथ एक एलआरयू (कम से कम हाल ही में प्रयुक्त) कैश, महंगे सत्यापन परिणाम, आईपी ब्लॉक सूचियां, सत्र फिंगरप्रिंट और निरस्त टोकन संग्रहीत करने के लिए उपयोग किया जाता है।

ओपनटेलीमेट्री: ओपनटेलीमेट्री मानक के साथ पूर्ण एकीकरण, प्रत्येक सुरक्षा ऑपरेशन के लिए वितरित ट्रेसिंग स्पैन उत्पन्न करना। यह रंग की अनुमति देता हैमाइक्रोसर्विसेज आर्किटेक्चर में ट्रेस का अनुरोध करने के लिए सुरक्षा घटनाओं से संबंधित।

संरचित लॉगर: पिन (टाइपस्क्रिप्ट) और लॉगुरु (पायथन) के साथ JSON प्रारूप में संरचित लॉगिंग, जिसमें ट्रेस आईडी, गंभीरता, मॉड्यूल और सुरक्षा मेटाडेटा जैसे स्वचालित संदर्भ शामिल हैं।

अपवाद हैंडलिंग: सुरक्षा अपवादों का एक पदानुक्रम (SecurityError, ValidationError, AuthenticationError, EncryptionError) जो सुरक्षा त्रुटियों के विस्तृत प्रबंधन की अनुमति देता है।

2.2. सुरक्षा परत

बुनियादी ढांचे के संबंध में, एमएसएफ अपने सुरक्षा मॉड्यूल को तीन कार्यात्मक परतों में व्यवस्थित करता है:

इनपुट परत: वेब, एपीआई, प्रामाणिक - एप्लिकेशन प्रवेश बिंदुओं की सुरक्षा करें बुनियादी ढांचा परत: नेटवर्क, क्लाउड, फ़ाइल - अंतर्निहित बुनियादी ढांचे की सुरक्षा करता है बुद्धिमान परत: एआई, निगरानी, रक्षात्मक, हनीपोट - बुद्धिमत्ता और अनुकूलन के साथ सुरक्षा करें

3. प्रमाणीकरण मॉड्यूल (प्रामाणिक)

प्रमाणीकरण मॉड्यूल फ्रेमवर्क में सबसे व्यापक है, जिसमें पायथन में 30 फ़ंक्शन और टाइपस्क्रिप्ट में 7 फ़ंक्शन हैं। इसमें संपूर्ण प्रमाणीकरण जीवनचक्र शामिल है: टोकन पीढ़ी और सत्यापन, सत्र प्रबंधन, हमले का पता लगाना और उन्नत पहचान सत्यापन विधियां।

3.1. JWT (JSON वेब टोकन)

एमएसएफ एक संपूर्ण जेडब्ल्यूटी प्रणाली लागू करता है जो सरल पीढ़ी और सत्यापन से परे है:

  • जेनरेट_जेडब्ल्यूटी विषय, कस्टम दावे, विन्यास योग्य समाप्ति और जारीकर्ता के साथ टोकन बनाता है। HS256, HS384, HS512, RS256, ES256 एल्गोरिदम का समर्थन करता है।
  • validate_jwt हस्ताक्षर, समाप्ति, अनिवार्य दावों की जांच करता है, और डिकोड किए गए पेलोड को लौटाता है। verify_exp पैरामीटर आपको विशिष्ट मामलों के लिए समाप्ति जाँच को अक्षम करने की अनुमति देता है।
  • revoke_jwt टोकन के JTI (JWT ID) को निरस्तीकरण ब्लैकलिस्ट में जोड़ता है। टोकन की प्राकृतिक समाप्ति से पहले लॉग आउट करना आवश्यक है।
  • rotate_jwt पुराने टोकन को मान्य करता है और उसी पहचान के साथ एक नया जारी करता है, जिससे उपयोगकर्ता सत्र को बाधित किए बिना मूक टोकन रोटेशन की अनुमति मिलती है।
  • validate_refresh_token विशिष्ट उपयोगकर्ता से संबंधित सत्यापन के साथ ताज़ा टोकन को मान्य करता है, चोरी हुए ताज़ा टोकन को किसी अन्य उपयोगकर्ता द्वारा उपयोग किए जाने से रोकता है।

3.2. सत्र प्रबंधन

एमएसएफ सत्र प्रणाली में सत्र अपहरण के खिलाफ सुरक्षा शामिल है:

  • सिक्योर_सेशन यूजर_आईडी, आईपी, यूजर एजेंट और डिवाइस फिंगरप्रिंट को लिंक करते हुए एक सत्र बनाता है। यह आपको सत्र संदर्भ में संदिग्ध परिवर्तनों का पता लगाने की अनुमति देता है।
  • validate_session जाँचता है कि क्या session_id उपयोगकर्ता का है और क्या वर्तमान IP सत्र बनाते समय पंजीकृत IP से मेल खाता है।
  • detect_session_hijack वर्तमान आईपी और उपयोगकर्ता एजेंट की तुलना ऐतिहासिक सत्र डेटा से करता है। यदि आईपी किसी भिन्न सबनेट पर चला गया है या उपयोगकर्ता एजेंट महत्वपूर्ण रूप से बदल गया है, तो फ़ंक्शन संभावित अपहरण का संकेत देते हुए सही रिटर्न देता है।
  • डिटेक्ट_टोकन_रीप्ले पहले से उपयोग किए गए टोकन का रिकॉर्ड रखता है। यदि कोई टोकन एक से अधिक बार प्रस्तुत किया जाता है, तो फ़ंक्शन रीप्ले हमले का पता लगाता है।

3.3. प्रमाणीकरण हमले का पता लगाना

एमएसएफ प्रमाणीकरण प्रणालियों के विरुद्ध तीन मुख्य प्रकार के हमलों का पता लगाता है:

  • डिटेक्ट_क्रेडेंशियल_स्टफिंग एकाधिक उपयोगकर्ता खातों के विरुद्ध एक ही आईपी से लॉगिन प्रयासों की निगरानी करता है। यदि कोई आईपी समय की एक विंडो में कई अलग-अलग उपयोगकर्ता नामों की कोशिश करता है, तो इसे क्रेडेंशियल स्टफिंग के रूप में चिह्नित किया जाता है।
  • डिटेक्ट_ब्रूटफोर्स एकल खाते के विरुद्ध लॉगिन प्रयासों की निगरानी करता है। यदि प्रयासों की संख्या समय विंडो में सीमा से अधिक हो जाती है, तो इसे क्रूर बल के रूप में चिह्नित किया जाता है।
  • detect_impossível_travel लगातार दो लॉगिन स्थानों के बीच की दूरी की गणना करता है और बीते हुए समय के साथ इसकी तुलना करता है। यदि बिंदुओं के बीच यात्रा करने के लिए आवश्यक गति उचित भौतिक सीमा (उदाहरण के लिए 900 किमी/घंटा) से अधिक है, तो फ़ंक्शन असंभव यात्रा का पता लगाता है।
  • जियो_वेलोसिटी_चेक सभी लगातार लॉगिन बिंदुओं के बीच भौगोलिक गति की गणना करते हुए, कई स्थानों पर असंभव यात्रा का पता लगाता है।

3.4. अनुकूली और जोखिम-आधारित प्रमाणीकरण

  • adaptive_auth संदर्भ के जोखिम स्कोर के आधार पर प्रमाणीकरण आवश्यकताओं को समायोजित करता है। किसी परिचित स्थान पर किसी परिचित डिवाइस से लॉगिन करने के लिए केवल पासवर्ड की आवश्यकता हो सकती है, जबकि किसी भिन्न देश में नए डिवाइस से लॉगिन करने के लिए अतिरिक्त एमएफए की आवश्यकता हो सकती है।
  • behavioral_auth पंजीकृत व्यवहार आधार रेखा के विरुद्ध उपयोगकर्ता की पहचान को सत्यापित करने के लिए व्यवहार बायोमेट्रिक्स (टाइपिंग पैटर्न, माउस आंदोलन, ब्राउज़िंग लय) का उपयोग करता है।
  • risk_आधारित_auth एकाधिक से समग्र जोखिम स्कोर की गणना करता हैकारकों द्वारा: स्थान, उपकरण, समय, व्यवहार, आईपी प्रतिष्ठा, और आत्मविश्वास के स्तर के साथ प्रमाणीकरण निर्णय लौटाता है।

3.5. टीओटीपी और बैकअप कोड

  • generate_totp कॉन्फ़िगर करने योग्य अंकों और अवधि के साथ RFC 6238 का अनुसरण करते हुए समय-आधारित वन-टाइम पासवर्ड कोड उत्पन्न करता है।
  • validate_totp टीओटीपी टोकन को क्लॉक ड्रिफ्ट टॉलरेंस (बहाव पैरामीटर) के साथ मान्य करता है, जो सर्वर और उपयोगकर्ता के डिवाइस के बीच डीसिंक्रनाइज़ेशन की भरपाई करता है।
  • verify_backup_code बैकअप/रिकवरी कोड को सत्यापित और उपभोग करता है, पुन: उपयोग को रोकने के लिए उपयोग के बाद उन्हें वैध सूची से हटा देता है।

3.6. वेबऑथ्न और पासकीज़

  • passkey_auth प्रमाणक के क्रिप्टोग्राफ़िक हस्ताक्षर, प्रमाणक डेटा और JSON क्लाइंट डेटा की जाँच करके FIDO2/WebAuthn प्रमाणीकरण को मान्य करता है।
  • webauthn_verify पूर्ण WebAuthn अभिकथन जांच करता है, जिसमें पंजीकृत सार्वजनिक कुंजी के विरुद्ध मूल, आरपी आईडी (भरोसेमंद पार्टी आईडी), और क्रिप्टोग्राफ़िक हस्ताक्षर को मान्य करना शामिल है।
  • फ़िशिंग_रेसिस्टेंट_ऑथ जाँचता है कि प्रमाणीकरण विधि फ़िशिंग के लिए प्रतिरोधी है या नहीं, इसके लिए सत्यापित सत्यापन के साथ FIDO2 स्तर 2 या उच्चतर की आवश्यकता होती है।

3.7. पासवर्ड सुरक्षा

  • password_entropy बिट्स में इसकी सूचनात्मक जटिलता को मापते हुए, पासवर्ड की शैनन एन्ट्रॉपी की गणना करता है। 40 बिट से कम एन्ट्रापी वाले पासवर्ड कमजोर माने जाते हैं।
  • detect_weak_password आम पासवर्ड (रॉकयू, टॉप 10000, आदि) की सूचियों की जांच के साथ एन्ट्रापी विश्लेषण को जोड़ता है।
  • password_breach_check जाँचता है कि ज्ञात उल्लंघनों (क्या मुझे Pwned और इसी तरह) के डेटाबेस में पासवर्ड हैश दिखाई देता है।
  • सिक्योर_पासवर्ड_हैश क्रिप्टोग्राफ़िक नमक और कुंजी स्ट्रेचिंग (पुनरावृत्तियों) के साथ पासवर्ड हैश बनाता है, जो पीबीकेडीएफ2, बीक्रिप्ट, स्क्रीप्ट और आर्गन2 जैसे एल्गोरिदम का समर्थन करता है।
  • verify_password_hash स्थिर-समय सुरक्षित तुलना का उपयोग करके संग्रहीत हैश के विरुद्ध पासवर्ड की तुलना करता है।

3.8. डिवाइस और ब्राउज़र फ़िंगरप्रिंटिंग

  • डिवाइस_फ़िंगरप्रिंट उपयोगकर्ता एजेंट, स्क्रीन रिज़ॉल्यूशन, टाइमज़ोन, भाषाओं और प्लेटफ़ॉर्म जैसी विशेषताओं से एक अद्वितीय डिवाइस पहचानकर्ता उत्पन्न करता है।
  • ब्राउज़र_फ़िंगरप्रिंट रेंडरिंग विशेषताओं के आधार पर उन्नत फ़िंगरप्रिंटिंग तकनीकों का उपयोग करता है: 2डी कैनवास हैश, वेबजीएल हैश, ऑडियो संदर्भ हैश और स्थापित फ़ॉन्ट की सूची।
  • बायोमेट्रिक_वैलिडेशन कॉन्फ़िगर करने योग्य समानता सीमा के साथ संग्रहीत टेम्पलेट के विरुद्ध बायोमेट्रिक डेटा (फिंगरप्रिंट, चेहरे की पहचान, आईरिस) की तुलना करता है।

4. क्रिप्टोग्राफी मॉड्यूल (क्रिप्टो)

एन्क्रिप्शन मॉड्यूल प्रमाणीकरण और अखंडता पर ध्यान देने के साथ आधुनिक सममित, असममित और पोस्ट-क्वांटम एन्क्रिप्शन एल्गोरिदम लागू करता है।

4.1. प्रमाणित एन्क्रिप्शन

  • एन्क्रिप्ट_डेटा संबंधित डेटा (एईएडी) के साथ प्रमाणित एन्क्रिप्शन का उपयोग करता है, जो एईएस-256-जीसीएम और चाचा20-पॉली1305 का समर्थन करता है। एसोसिएटेड डेटा (एएडी) आपको अनएन्क्रिप्टेड मेटाडेटा को प्रमाणित तरीके से सिफरटेक्स्ट से लिंक करने की अनुमति देता है।
  • decrypt_data प्रमाणित डिक्रिप्शन करता है, प्लेनटेक्स्ट वापस करने से पहले प्रमाणीकरण टैग की जाँच करता है। यदि टैग मेल नहीं खाता है, तो डिक्रिप्शन विफल हो जाता है, जिससे ओरेकल पैडिंग और सिफरटेक्स्ट हेरफेर हमलों को रोका जा सकता है।
  • एन्क्रिप्ट_फाइल और डिक्रिप्ट_फाइल डिस्क पर फ़ाइलों के लिए प्रमाणित एन्क्रिप्शन का विस्तार करते हैं, नॉन, सॉल्ट और मेटाडेटा को सुरक्षित रूप से प्रबंधित करते हैं।

4.2. हाइब्रिड क्रिप्टोग्राफी

  • hybrid_encrypt सममित एन्क्रिप्शन (पेलोड के लिए) के साथ असममित एन्क्रिप्शन (कुंजी विनिमय के लिए) को जोड़ता है। सममित कुंजी यादृच्छिक रूप से उत्पन्न होती है, जिसका उपयोग पेलोड को एन्क्रिप्ट करने के लिए किया जाता है, और फिर प्राप्तकर्ता की सार्वजनिक कुंजी के साथ एन्क्रिप्ट किया जाता है।
  • hybrid_decrypt प्रक्रिया को उलट देता है: निजी कुंजी के साथ सममित कुंजी को डिक्रिप्ट करता है और फिर पेलोड को डिक्रिप्ट करता है।

4.3. पोस्ट-क्वांटिक क्रिप्टोग्राफी

एमएसएफ एनआईएसटी द्वारा मानकीकृत पोस्ट-क्वांटम एल्गोरिदम लागू करता है:

  • pqc_encrypt और pqc_decrypt क्वांटम कंप्यूटर-प्रतिरोधी एन्क्रिप्शन के लिए ML-KEM (पूर्व में Kyber) का उपयोग करते हैं।
  • kyber_key_exchange पोस्ट-क्वांटम साझा कुंजी स्थापना के लिए Kyber कुंजी विनिमय प्रोटोकॉल लागू करता है।
  • dilithium_sign पोस्ट-क्वांटम डिजिटल हस्ताक्षर के लिए ML-DSA (पूर्व में Dilithium) का उपयोग करता है।
  • sphincs_sign स्टेटलेस पोस्ट-क्वांटम विकल्प के रूप में SPHINCS+ का उपयोग करता है, जो हैश फ़ंक्शंस पर आधारित एक हस्ताक्षर योजना है।
  • फाल्कन_साइन फाल्कन का उपयोग करता है, जो कॉम्पैक्ट हस्ताक्षरों के साथ एक जाली-आधारित हस्ताक्षर योजना है।

4.4. एचएमएसी और हस्ताक्षर सत्यापन

  • generate_hmac एक हैश-बी उत्पन्न करता हैHMAC-SHA256, HMAC-SHA384, HMAC-SHA512, या HMAC-SHA3-256 का उपयोग करके संदेश प्रमाणीकरण कोड तैयार किया गया।
  • verify_hmac निरंतर समय तुलना का उपयोग करके अपेक्षित HMAC के साथ गणना की गई HMAC की तुलना करता है।
  • verify_signature एक संदेश और सार्वजनिक कुंजी के विरुद्ध डिजिटल हस्ताक्षर (Ed25519, ECDSA, RSA-PSS) का सत्यापन करता है।

4.5. क्रिप्टोग्राफ़िक उपयोगिताएँ

  • secure_random os.urandom() (पायथन) या crypto.getRandomValues() (टाइपस्क्रिप्ट) का उपयोग करके क्रिप्टोग्राफ़िक रूप से सुरक्षित बाइट्स उत्पन्न करता है।
  • सिक्योर_मेमोरी_एरेज़ संवेदनशील डेटा वाले मेमोरी क्षेत्रों को शून्य के साथ अधिलेखित कर देता है, जिससे उपयोग के बाद डेटा को मेमोरी में बने रहने से रोका जा सकता है।
  • anti_timing_compare निरंतर समय में बाइट्स के दो अनुक्रमों की तुलना करता है, सभी बाइट्स पर पुनरावृत्ति करता है, भले ही पहला अंतर कहां हो, समय के हमलों को रोकता है।

5. वेब मॉड्यूल

हमले का पता लगाने के मामले में वेब मॉड्यूल सबसे व्यापक है, जिसमें पायथन में 30 और टाइपस्क्रिप्ट में 35 फ़ंक्शन हैं। इसमें OWASP टॉप 10 और उससे आगे सूचीबद्ध सभी वेब भेद्यता श्रेणियां शामिल हैं।

5.1. क्रॉस-साइट स्क्रिप्टिंग (XSS)

  • detect_xss XSS पैटर्न के लिए इनपुट का विश्लेषण करता है जिसमें शामिल हैं: <script> टैग, ईवेंट हैंडलर (onload, onclick, onerror), javascript: URIs, DOM XSS (innerHTML, document.write), और SVG/MathML के माध्यम से XSS। फ़ंक्शन रेगेक्स पैटर्न का एक सेट लेता है और मिलान पैटर्न की संख्या के आधार पर आत्मविश्वास स्कोर की गणना करता है। severity_threshold आपको पहचान संवेदनशीलता को समायोजित करने की अनुमति देता है।
  • sanitize_html सुरक्षित टैग (<p>, <br>, <strong>, <em>, आदि) और सुरक्षित विशेषताओं (href, src, alt, title, आदि) की अनुमति सूची का उपयोग करके HTML से अस्वीकृत टैग और विशेषताओं को हटा देता है। अस्वीकृत टैग पूरी तरह से हटा दिए जाते हैं, और ऑन* जैसी खतरनाक विशेषताओं को फ़िल्टर कर दिया जाता है।
  • sanitize_svg <script>, <foreignObject>, <animate>, और ईवेंट विशेषताओं जैसे खतरनाक तत्वों को हटाकर SVG को स्वच्छ करता है।
  • sanitize_markdown मूल मार्कडाउन फ़ॉर्मेटिंग को संरक्षित करते हुए एम्बेडेड खतरनाक HTML को हटाकर मार्कडाउन को सैनिटाइज़ करता है।
  • sanitize_css expression(), url(javascript:), behavior, और -moz-binding जैसे खतरनाक CSS गुणों को हटा देता है।
  • sanitize_js eval(), Function(), setTimeout/setInterval स्ट्रिंग के साथ, document.write, document.cookie, असुरक्षित DOM हेरफेर और कोड निष्पादन विधियों सहित खतरनाक जावास्क्रिप्ट पैटर्न को हटा देता है।

5.2. SQL और NoSQL इंजेक्शन

  • detect_sqli SQL इंजेक्शन पैटर्न का पता लगाता है जिसमें शामिल हैं: UNION-आधारित (UNION SELECT), ब्लाइंड (AND 1=1, OR '1'='1'), समय-आधारित (SLEEP(), WAITFOR DELAY), त्रुटि-आधारित और स्टैक्ड क्वेरीज़। फ़ंक्शन हेक्स एन्कोडिंग, टिप्पणियां (--, /* */), और स्ट्रिंग कॉन्सटेनेशन जैसी चोरी तकनीकों का भी पता लगाता है।
  • detect_nósqli NoSQL डेटाबेस (मुख्य रूप से MongoDB) में इंजेक्शन का पता लगाता है, जो इनपुट में खतरनाक ऑपरेटरों की पहचान करता है: $gt, $gte, $lt, $lte, $ne, $in, $nin, $regex, $where, $exists

5.3. सर्वर-साइड अनुरोध जालसाजी (एसएसआरएफ)

  • डिटेक्ट_एसएसआरएफ अनुमत डोमेन और अवरुद्ध आईपी की सूची के विरुद्ध यूआरएल की जांच करता है। फ़ंक्शन एसएसआरएफ बाईपास तकनीकों का पता लगाता है जिनमें शामिल हैं: लोकलहोस्ट पर रीडायरेक्ट, डीएनएस रिबाइंडिंग का उपयोग, एन्कोडिंग के साथ यूआरएल (%00, %0d%0a), और क्लाउड मेटाडेटा एंडपॉइंट्स तक पहुंच (169.254.169.254, मेटाडेटा.google.internal)।

5.4. रिमोट कोड निष्पादन (आरसीई) और कमांड इंजेक्शन

  • detect_rce दूरस्थ कोड निष्पादन पैटर्न की पहचान करता है जिसमें eval(), exec(), system(), passthru(), popen(), बैकटिक्स और पाइप ऑपरेटर्स की कॉल शामिल हैं।
  • डिटेक्ट_कमांड_इंजेक्शन शेल ऑपरेटरों का उपयोग करके ओएस कमांड इंजेक्शन का पता लगाता है: ;, |, ||, &&, बैकटिक्स, $(), और रीडायरेक्ट (>, >>)।

5.5. फ़ाइल समावेशन और पथ ट्रैवर्सल

  • डिटेक्ट_एलएफआई पथ ट्रैवर्सल (../, ..\), एन्कोडेड ट्रैवर्सल (%2e%2e%2f), और खतरनाक प्रोटोकॉल (php://filter, php://input, data://, expect://) के अनुक्रमों की पहचान करके स्थानीय फ़ाइल समावेशन का पता लगाता है।
  • जब बाहरी यूआरएल को शामिल/आवश्यक पैरामीटर के रूप में पारित किया जाता है तो detect_rfi रिमोट फ़ाइल समावेशन का पता लगाता है।
  • detect_path_traversal जाँचता है कि कोई पथ अनुमत base_path के भीतर हल होता है या नहीं, निरपेक्ष और सापेक्ष ट्रैवर्सल का पता लगाता है।

5.6. टेम्पलेट इंजेक्शन

  • detect_template_injection Jinja2 के लिए सर्वर-साइड टेम्पलेट इंजेक्शन (SSTI) का पता लगाता है ({{ 7*7 }}, {% for %}), EJS (<%= %>), हैंडलबार्स ({{#each}}), पग, ट्विग, मूंछें, और एक सामान्य मोड जो सामान्य टेम्पलेट सिंटैक्स का पता लगाता है।

5.7. अक्रमांकन औररीडायरेक्ट खोलें

  • detect_deserialization_attack अनुमत वर्गों और ज्ञात गैजेट पैटर्न (जावा क्रमबद्धता, पायथन अचार, PHP unserialize, YAML deserialization) की जाँच करके असुरक्षित deserialization की पहचान करता है।
  • डिटेक्ट_ओपन_रीडायरेक्ट यह जांचता है कि रीडायरेक्ट यूआरएल श्वेतसूची में किसी होस्ट की ओर इशारा करता है या नहीं, दुर्भावनापूर्ण डोमेन पर रीडायरेक्ट को रोकता है।

5.8. सीएसआरएफ, सीओआरएस और सीएसपी सुरक्षा

  • csrf_protect और validate_csrf सुरक्षित तुलना का उपयोग करके सत्र टोकन के विरुद्ध अनुरोध CSRF टोकन की जाँच करें।
  • validate_cors अनुमत सूचियों के विरुद्ध उत्पत्ति, विधियों और शीर्षलेखों की जाँच करके CORS अनुरोधों को मान्य करता है।
  • जेनरेट_सीएसपी निर्देश विन्यास (स्क्रिप्ट-src, स्टाइल-src, img-src, कनेक्ट-src, फ्रेम-पूर्वजों, आदि) से सामग्री-सुरक्षा-नीति हेडर उत्पन्न करता है।
  • validate_csp एक परिभाषित सुरक्षा नीति के विरुद्ध मौजूदा CSP हेडर को मान्य करता है।
  • सिक्योर_हेडर्स सुरक्षा हेडर का एक पूरा सेट तैयार करता है: स्ट्रिक्ट-ट्रांसपोर्ट-सिक्योरिटी, एक्स-फ्रेम-ऑप्शंस, एक्स-कंटेंट-टाइप-ऑप्शंस, एक्स-एक्सएसएस-प्रोटेक्शन, रेफरर-पॉलिसी, परमिशन-पॉलिसी और कंटेंट-सिक्योरिटी-पॉलिसी।

5.9. सुरक्षित कुकीज़ और क्लिकजैकिंग

  • सिक्योर_कुकी सिक्योर, एचटीटीपीओनली, सेमसाइट (स्ट्रिक्ट या लैक्स), डोमेन स्कोप, पथ और अधिकतम-आयु झंडे के साथ सेट-कुकी हेडर उत्पन्न करता है।
  • डिटेक्ट_क्लिकजैकिंग क्लिकजैकिंग भेद्यता का पता लगाने के लिए एक्स-फ्रेम-ऑप्शंस हेडर और सीएसपी फ्रेम-पूर्वजों की उपस्थिति की जांच करता है।
  • validate_origin और validate_referer अपेक्षित डोमेन के विरुद्ध उत्पत्ति और रेफरर हेडर को मान्य करते हैं।

5.10. वेबहुक

  • webhook_signature वेबहुक पेलोड के लिए HMAC हस्ताक्षर उत्पन्न करता है, जिसमें रीप्ले रोकथाम के लिए टाइमस्टैम्प भी शामिल है।
  • webhook_replay_protection वेबहुक हस्ताक्षर और टाइमस्टैम्प की जांच करता है, कॉन्फ़िगर समय विंडो के बाहर अनुरोधों को अस्वीकार करता है।

6. एपीआई मॉड्यूल

एपीआई मॉड्यूल विभिन्न प्रकार के हमलों और दुरुपयोग के खिलाफ एपीआई एंडपॉइंट्स की सुरक्षा करता है।

6.1. इनपुट सत्यापन और स्वच्छता

  • validate_json_schema वैकल्पिक सख्त मोड के साथ JSON स्कीमा परिभाषाओं के विरुद्ध डेटा को मान्य करता है जो स्कीमा में परिभाषित नहीं किए गए अतिरिक्त फ़ील्ड को अस्वीकार करता है।
  • validate_input प्रकार के नियमों (स्ट्रिंग, संख्या, बूलियन, सरणी, ऑब्जेक्ट), न्यूनतम/अधिकतम आकार, रेगेक्स पैटर्न, अनुमत मानों की गणना और अधिकतम नेस्टिंग गहराई (डिफ़ॉल्ट: 5 स्तर) के विरुद्ध एपीआई इनपुट को मान्य करता है।
  • sanitize_json अस्वीकृत प्रकारों को हटाकर और कॉन्फ़िगर की गई अधिकतम लंबाई (डिफ़ॉल्ट: 10,000 वर्ण) से अधिक स्ट्रिंग को काटकर JSON डेटा को स्वच्छ करता है।

6.2. दर सीमित करना

  • api_rate_limit प्रति क्लाइंट और एंडपॉइंट के अनुरोध टाइमस्टैम्प का रिकॉर्ड रखते हुए, स्लाइडिंग विंडो एल्गोरिदम का उपयोग करके दर सीमित करता है। जब विंडो में अनुरोधों की संख्या सीमा से अधिक हो जाती है, तो अनुरोध अस्वीकार कर दिया जाता है।
  • adaptive_rate_limit ग्राहक के व्यवहार के आधार पर दर सीमा को गतिशील रूप से समायोजित करता है। साफ-सुथरे रिकॉर्ड वाले ग्राहकों को अधिक उदार सीमाएँ मिलती हैं, जबकि संदिग्ध पैटर्न वाले ग्राहकों को अधिक प्रतिबंधात्मक सीमाएँ मिलती हैं।

6.3. एपीआई दुरुपयोग का पता लगाना

  • detect_api_abuse पता लगाने के लिए अनुरोध पैटर्न का विश्लेषण करता है: स्क्रैपिंग (कई संसाधनों के लिए अनुक्रमिक अनुरोध), गणना (अनुक्रमिक आईडी प्रयास), फ़ज़िंग (विभिन्न विकृत पेलोड के साथ अनुरोध), और दुर्भावनापूर्ण स्वचालन (नियमित पैटर्न के साथ उच्च आवृत्ति)।
  • डिटेक्ट_शैडो_एपीआई दस्तावेज़ीकृत एपीआई की सूची के विरुद्ध एक्सेस किए गए एंडपॉइंट्स की तुलना करके उन अनिर्दिष्ट एंडपॉइंट्स की पहचान करता है जो ट्रैफ़िक प्राप्त कर रहे हैं।

6.4. टूटी हुई वस्तु स्तर प्राधिकरण (BOLA/IDOR)

  • डिटेक्ट_बोला यह जांचता है कि उपयोगकर्ता अनुरोधित संसाधन तक पहुंचने के लिए अधिकृत है या नहीं, रिसोर्स_आईडी की तुलना स्वामित्व_मैप से करता है जो संसाधनों को उनके मालिकों के लिए मैप करता है। यदि उपयोगकर्ता स्वामी नहीं है और उसके पास प्रत्यायोजित अनुमतियाँ नहीं हैं, तो फ़ंक्शन सत्य लौटाता है।

6.5. टूटा हुआ प्रमाणीकरण और सामूहिक असाइनमेंट

  • डिटेक्ट_ब्रोकन_ऑथ प्रमाणीकरण टोकन की उपस्थिति और वैधता, समापन बिंदु के लिए आवश्यक दायरे और टोकन और अनुरोधित उपयोगकर्ता के बीच पत्राचार की जांच करता है।
  • detect_mass_assignment जाँचता है कि क्या एपीआई इनपुट में ऐसे फ़ील्ड हैं जो मॉडल (model_fields) में नहीं हैं या जो केवल-पढ़ने योग्य फ़ील्ड (readonly_fields) की सूची में हैं, हमलावरों को is_admin, role, या balance जैसे संरक्षित फ़ील्ड को संशोधित करने से रोकता है।

6.6. ग्राफक्यूएल सुरक्षा

  • graphql_depth_limit ग्राफक्यूएल प्रश्नों की गहराई का विश्लेषण करता है, कॉन्फ़िगर सीमा (डिफ़ॉल्ट: 10 स्तर) से अधिक प्रश्नों को अस्वीकार करता है। यह उन हमलों को रोकता हैपुनरावर्ती प्रतिक्रियाएँ जो सेवा से इनकार का कारण बन सकती हैं।
  • ग्राफक्यूएल_कॉस्ट_एनालिसिस प्रत्येक फ़ील्ड की जटिलता (जटिलता_मैप के माध्यम से कॉन्फ़िगर करने योग्य) और नेस्टिंग स्तर के आधार पर ग्राफक्यूएल क्वेरी की कम्प्यूटेशनल लागत की गणना करता है। सीमा (डिफ़ॉल्ट: 1000) से अधिक लागत वाली क्वेरीज़ अस्वीकार कर दी जाती हैं।
  • graphql_abuse_detection क्वेरी बाढ़, आत्मनिरीक्षण दुरुपयोग (एपीआई को मैप करने के लिए स्कीमा का शोषण करने वाली क्वेरी), और दोहराए जाने वाले दुरुपयोग पैटर्न का पता लगाने के लिए एक समय विंडो में कई प्रश्नों का विश्लेषण करता है।

6.7. जीआरपीसी और वेबसॉकेट सुरक्षा

  • grpc_security_validation मेटाडेटा, अनिवार्य हेडर और टीएलएस जानकारी (सिफर सूट, प्रोटोकॉल, पीयर सर्टिफिकेट) की जांच करके जीआरपीसी अनुरोधों की सुरक्षा को मान्य करता है।
  • सिक्योर_वेबसॉकेट मूल सत्यापन और अनुमत उपप्रोटोकॉल के साथ सुरक्षित वेबसॉकेट कनेक्शन को कॉन्फ़िगर करता है।
  • websocket_origin_validation और websocket_flood_protection दुर्भावनापूर्ण WebSocket कनेक्शन और कनेक्शन बाढ़ से बचाते हैं।

6.8. एपीआई कुंजी प्रबंधन

  • api_key_rotation सुरक्षित हैश (SHA3-256), पहचान योग्य उपसर्ग और कॉन्फ़िगर करने योग्य समाप्ति तिथि के साथ नई एपीआई कुंजी उत्पन्न करता है।
  • api_key_validation ज्ञात कुंजियों की रजिस्ट्री के विरुद्ध API कुंजियों को मान्य करता है, दायरे, समाप्ति और व्यक्तिगत दर सीमाओं की जाँच करता है।

7. आर्टिफिशियल इंटेलिजेंस (एआई) मॉड्यूल

एआई मॉड्यूल एमएसएफ के सबसे नवीन मॉड्यूल में से एक है, जो बड़े भाषा मॉडल (एलएलएम) का उपयोग करने वाले अनुप्रयोगों के लिए पूर्ण सुरक्षा प्रदान करता है।

7.1. शीघ्र इंजेक्शन और जेलब्रेक संरक्षण

  • detect_prompt_injection इंजेक्शन पैटर्न के लिए संकेतों का विश्लेषण करता है जैसे "पिछले निर्देशों को अनदेखा करें", "सभी नियमों को भूल जाएं", "सिस्टम:", "आप अभी हैं", "पिछले सभी को अनदेखा करें", "सिस्टम निर्देशों को ओवरराइड करें", "सुरक्षा को बायपास करें", "जैसे आप हैं वैसे ही कार्य करें", "दिखाएं कि आप हैं", "अब से आप हैं", "डेवलपर मोड:", और मार्कअप पैटर्न जो सिस्टम निर्देशों को अनुकरण करने का प्रयास करते हैं। फ़ंक्शन 20 से अधिक रेगेक्स पैटर्न का उपयोग करता है और मैचों की संख्या और प्रॉम्प्ट की लंबाई के आधार पर आत्मविश्वास स्कोर की गणना करता है।
  • `डिटेक्ट_जेलब्रेक' विशेष रूप से एलएलएम सुरक्षा प्रतिबंधों को दरकिनार करने के उद्देश्य से जेलब्रेक प्रयासों का पता लगाता है, जिसमें शामिल हैं: डीएएन मोड, "अभी कुछ भी करें", "सुरक्षा अक्षम करें", "अप्रतिबंधित मोड", "बिना किसी प्रतिबंध के", "अपने सुरक्षा दिशानिर्देशों को अनदेखा करें", "आपको अपने नियमों का पालन नहीं करना है", "अप्रतिबंधित भूमिका निभाएं", "काल्पनिक परिदृश्य जहां आप कर सकते हैं", "इस वैकल्पिक ब्रह्मांड में", और "केवल शैक्षिक उद्देश्यों के लिए" बाईपास के औचित्य के रूप में उपयोग किए जाने वाले पैटर्न।

7.2. संवेदनशील डेटा सुरक्षा

  • डिटेक्ट_सेंसिटिव_लीक संवेदनशील डेटा के लिए टेक्स्ट को स्कैन करता है: एसएसएन/सीपीएफ, क्रेडिट कार्ड नंबर (लुहान चेकसम सत्यापन के साथ), ईमेल, फोन नंबर, एपीआई कुंजी (एडब्ल्यूएस, जीसीपी, गिटहब, स्ट्राइप मानक), पासवर्ड, जेडब्ल्यूटी टोकन, निजी कुंजी (पीईएम हेडर), और क्रिप्टोकुरेंसी वॉलेट पते।
  • डिटेक्ट_प्रोम्प्ट_लीक टेक्स्ट समानता का उपयोग करके सिस्टम प्रॉम्प्ट के साथ उपयोगकर्ता प्रॉम्प्ट की सामग्री की तुलना करके एलएलएम सिस्टम प्रॉम्प्ट को निकालने के प्रयासों का पता लगाता है। यदि उपयोगकर्ता सिस्टम प्रॉम्प्ट के कुछ हिस्सों को पुन: उत्पन्न करने या अनुमान लगाने का प्रयास कर रहा है, तो फ़ंक्शन इसे चिह्नित करता है।
  • detect_data_exfiltration संवेदनशील डेटा के लिए एलएलएम आउटपुट का विश्लेषण करता है जिसे प्रतिक्रिया में अनजाने में शामिल किया गया हो सकता है।

7.3. स्वच्छता

  • sanitize_prompt यूजर प्रॉम्प्ट से अवरुद्ध पैटर्न को हटाता है और लंबाई सीमा लागू करता है।
  • sanitize_llm_output एलएलएम आउटपुट से स्क्रिप्ट, इवेंट हैंडलर और संवेदनशील डेटा को हटा देता है, यदि आवश्यक हो तो ट्रंकेशन लागू करता है।
  • ai_memory_sanitizer संवेदनशील डेटा और समाप्त हो चुकी प्रविष्टियों को हटाकर, प्रतिधारण नीति के आधार पर AI मेमोरी प्रविष्टियों को साफ करता है।

7.4. मॉडल और एजेंट दुर्व्यवहार का पता लगाना

  • detect_model_abuse मॉडल के दुरुपयोग का पता लगाने के लिए अनुरोध पैटर्न का विश्लेषण करता है: अत्यधिक पुनरावृत्ति (एक ही संकेत कई बार भेजा गया), उच्च अनुरोध दर (30/मिनट से ऊपर), और असामान्य जटिलता (बहुत गहरी या लंबी क्वेरी)। दुरुपयोग स्कोर की गणना पैटर्न मिलान, दोहराव, दर और जटिलता के भारित संयोजन के रूप में की जाती है।
  • डिटेक्ट_एजेंट_एब्यूज यह जांच कर एआई एजेंटों के व्यवहार की निगरानी करता है कि क्या किए गए कार्य परिभाषित नीतियों (अनुमत कार्यों, कॉल सीमा, पहुंच प्रतिबंध) के भीतर हैं।

7.5. एलएलएम फ़ायरवॉल और नीति इंजन

  • llm_firewall कॉन्फ़िगर करने योग्य क्रियाओं (ब्लॉक, चेतावनी, लॉग) के साथ एलएलएम फ़ायरवॉल नियमों के एक सेट के विरुद्ध इनपुट का मूल्यांकन करता है। प्रत्येक नियम एक पैटर्न, एक स्थिति और एक क्रिया निर्दिष्ट करता है।
  • ai_policy_engine मूल्यांकन करता हैएलएलएम प्रॉम्प्ट और आउटपुट दोनों सुरक्षा नीतियों के एक सेट के खिलाफ हैं, जिनमें शामिल हैं: दुर्भावनापूर्ण कोड उत्पन्न करने पर प्रतिबंध, व्यक्तिगत जानकारी का खुलासा करने पर प्रतिबंध, तथ्यात्मक दावों के लिए स्रोतों की आवश्यकता और डोमेन-विशिष्ट प्रतिबंध।

7.6. आरएजी और मतिभ्रम

  • रैग_सोर्स_वैलिडेशन आरएजी (रिट्रीवल-ऑगमेंटेड जेनरेशन) सिस्टम में उपयोग किए जाने वाले स्रोतों की विश्वसनीयता को मान्य करता है, यह जांचता है कि स्रोत डोमेन विश्वसनीय सूची में हैं या नहीं और तारीख, लेखक और प्रतिष्ठा की जांच जैसे सत्यापन नियमों को लागू करता है।
  • 'मतिभ्रम_जोखिम' एलएलएम आउटपुट में मतिभ्रम के जोखिम का विश्लेषण करके आकलन करता है: कम आत्मविश्वास स्कोर, असत्यापित बयान, तथ्यात्मक विसंगतियां, और अनिश्चितता का संकेत देने वाले भाषा पैटर्न।

7.7. रेलिंग और टूल कॉल सत्यापन

  • ai_output_guard एलएलएम आउटपुट में रेलिंग और रिडक्शन नियम लागू करता है, निषिद्ध सामग्री को हटाता है और संवेदनशील डेटा को रिडक्ट करता है।
  • tool_call_validation यह जांच कर टूल कॉल (फ़ंक्शन कॉलिंग) को मान्य करता है कि क्या टूल अनुमत सूची में है और क्या तर्क अपेक्षित स्कीमा के अनुरूप हैं।
  • मल्टी_एजेंट_आइसोलेशन कई एआई एजेंटों के बीच अलगाव और संचार नीतियों को मान्य करता है, एक एजेंट को दूसरे से समझौता करने से रोकता है।

7.8. निगरानी

  • ai_token_monitor परिभाषित सीमाओं (प्रति अनुरोध, प्रति मिनट, प्रति दिन, प्रति लागत) के विरुद्ध एलएलएम टोकन के उपयोग की निगरानी करता है, सीमा के करीब पहुंचने या उससे अधिक होने पर अलर्ट उत्पन्न करता है।
  • ai_behavior_monitor स्थापित बेसलाइन से विचलन के लिए AI व्यवहार की निगरानी करता है, प्रतिक्रिया पैटर्न में बदलाव, बढ़ी हुई त्रुटियों या अप्रत्याशित व्यवहार का पता लगाता है।

8. नेटवर्क मॉड्यूल

नेटवर्क मॉड्यूल नेटवर्क-स्तरीय खतरे का पता लगाने की सुविधा प्रदान करता है, जिसमें पोर्ट स्कैनिंग से लेकर कमांड-एंड-कंट्रोल संचार तक सब कुछ शामिल है।

8.1. स्कैन जांच

  • डिटेक्ट_पोर्ट_स्कैन पोर्ट स्कैन का पता लगाने के लिए स्रोत आईपी से कनेक्शन का विश्लेषण करता है। फ़ंक्शन एक्सेस किए गए अद्वितीय पोर्ट की गणना करता है, कनेक्शन दर (प्रति सेकंड कनेक्शन) की गणना करता है, और टीसीपी ध्वज पैटर्न (SYN बाढ़, SYN-RST पैटर्न) का विश्लेषण करता है। पता लगाए गए स्कैन प्रकारों में शामिल हैं: SYN स्कैन, FIN स्कैन, XMAS स्कैन, NULL स्कैन और UDP स्कैन। कॉन्फ़िगर करने योग्य सीमा आपको संवेदनशीलता को समायोजित करने की अनुमति देती है (डिफ़ॉल्ट: 60 सेकंड में 20 एकल पोर्ट)।
  • डिटेक्ट_डीएनएस_टनलिंग टनलिंग का पता लगाने के लिए डीएनएस प्रश्नों का विश्लेषण करता है, उपडोमेन की शैनन एन्ट्रॉपी की गणना करता है (डीएनएस प्रश्नों में एन्कोड किए गए डेटा में उच्च एन्ट्रॉपी होती है), उपडोमेन के औसत आकार को मापता है, और एक विशिष्ट डोमेन के लिए प्रश्नों की आवृत्ति की गणना करता है।

8.2. यातायात विसंगति का पता लगाना

  • detect_traffic_anomaly स्थिर z-स्कोर का उपयोग करके एक ऐतिहासिक आधार रेखा के विरुद्ध वर्तमान ट्रैफ़िक मेट्रिक्स (बाइट्स प्रति सेकंड, पैकेट प्रति सेकंड, कनेक्शन प्रति सेकंड, प्रोटोकॉल वितरण) की तुलना करता है। सीमा से ऊपर विचलन (डिफ़ॉल्ट: 2.0 मानक विचलन) को विसंगतियों के रूप में चिह्नित किया जाता है।
  • detect_ddos कॉन्फ़िगर करने योग्य सीमा और समय विंडो के साथ, बेसलाइन के विरुद्ध प्रति सेकंड बाइट्स/पैकेट में स्पाइक्स का विश्लेषण करके सेवा हमलों के वितरित इनकार का पता लगाता है।

8.3. प्रॉक्सी, वीपीएन और टोर डिटेक्शन

  • डिटेक्ट_प्रॉक्सी प्रॉक्सी के संकेतक HTTP हेडर की जांच करता है (एक्स-फॉरवर्डेड-फॉर, वाया, एक्स-रियल-आईपी, फॉरवर्डेड) और प्रॉक्सी कनेक्शन के व्यवहार पैटर्न का विश्लेषण करता है।
  • डिटेक्ट_वीपीएन ज्ञात वीपीएन प्रदाता आईपी के डेटाबेस के विरुद्ध स्रोत आईपी की जांच करता है।
  • डिटेक्ट_टोर टोर नेटवर्क से नोड्स और निकास नोड्स की सूचियों की तुलना करके जांच करता है कि आईपी टोर नेटवर्क से संबंधित है या नहीं।

8.4. आईपी और डोमेन सत्यापन

  • validate_ip CIDR मिलान का उपयोग करके अनुमत श्रेणियों और ब्लॉकों के विरुद्ध IPv4 पतों को मान्य करता है। सीआईडीआर नोटेशन (जैसे 192.168.1.0/24) और व्यक्तिगत श्रेणियों का समर्थन करता है।
  • validate_domain एक अनुमत सूची (उदाहरण के लिए सिर्फ .com, .org, .br) के विरुद्ध TLD और अवरुद्ध सूची के विरुद्ध पूर्ण डोमेन की जाँच करके डोमेन को मान्य करता है।

8.5. स्पूफ़िंग डिटेक्शन और एआरपी पॉइज़निंग

  • डिटेक्ट_स्पूफिंग आईपी स्पूफिंग का पता लगाने के लिए अपेक्षित स्रोतों और नेटवर्क टोपोलॉजी के विरुद्ध पैकेट डेटा का विश्लेषण करता है, यह जांचता है कि स्रोत आईपी अपेक्षित मार्ग के अनुरूप है या नहीं।
  • detect_arp_poisoning अपेक्षित IP-टू-MAC मैपिंग के विरुद्ध वर्तमान ARP तालिका की तुलना करता है, यह पता लगाता है कि एक MAC पता एकाधिक IP पर प्रतिक्रिया करता है या जब मैपिंग अप्रत्याशित रूप से बदलती है।

8.6. टीएलएस फ़िंगरप्रिंटिंग

  • tls_fingerprint हैंडशेक (सिफर सूट, एक्सटेंशन, अण्डाकार वक्र, डॉट प्रारूप) से एक टीएलएस फिंगरप्रिंट उत्पन्न करता है और तुलना करता हैग्राहक की पहचान करने के लिए ज्ञात फ़िंगरप्रिंट के डेटाबेस में।
  • ja3_fingerprint एक TLS-विशिष्ट JA3 हैश क्लाइंटहेलो उत्पन्न करता है, जो बातचीत मापदंडों के आधार पर TLS ग्राहकों की पहचान करने के लिए एक उद्योग मानक है।

8.7. बीकनिंग और सी2 डिटेक्शन

  • बीकनिंग_डिटेक्शन कनेक्शन के बीच अंतराल की नियमितता का विश्लेषण करके बीकनिंग व्यवहार (कमांड-एंड-कंट्रोल के साथ आवधिक संचार) का पता लगाता है। बहुत नियमित अंतराल (कम घबराहट) और उच्च अंतराल सहसंबंध वाले कनेक्शन बीकनिंग के संकेत हैं।
  • `कमांड_एंड_कंट्रोल_डिटेक्शन' सी2 के ज्ञात संकेतकों के विरुद्ध ट्रैफ़िक पैटर्न का विश्लेषण करता है: डीजीए (डोमेन जेनरेशन एल्गोरिदम) डोमेन के साथ संचार, गैर-मानक बंदरगाहों पर ट्रैफ़िक, बीकनिंग पैटर्न और टनलिंग प्रोटोकॉल (डीएनएस, आईसीएमपी, HTTP) का उपयोग।

8.8. पार्श्व आंदोलन और नेटवर्क विश्लेषण

  • `लेटरल_मूवमेंट_डिटेक्शन' नेटवर्क पर मेजबानों के बीच पहुंच पैटर्न का विश्लेषण करके पार्श्व आंदोलन का पता लगाता है: उन मेजबानों तक पहुंच जिन तक उपयोगकर्ता सामान्य रूप से पहुंच नहीं पाता है, असामान्य मेजबानों के लिए दूरस्थ प्रशासन प्रोटोकॉल (आरडीपी, एसएसएच, डब्लूएमआई) का उपयोग, और एक ग्राफ पैटर्न में पहुंच का प्रसार।
  • नेटवर्क_एंट्रॉपी_एनालिसिस एन्क्रिप्टेड या स्क्रैम्बल ट्रैफ़िक का पता लगाने के लिए नेटवर्क पैकेट की एन्ट्रॉपी का विश्लेषण करता है (उच्च एन्ट्रॉपी यादृच्छिक या एन्क्रिप्टेड डेटा को इंगित करता है)।
  • ट्रैफ़िक_बिहेवियर_एनालिसिस संचार पैटर्न में बदलाव का पता लगाते हुए, समय विंडो में स्थापित बेसलाइन के विरुद्ध ट्रैफ़िक व्यवहार का विश्लेषण करता है।
  • protocol_anomaly_detection अपेक्षित विनिर्देश (आवश्यक फ़ील्ड, मान्य मान, संदेश अनुक्रम) के विरुद्ध प्रोटोकॉल डेटा की तुलना करके प्रोटोकॉल में विसंगतियों का पता लगाता है।

9. क्लाउड मॉड्यूल

क्लाउड मॉड्यूल कंटेनर, कुबेरनेट्स, स्टोरेज, आईएएम, आईएसी और आपूर्ति श्रृंखला को कवर करते हुए एडब्ल्यूएस, जीसीपी और एज़्योर पर क्लाउड इंफ्रास्ट्रक्चर की सुरक्षा करता है।

9.1. कंटेनर सुरक्षा

  • validate_dockerfile सुरक्षा सर्वोत्तम प्रथाओं के विरुद्ध Dockerfiles को मान्य करता है: latest टैग का उपयोग न करें, रूट के रूप में न चलाएं, HEALTHCHECK शामिल करें, हार्डकोडेड रहस्यों को शामिल न करें, न्यूनतम आधार छवियों (अल्पाइन, डिस्ट्रोलेस) का उपयोग करें, और अनावश्यक पोर्ट को उजागर न करें।
  • detect_container_escape जांच करके संभावित कंटेनर एस्केप वैक्टर का पता लगाता है: विशेषाधिकार प्राप्त मोड, खतरनाक क्षमताएं (SYS_ADMIN, SYS_PTRACE, NET_ADMIN), संवेदनशील होस्टपाथ माउंटिंग (/, /etc, /proc, /sys), seccomp/AppArmor प्रोफाइल की कमी, और होस्ट नेमस्पेस शेयरिंग।
  • runtime_container_protection खतरे के नियमों के विरुद्ध रनटाइम पर कंटेनर घटनाओं का विश्लेषण करता है और स्वचालित क्रियाएं करता है (ब्लॉक, अलर्ट, अलग, समाप्त, लॉग)।
  • कंटेनर_इमेज_स्कैन ज्ञात कमजोरियों (सीवीई) के लिए कंटेनर छवि परतों को स्कैन करता है और छवि हस्ताक्षर (कोसाइन, नोटरी) की जांच करता है।

9.2. कुबेरनेट्स सुरक्षा

  • validate_k8s_rbac कुबेरनेट्स RBAC कॉन्फ़िगरेशन को कम से कम विशेषाधिकार के सिद्धांतों के विरुद्ध मान्य करता है: वाइल्डकार्ड (*) के साथ क्लस्टररोल का पता लगाना, अत्यधिक अनुमतियों के साथ सर्विसअकाउंट, बाइंडिंग जो रहस्यों तक पहुंच प्रदान करती है, और भूमिकाएं जो पॉड्स में निष्पादन की अनुमति देती हैं।
  • validate_kubernetes_manifest पॉड सुरक्षा नीतियों और नेटवर्क नीतियों के विरुद्ध कुबेरनेट्स मैनिफ़ेस्ट को मान्य करता है: रूट के रूप में चलने वाले पॉड का पता लगाएं, बिना संसाधन सीमा के, होस्टनेटवर्क/होस्टपीआईडी/होस्टआईपीसी के साथ, बिना रीडऑनलीरूटफाइल सिस्टम के, और बिना सिक्योरिटी कॉन्टेक्स्ट के।
  • runtime_k8s_anomaly कुबेरनेट्स रनटाइम घटनाओं में असामान्य व्यवहार का पता लगाता है: असामान्य नामस्थानों में पॉड्स का निर्माण, आरबीएसी में परिवर्तन, गैर-मानक रहस्यों तक पहुंच, और पॉड्स के बीच संचार जो सामान्य रूप से संचार नहीं करते हैं।

9.3. भंडारण और IAM

  • डिटेक्ट_पब्लिक_बकेट जांच करके सार्वजनिक रूप से सुलभ क्लाउड स्टोरेज बकेट का पता लगाता है: प्राथमिक: "*" के साथ बकेट नीतियां, सार्वजनिक एसीएल, सार्वजनिक एक्सेस ब्लॉकिंग अक्षम, और वेबसाइट कॉन्फ़िगरेशन जो बकेट को उजागर करते हैं।
  • validate_s3_permissions सुरक्षा आवश्यकताओं के विरुद्ध S3 बकेट अनुमतियों को मान्य करता है: यह जाँचना कि कोई सार्वजनिक लेखन अनुमतियाँ नहीं हैं, एन्क्रिप्शन सक्षम है, संस्करण सक्रिय है, और लॉगिंग कॉन्फ़िगर की गई है।
  • validate_iam_policy अनुमत और अस्वीकृत कार्यों की सूचियों के विरुद्ध IAM नीतियों को मान्य करता है, अति-अनुमति का पता लगाता है: वाइल्डकार्ड के साथ कार्य (s3:*, *), सभी सेवाओं के संसाधनों तक पहुंच, और प्रतिबंध शर्तों की अनुपस्थिति।

9.4. कोड के रूप में बुनियादी ढाँचा

  • validate_terraform सुरक्षा नीतियों के विरुद्ध टेराफॉर्म योजनाओं को मान्य करता है: एन्क्रिप्शन अक्षम वाले संसाधनों का पता लगाएं, खुले प्रवेश नियमों वाले सुरक्षा समूह (0.0.0.0/0), सार्वजनिक बकेट, अनबैक्ड डेटाबेस और टैग की पहचान के बिना संसाधन।
  • detect_cloud_misconfig प्रति प्रदाता सुरक्षा बेसलाइन (AWS, GCP, Azure) के विरुद्ध वर्तमान कॉन्फ़िगरेशन की तुलना करके क्लाउड इंफ्रास्ट्रक्चर गलत कॉन्फ़िगरेशन का पता लगाता है।

9.5. रहस्य और आपूर्ति श्रृंखला

  • validate_secrets_manager रहस्य प्रबंधक कॉन्फ़िगरेशन को मान्य करता है: स्वचालित रोटेशन सक्षम, KMS के साथ आराम पर एन्क्रिप्शन, प्रतिबंधात्मक पहुंच नीतियां, और एक्सेस लॉगिंग सक्षम।
  • सप्लाई_चेन_वैलिडेशन विश्वसनीय स्रोतों और भेद्यता डेटाबेस के विरुद्ध सॉफ़्टवेयर निर्भरता को मान्य करता है, असत्यापित स्रोतों से पैकेजों का पता लगाता है, ज्ञात सीवीई वाले संस्करण और प्रतिबंधात्मक लाइसेंस वाली निर्भरताओं का पता लगाता है।
  • sbom_generator SPDX या CycloneDX प्रारूपों में सामग्रियों का सॉफ़्टवेयर बिल तैयार करता है, जिसमें सभी घटकों को नाम, संस्करण, प्रकार, लाइसेंस और हैश के साथ सूचीबद्ध किया जाता है।
  • dependency_audit गंभीरता फ़िल्टर के साथ भेद्यता डेटाबेस के विरुद्ध निर्भरता का ऑडिट करता है।
  • डिटेक्ट_टाइपोस्क्वाटिंग स्ट्रिंग समानता (लेवेनशेटिन, चार स्वैप, हाइफ़नेशन) का उपयोग करके ज्ञात पैकेजों के विरुद्ध पैकेज नामों की तुलना करके टाइपोस्क्वाटिंग हमलों का पता लगाता है।

9.6. स्कोर और पहचान

  • cloud_security_score CIS बेंचमार्क और श्रेणी (IAM, स्टोरेज, नेटवर्क, लॉगिंग, एन्क्रिप्शन) के अनुसार कॉन्फ़िगर करने योग्य वजन के आधार पर समग्र क्लाउड सुरक्षा स्कोर की गणना करता है।
  • workload_identity_validation वर्कलोड पहचान कॉन्फ़िगरेशन को मान्य करता है (AWS पर IRSA, GKE पर वर्कलोड आइडेंटिटी, Azure पर प्रबंधित पहचान)।
  • confidential_computing_validation TEEs (Intel SGX/TDX, AMD SEV-SNP, AWS Nitro Enclaves, Azure CVM) के लिए गोपनीय कंप्यूटिंग सत्यापन को मान्य करता है।

10. मॉनिटरिंग मॉड्यूल

निगरानी मॉड्यूल उन्नत पहचान, सहसंबंध और घटना प्रतिक्रिया क्षमताएं प्रदान करता है।

10.1. छेड़छाड़ रोधी लॉगिंग

  • सिक्योर_लॉग हैश श्रृंखला का उपयोग करके क्रिप्टोग्राफ़िक अखंडता के साथ सुरक्षित लॉग प्रविष्टियाँ बनाता है: प्रत्येक प्रविष्टि में पिछली प्रविष्टि का हैश शामिल होता है, जिससे पूरी श्रृंखला को अमान्य किए बिना पिछली प्रविष्टियों को बदलना असंभव हो जाता है।
  • tamperproof_logs यह सत्यापित करके लॉग की श्रृंखला की अखंडता की जांच करता है कि प्रत्येक हैश पिछली प्रविष्टि को सही ढंग से इंगित करता है।

10.2. सांख्यिकीय स्कोरिंग

  • anomaly_score सांख्यिकीय z-स्कोर का उपयोग करके एक विसंगति स्कोर की गणना करता है: प्रत्येक मीट्रिक के लिए, गणना करता है कि वर्तमान मान ऐतिहासिक औसत से कितने मानक विचलन है। समग्र स्कोर बनाने के लिए व्यक्तिगत स्कोर को विन्यास योग्य भार के साथ जोड़ा जाता है।
  • threat_score सुरक्षा और खतरे की खुफिया घटनाओं, गंभीरता के आधार पर वजन, लक्ष्य की गंभीरता और खुफिया स्रोत में विश्वास से बने खतरे के स्कोर की गणना करता है।
  • risk_score हाल की घटनाओं, वर्तमान संदर्भ और इतिहास (पिछला जोखिम औसत, घटनाओं की संख्या, पिछली घटना के बाद के दिन) के आधार पर किसी विशिष्ट उपयोगकर्ता के लिए जोखिम स्कोर की गणना करता है।

10.3. सहसंबंध और अलर्ट

  • correlate_events उपयोगकर्ता-परिभाषित सहसंबंध नियमों का उपयोग करके एक समय विंडो के भीतर सुरक्षा घटनाओं को सहसंबंधित करता है। उदाहरण के लिए: "यदि एक ही आईपी से 3 असफल लॉगिन ईवेंट हैं और उसके बाद एक सफल ईवेंट है, तो यथासंभव क्रूर बल के साथ सहसंबंध बनाएं"।
  • realtime_alert अलर्ट नियमों के विरुद्ध घटनाओं का मूल्यांकन करता है और कॉन्फ़िगर करने योग्य सूचनाओं (ईमेल, स्लैक, पेजरड्यूटी, वेबहुक) के साथ वास्तविक समय अलर्ट उत्पन्न करता है।
  • एडेप्टिव_अलर्टिंग अलर्ट थकान की रोकथाम के साथ अनुकूली अलर्ट लागू करता है: यदि प्रति घंटे अलर्ट की संख्या बेसलाइन से अधिक हो जाती है, तो सिस्टम समान अलर्ट को समूहित करता है और अधिसूचना आवृत्ति कम कर देता है।

10.4. आक्रमण विश्लेषण

  • हमला_पथ_विश्लेषण सुरक्षा घटनाओं और नेटवर्क टोपोलॉजी के आधार पर नेटवर्क के माध्यम से संभावित हमले के रास्तों का विश्लेषण करता है, उन कार्यों के अनुक्रम की पहचान करता है जिनका उपयोग एक हमलावर एक महत्वपूर्ण लक्ष्य तक पहुंचने के लिए कर सकता है।
  • threat_graph घटनाओं, संस्थाओं (उपयोगकर्ताओं, होस्ट, एप्लिकेशन) और रिश्तों (एक्सेस, समझौता, संचारित) से खतरे का ज्ञान ग्राफ बनाता है।
  • `हमला_चेन_मैपिंग' सुरक्षा घटनाओं को MITER ATT&CK फ्रेमवर्क (तकनीक और रणनीति) और साइबर किल चेन (टोही, हथियारीकरण, वितरण, शोषण, स्थापना, C2, उद्देश्यों पर कार्रवाई) में मैप करता है।

10.5. व्यवहार विश्लेषण और यूईबीए

  • व्यवहार_विश्लेषण स्थापित आधार रेखाओं के आधार पर उपयोगकर्ता के व्यवहार का विश्लेषण करता है: विशिष्ट लॉगिन समय, सामान्य स्थान, प्रति घंटे घटनाओं की मात्रा और विशिष्ट क्रिया प्रकार।
  • ueba_analyse निष्पादित करता हैउपयोगकर्ता और इकाई व्यवहार विश्लेषण सहकर्मी समूह (समान प्रोफ़ाइल वाले उपयोगकर्ताओं का समूह) के विरुद्ध उपयोगकर्ता के व्यवहार की तुलना करता है, सांख्यिकीय विचलन का पता लगाता है।
  • डिटेक्ट_अकाउंट_टेकओवर व्यवहार संकेतकों के आधार पर खाता अधिग्रहण के प्रयासों का पता लगाता है: अज्ञात डिवाइस लॉगिन, असामान्य स्थान, असामान्य समय, डेटा ट्रांसफर के बाद पासवर्ड परिवर्तन और गैर-मानक संसाधनों तक पहुंच।

10.6. स्वायत्त प्रतिक्रिया और फोरेंसिक

  • autonomous_response खतरे की गंभीरता और प्रतिक्रिया नियमों के आधार पर स्वायत्त घटना प्रतिक्रिया करता है: आईपी को ब्लॉक करें, खाता अक्षम करें, होस्ट को अलग करें, टोकन रद्द करें और सुरक्षा टीम को भेजें।
  • forensic_snapshot सभी एकत्रित कलाकृतियों के क्रिप्टोग्राफ़िक हैश सहित साक्ष्य की हिरासत की श्रृंखला के साथ सिस्टम स्थिति का एक फोरेंसिक स्नैपशॉट बनाता है।
  • घटना_समयरेखा सुरक्षा घटनाओं से एक कालानुक्रमिक घटना समयरेखा बनाती है, टाइमस्टैम्प द्वारा क्रमबद्ध करती है और हमले के चरण के अनुसार समूहीकृत करती है।
  • autonomous_triage ट्राइएज नियमों और संवर्धन डेटा (खतरे की जानकारी, उपयोगकर्ता संदर्भ, गलत सकारात्मक इतिहास) का उपयोग करके अलर्ट का स्वायत्त ट्राइएज करता है।

11. सक्रिय रक्षा मॉड्यूल (रक्षात्मक)

रक्षात्मक मॉड्यूल सक्रिय रक्षा तंत्र लागू करता है जो फ्रेमवर्क और एप्लिकेशन रनटाइम की रक्षा करता है।

11.1. एंटी-डिबगिंग और एंटी-टैम्परिंग

  • रनटाइम_सेल्फ_प्रोटेक्शन रनटाइम पर आत्म-सुरक्षा तंत्र को सक्षम बनाता है: आवधिक अखंडता जांच, डिबगिंग का पता लगाना, और प्रक्रिया स्थिति की निरंतर निगरानी।
  • anti_debugging_detection जांच करके सक्रिय डिबगिंग प्रयासों का पता लगाता है: ptrace स्थिति (यदि प्रक्रिया का पता लगाया जा रहा है), पर्यावरण में डिबगर सिग्नल (पर्यावरण चर, डिबग फ़ाइलें), और रनटाइम विसंगतियां (अप्रत्याशित विराम ब्रेकप्वाइंट इंगित करते हैं)।
  • एंटी_टैम्परिंग क्रिप्टोग्राफ़िक हैश (SHA-256, SHA3-256) की अपेक्षित मानों से तुलना करके बाइनरी अखंडता की जाँच करता है। यदि हैश बदल गया है, तो बाइनरी को संशोधित किया गया है।
  • memory_integrity_check मौजूदा स्थिति की अपेक्षित स्थिति से तुलना करके और महत्वपूर्ण क्षेत्रों के हस्ताक्षरों की जांच करके मेमोरी क्षेत्रों की अखंडता की जांच करता है।
  • process_integrity_check प्रक्रिया की अखंडता की जाँच करता है जिसमें शामिल हैं: लोड किए गए मॉड्यूल (अनधिकृत DLL का पता लगाना), प्रक्रिया श्रृंखला देश (यह पता लगाना कि क्या प्रक्रिया किसी अप्रत्याशित माता-पिता द्वारा शुरू की गई थी), और प्रक्रिया अनुमतियाँ।

11.2. बाइनरी और बूट सत्यापन

  • code_signing_validation विश्वसनीय प्रमाणपत्रों के भंडार के विरुद्ध बाइनरी के कोड हस्ताक्षर प्रमाणपत्र को मान्य करता है और जांचता है कि प्रमाणपत्र रद्द नहीं किया गया है।
  • binary_integrity_validation प्रत्येक अनुभाग के लिए अलग-अलग हैश की गणना करके और अपेक्षित हैश के विरुद्ध तुलना करके प्रति अनुभाग (.text, .data, .rsrc, .reloc) बाइनरी की अखंडता को मान्य करता है।
  • सिक्योर_बूट_वैलिडेशन टीपीएम (विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल) माप और प्रत्येक बूट चरण को रिकॉर्ड करने वाले पीसीआर (प्लेटफ़ॉर्म कॉन्फ़िगरेशन रजिस्टर) के मूल्यों की जांच करके सुरक्षित बूट श्रृंखला को मान्य करता है।
  • सिक्योर_अपडेट_वैलिडेशन जाँच करके अद्यतन पैकेजों को मान्य करता है: पैकेज क्रिप्टोग्राफ़िक हस्ताक्षर, सामग्री अखंडता, संस्करण (डाउनग्रेड हमलों को रोकना), और वितरण चैनल।

11.3. उन्नत जांच तकनीकें

  • anti_hook_detection जाँच करके मेमोरी में फ़ंक्शन हुक का पता लगाता है: IAT हुकिंग (आयात पता तालिका को संशोधित करना), इनलाइन हुकिंग (फ़ंक्शन के पहले निर्देशों को संशोधित करना), और SSDT हुकिंग (कर्नेल में सिस्टम सर्विस डिस्क्रिप्टर टेबल को संशोधित करना)।
  • एंटी_इंजेक्शन_डिटेक्शन जांच करके प्रक्रिया मेमोरी स्पेस में कोड इंजेक्शन का पता लगाता है: हस्ताक्षर के बिना लोड किए गए मॉड्यूल, संदिग्ध पथों से लोड की गई लाइब्रेरी, और ज्ञात इंजेक्शन तकनीकों के हस्ताक्षर (प्रक्रिया खोखलापन, डीएलएल इंजेक्शन, प्रतिबिंबित डीएलएल लोडिंग)।
  • anti_rootkit_detection विश्लेषण करके रूटकिट संकेतकों का पता लगाता है: सिस्टम कॉल जो असंगत परिणाम, अहस्ताक्षरित कर्नेल मॉड्यूल और छिपी हुई प्रक्रियाओं (प्रक्रियाएं जो कर्नेल प्रक्रिया सूची में दिखाई देती हैं लेकिन ऑपरेटिंग सिस्टम सूची में नहीं) लौटाती हैं।
  • anti_vm_detection जांच करके आभासी वातावरण में निष्पादन का पता लगाता है: VM (BIOS निर्माता, प्रोसेसर मॉडल, MAC पता), समय जांच (निर्देश जो VM में धीमी गति से निष्पादित होते हैं), और VM कलाकृतियों (फ़ाइलें, सेवाएँ, VMware, वर्चुअलबॉक्स, हाइपर-वी के लिए विशिष्ट ड्राइवर) की संकेतक हार्डवेयर जानकारी।
  • एंटी_इम्यूलेशन_डिटेक्शनजाँच करके अनुकरण वातावरण का पता लगाता है: एपीआई की उपलब्धता जिसे अनुकरणकर्ता अक्सर लागू नहीं करते हैं, संचालन का समय (अनुकरणकर्ता धीमे होते हैं), और पर्यावरण जाँच (प्रक्रियाओं की संख्या, डिस्क स्थान, रैम मेमोरी)।

11.4. गतिशील लक्ष्य और स्व-उपचार

  • moving_target_runtime सेवा समापन बिंदुओं को घुमाकर, मेमोरी लेआउट को यादृच्छिक बनाकर, और भेद्यता शोषण को और अधिक कठिन बनाने के लिए प्रतिक्रिया समय को अलग-अलग करके लक्ष्य रक्षा को लागू करता है।
  • डायनामिक_अटैक_सरफेस खतरे के स्तर के आधार पर हमले की सतह को गतिशील रूप से समायोजित करता है: निम्न स्तर पर, सभी समापन बिंदु उपलब्ध हैं; मध्यम स्तर पर, गैर-आवश्यक समापन बिंदु अक्षम हैं; उच्च स्तर पर, केवल महत्वपूर्ण समापन बिंदु सक्रिय रहते हैं।
  • runtime_policy_engine कॉन्फ़िगर करने योग्य प्रवर्तन मोड (ऑडिट, चेतावनी, लागू) के साथ रनटाइम पर सुरक्षा नीतियों का मूल्यांकन और लागू करता है।
  • self_healing_security स्वचालित रूप से सुरक्षा घटनाओं का पता लगाता है और उनसे उबरता है: यदि किसी सेवा से छेड़छाड़ की जाती है, तो सिस्टम सेवा को पुनरारंभ कर सकता है, मूल कॉन्फ़िगरेशन को पुनर्स्थापित कर सकता है और कर्मचारियों को सूचित कर सकता है।
  • adaptive_threat_response खतरे की विशेषताओं और पूर्वनिर्धारित प्रतिक्रिया प्लेबुक के आधार पर खतरों के प्रति अनुकूली प्रतिक्रिया करता है।
  • autonomous_containment में रोकथाम नियमों और नेटवर्क टोपोलॉजी का उपयोग करके स्वायत्त रूप से सक्रिय खतरे शामिल हैं: समझौता किए गए होस्ट को अलग करें, C2 संचार को ब्लॉक करें, और प्रसार को सीमित करने के लिए नेटवर्क को खंडित करें।

12. हनीपोट मॉड्यूल

हनीपोट मॉड्यूल हमलावरों को आकर्षित करने, पता लगाने और उनका विश्लेषण करने के लिए धोखे की तकनीकों को लागू करता है।

12.1. नकली सेवाएँ

  • fake_admin_panel लॉगिन रूट, डैशबोर्ड, उपयोगकर्ता प्रबंधन और सिस्टम सेटिंग्स के साथ एक यथार्थवादी नकली व्यवस्थापक पैनल तैनात करता है। सभी इंटरैक्शन विश्लेषण के लिए लॉग किए गए हैं।
  • fake_database यथार्थवादी स्कीमा (उपयोगकर्ता, ऑर्डर, भुगतान तालिका) और उदाहरण रिकॉर्ड के साथ एक नकली डेटाबेस बनाता है जो वैध दिखता है लेकिन पूरी तरह से काल्पनिक है।
  • fake_api यथार्थवादी समापन बिंदुओं (/api/users, /api/orders, /api/ payment) के साथ एक नकली REST API तैनात करता है जो विश्वसनीय लेकिन काल्पनिक पेलोड लौटाता है।
  • fake_filesystem प्रशंसनीय निर्देशिका संरचना (/etc, /var/log, /home/user, /opt/app) और यथार्थवादी सामग्री वाली फ़ाइलों के साथ एक नकली फ़ाइल सिस्टम बनाता है।
  • fake_ssh_service एक नकली SSH सेवा तैनात करती है जो कनेक्शन स्वीकार करती है, एक यथार्थवादी बैनर प्रदर्शित करती है, और सभी प्रमाणीकरण प्रयासों और निष्पादित आदेशों को लॉग करती है।
  • fake_rdp_service दूरस्थ डेस्कटॉप हमलों का पता लगाने और उन्हें ट्रैक करने के लिए एक नकली RDP सेवा तैनात करता है।
  • fake_kubernetes_cluster पॉड्स, सेवाओं, तैनाती और रहस्यों के प्रश्नों का उत्तर देकर कंटेनर-केंद्रित हमलावरों को आकर्षित करने के लिए एक नकली Kubernetes क्लस्टर एपीआई तैनात करता है।
  • fake_s3_bucket यथार्थवादी वस्तुओं (दस्तावेज़, कॉन्फ़िगरेशन, बैकअप) और वैध दिखने वाली एक्सेस नीतियों के साथ एक नकली S3 बकेट बनाता है।
  • fake_login_page क्रेडेंशियल सबमिशन प्रयासों को पकड़ने के लिए अनुकूलन योग्य ब्रांडिंग के साथ एक विश्वसनीय लॉगिन पेज तैनात करता है।
  • fake_debug_panel एक नकली डिबग/डेवलपमेंट पैनल तैनात करता है जो आंतरिक सिस्टम जानकारी (पर्यावरण चर, डेटाबेस सेटिंग्स, लॉग) को उजागर करता प्रतीत होता है।

12.2. हनीटोकन और धोखा

  • fake_secrets नकली रहस्य (एपीआई कुंजी, डेटाबेस टोकन, एसएसएच क्रेडेंशियल) उत्पन्न और प्रबंधित करता है जो अधिकृत संदर्भों के बाहर उपयोग किए जाने पर सचेत करता है।
  • हनीटोकन_जेनरेशन विभिन्न प्रकार के ट्रैक करने योग्य टोकन (यूआरएल, एपीआई कुंजी, क्रेडेंशियल, फ़ाइलें) उत्पन्न करता है जो एक्सेस करने पर अलर्ट ट्रिगर करता है।
  • honeycredential_detection ज्ञात हनीटोकन के डेटाबेस के विरुद्ध सबमिट किए गए क्रेडेंशियल्स की जांच करता है, यह पता लगाता है कि कोई हमलावर नकली क्रेडेंशियल्स का उपयोग कर रहा है या नहीं।
  • deceptive_routes भ्रामक मार्गों को रिकॉर्ड करता है जो वैध एपीआई एंडपॉइंट की तरह दिखते हैं लेकिन एक्सेस होने पर अलर्ट ट्रिगर करते हैं।
  • decoy_endpoints डिकॉय एपीआई एंडपॉइंट्स की एक सूची तैयार करता है जो वास्तविक सेवा एंडपॉइंट्स की नकल करता है।
  • deceptive_responses अनुरोध और हमलावर की प्रोफ़ाइल के आधार पर प्रासंगिक रूप से उपयुक्त भ्रामक प्रतिक्रियाएं उत्पन्न करता है, जिससे हमलावर जानकारी इकट्ठा करते समय व्यस्त रहता है।

12.3. विश्लेषण और अनुकूलन

  • एडेप्टिव_हनीपॉट देखे गए ट्रैफ़िक और खतरे के स्तर के आधार पर हनीपोट कॉन्फ़िगरेशन को गतिशील रूप से समायोजित करता है: यदि हमलावर वेब कमजोरियों का फायदा उठा रहा है, तो हनीपॉट वेब सेवाओं की सतह को बढ़ाता है; यदि यह दरवाज़ों को स्कैन कर रहा है, तो यह अधिक नकली दरवाज़े खोलता है।
  • `हमलावर_व्यवहार_ट्रैककिंग हनीपोट सत्र के भीतर हमलावर के व्यवहार पैटर्न को ट्रैक और विश्लेषण करता है: निष्पादित आदेश, फ़ाइलों तक पहुंच, प्रयास किए गए क्रेडेंशियल और प्रत्येक सेवा पर बिताया गया समय।
  • एडेप्टिव_डिसेप्शन हमलावर प्रोफाइल (स्क्रिप्ट किडी, स्वचालित हमलावर, एपीटी) और प्रभावशीलता मेट्रिक्स (हमलावर कितनी देर तक रुका, उसने कितने कार्य किए) के आधार पर धोखे की रणनीति को गतिशील रूप से समायोजित करता है।
  • moving_target_defense वातावरण में फ़िंगरप्रिंटिंग को और अधिक कठिन बनाने के लिए हनीपोट्स, घूर्णन सेवा कॉन्फ़िगरेशन (पोर्ट, बैनर, प्रतिक्रिया) के संदर्भ में चलती लक्ष्य रक्षा को लागू करता है।

13. फ़ाइल मॉड्यूल (फ़ाइल)

फ़ाइल मॉड्यूल फ़ाइल-जनित खतरों से बचाता है: दुर्भावनापूर्ण अपलोड, मैक्रोज़ के साथ दस्तावेज़, जावास्क्रिप्ट के साथ पीडीएफ, पॉलीग्लॉट फ़ाइलें, ज़िप बम और मैलवेयर।

13.1. सत्यापन अपलोड करें

  • सिक्योर_अपलोड फ़ाइल अपलोड को कई परतों पर सुरक्षित रूप से मान्य और संसाधित करता है: अनुमति सूची के विरुद्ध एक्सटेंशन की जांच करता है, मैजिक बाइट्स के माध्यम से एमआईएमई प्रकार को मान्य करता है, अधिकतम आकार की जांच करता है, और मैलवेयर के लिए सामग्री को स्कैन करता है।
  • validate_extension जाँचता है कि फ़ाइल एक्सटेंशन अनुमत एक्सटेंशन की सूची में है या नहीं।
  • validate_mime मैजिक बाइट डिटेक्शन (पहले बाइट्स में फ़ाइल प्रारूप हस्ताक्षर) का उपयोग करके फ़ाइल के MIME प्रकार को मान्य करता है, एक्सटेंशन स्पूफिंग को रोकता है (उदाहरण के लिए .jpg फ़ाइल जो वास्तव में एक निष्पादन योग्य है)।

13.2. फाइलों में खतरे का पता लगाना

  • detect_polyglot_file यह पता लगाता है कि क्या किसी फ़ाइल में कई फ़ाइल प्रारूप हस्ताक्षर हैं, जो पॉलीग्लॉट फ़ाइल हमले का संकेत देता है (एक फ़ाइल जो एक साथ दो या दो से अधिक प्रारूपों में मान्य है, जैसे GIF जो वैध जावास्क्रिप्ट भी है)।
  • detect_zip_bomb संपीड़न अनुपात और घोषित असम्पीडित आकार का विश्लेषण करके ज़िप बम का पता लगाता है। 100:1 से ऊपर के अनुपात या 1 जीबी से ऊपर के असम्पीडित आकार को संभावित ज़िप बम के रूप में चिह्नित किया गया है।
  • डिटेक्ट_ऑफिस_मैक्रो ऑफिस दस्तावेज़ों (वर्ड .doc/.docx, Excel .xls/.xlsx, PowerPoint .ppt/.pptx) में VBA मैक्रोज़ का पता लगाता है जो दस्तावेज़ खोलते समय दुर्भावनापूर्ण कोड निष्पादित कर सकता है।
  • डिटेक्ट_पीडीएफ_जावास्क्रिप्ट पीडीएफ फाइलों में एम्बेडेड जावास्क्रिप्ट का पता लगाता है जो मैलवेयर डाउनलोड करने या फ़िशिंग जैसी दुर्भावनापूर्ण गतिविधियां कर सकता है।
  • detect_executable_payload गैर-निष्पादन योग्य फ़ाइलों में एम्बेडेड निष्पादन योग्य पेलोड का पता लगाता है (उदाहरण के लिए एक पीडीएफ जिसमें विंडोज निष्पादन योग्य पीई हेडर होता है)।
  • डिटेक्ट_एम्बेडेड_स्क्रिप्ट फाइलों में एम्बेडेड स्क्रिप्ट का पता लगाता है: पीडीएफ में जावास्क्रिप्ट, ऑफिस दस्तावेजों में वीबीस्क्रिप्ट, टेक्स्ट फाइलों में पावरशेल और डेटा फाइलों में पायथन स्क्रिप्ट।

13.3. मैलवेयर स्कैनिंग

  • malware_scan हस्ताक्षर मिलान (ज्ञात मैलवेयर हस्ताक्षरों के विरुद्ध तुलना) और YARA नियमों (जटिल स्थितियों के साथ उन्नत पैटर्न मिलान) का उपयोग करके मैलवेयर के लिए फ़ाइलों को स्कैन करता है।
  • yara_scan श्रेणी (मैलवेयर, शोषण, संदिग्ध, आदि) के अनुसार नियमों को व्यवस्थित करने के लिए नेमस्पेस समर्थन के साथ YARA नियमों का उपयोग करके फ़ाइलों को स्कैन करता है।
  • heuristic_scan उन फ़ाइलों में संदिग्ध व्यवहार का पता लगाने के लिए अनुमानी विश्लेषण करता है जो ज्ञात हस्ताक्षरों से मेल नहीं खाते हैं लेकिन उनमें मैलवेयर (ऑबफस्केशन, एंटी-डीबग, पैकिंग) का संकेत देने वाली विशेषताएं हैं।

13.4. उन्नत विश्लेषण

  • एन्ट्रॉपी_एनालिसिस एन्क्रिप्शन या संपीड़न का पता लगाने के लिए ब्लॉक फ़ाइल डेटा की शैनन एन्ट्रॉपी की गणना करता है। 7.5 बिट प्रति बाइट से ऊपर एन्ट्रापी वाली फ़ाइलें अत्यधिक यादृच्छिक (एन्क्रिप्शन या पैकिंग का सूचक) मानी जाती हैं।
  • डिटेक्ट_स्टेग्नोग्राफ़ी कई तकनीकों का उपयोग करके छवि फ़ाइलों में स्टेग्नोग्राफ़ी का पता लगाती है: एलएसबी (कम से कम महत्वपूर्ण बिट) विश्लेषण, संलग्न डेटा का पता लगाना, ब्लॉक एन्ट्रापी विश्लेषण और रंग हिस्टोग्राम विश्लेषण।
  • detect_obfuscation कई तकनीकों का उपयोग करके फ़ाइलों में अस्पष्ट सामग्री का पता लगाता है: बेस 64 स्ट्रिंग डिटेक्शन, हेक्स एन्कोडिंग, स्ट्रिंग कॉन्सटेनेशन, विशिष्ट अनुभागों में उच्च एन्ट्रॉपी, और अस्पष्ट नियंत्रण प्रवाह पैटर्न।

13.5. स्वच्छता और संगरोध

  • sanitize_filename खतरनाक वर्णों (/, \, .., :, *, ?, ", <, >, |) और पथ ट्रैवर्सल अनुक्रमों को हटाकर फ़ाइल नामों को स्वच्छ करता है।
  • क्वारंटाइन_फाइल दुर्भावनापूर्ण फ़ाइलों को मेटाडेटा ट्रैकिंग (क्वारंटाइन कारण, टाइमस्टैम्प, फ़ाइल हैश, अपलोडर) के साथ एक संगरोध निर्देशिका में ले जाता है।
  • sandbox_execute व्यवहार विश्लेषण, निगरानी के लिए सैंडबॉक्स वाले वातावरण में फ़ाइलों को निष्पादित करता है: सिस्टम कॉल, नेटवर्क एक्सेस, फ़ाइल संशोधन और चाइल्ड प्रक्रियाओं का निर्माण।
  • सुरक्षित_टेम्प्फीले प्रतिबंधित अनुमतियों (केवल मालिक द्वारा पढ़ने/लिखने) और बंद होने पर वैकल्पिक स्व-हटाने के साथ सुरक्षित अस्थायी फ़ाइलें बनाता है।
  • immutable_storage_check अपेक्षित हैश के विरुद्ध वर्तमान हैश की तुलना करके अपरिवर्तनीय भंडारण पर फ़ाइलों की अखंडता की जांच करता है।

14. एंटरप्राइज मॉड्यूल

एंटरप्राइज़ मॉड्यूल डेटा सुरक्षा और सूचना सुरक्षा नियमों के अनुपालन की जाँच करता है।

14.1. विनियामक अनुपालन

  • lgpd_check ब्राजील के सामान्य डेटा संरक्षण कानून (LGPD, कानून 13,709/2018) के अनुपालन की पुष्टि करता है: धारक की सहमति, डीपीओ (डेटा अधिकारी) की नियुक्ति, धारकों के अधिकार (पहुंच, सुधार, विलोपन, पोर्टेबिलिटी), प्रसंस्करण कार्यों का पंजीकरण, व्यक्तिगत डेटा संरक्षण पर प्रभाव रिपोर्ट, और एएनपीडी को घटनाओं की अधिसूचना।
  • `जीडीपीआर_चेक' सामान्य डेटा संरक्षण विनियमन (जीडीपीआर, विनियमन ईयू 2016/679) के अनुपालन की जांच करता है: प्रसंस्करण के लिए कानूनी आधार, डीपीओ की नियुक्ति, डेटा न्यूनतमकरण, उद्देश्य सीमा, सटीकता, भंडारण सीमा, अखंडता और गोपनीयता, भूल जाने का अधिकार, डेटा पोर्टेबिलिटी, और 72 घंटों के भीतर उल्लंघनों की अधिसूचना।
  • `हिपा_चेक' अमेरिकी स्वास्थ्य बीमा पोर्टेबिलिटी और जवाबदेही अधिनियम (एचआईपीएए) के अनुपालन की पुष्टि करता है: आराम और पारगमन में पीएचआई (संरक्षित स्वास्थ्य सूचना) एन्क्रिप्शन, एक्सेस नियंत्रण (अद्वितीय उपयोगकर्ता पहचान, आपातकालीन पहुंच, स्वचालित लॉगऑफ़), ऑडिट नियंत्रण (ऑडिट लॉग, अखंडता नियंत्रण), और पीएचआई डेटा अखंडता।
  • pci_check भुगतान कार्ड उद्योग डेटा सुरक्षा मानक (पीसीआई-डीएसएस) के अनुपालन की जांच करता है: पारगमन और आराम के दौरान कार्ड डेटा का एन्क्रिप्शन, नेटवर्क विभाजन (कार्ड वातावरण को अलग करना), पहुंच नियंत्रण (जानने की आवश्यकता, अद्वितीय आईडी, एमएफए), नेटवर्क और सिस्टम की निगरानी, ​​​​और नियमित सुरक्षा परीक्षण।

14.2. रिपोर्ट और डैशबोर्ड

  • अनुपालन_रिपोर्ट कई जांच परिणामों से एक व्यापक अनुपालन रिपोर्ट तैयार करता है, जिसमें शामिल हैं: कार्यकारी सारांश, पहचाने गए अंतराल, सुधारात्मक सिफारिशें, अनुपालन समयरेखा और श्रेणी के अनुसार स्कोर।
  • रियलटाइम_सिक्योरिटी_डैशबोर्ड एक वास्तविक समय सुरक्षा डैशबोर्ड प्रदर्शित करता है: सुरक्षा मेट्रिक्स (पता चला खतरे, ब्लॉक, झूठी सकारात्मकताएं), सक्रिय अलर्ट, ऐतिहासिक रुझान और समग्र जोखिम स्कोर।

14.3. लेखापरीक्षा और नीति

  • audit_trail सुरक्षा घटनाओं, उपयोगकर्ता कार्यों और डेटा परिवर्तनों से एक अपरिवर्तनीय ऑडिट ट्रेल उत्पन्न करता है, जिसमें शामिल है: किसने क्या किया, कब, कहाँ से और क्या प्रभाव पड़ा।
  • policy_as_code कोड के रूप में परिभाषित सुरक्षा नीतियों का मूल्यांकन और लागू करता है, सुरक्षा नीतियों के संस्करण, समीक्षा और स्वचालित परीक्षण की अनुमति देता है।

14.4. बहु-किरायेदार और बहु-क्षेत्र

  • किरायेदार_आइसोलेशन बहु-किरायेदार वातावरण में किरायेदार अलगाव की जांच करता है और लागू करता है: डेटा पृथक्करण, नेटवर्क अलगाव, क्रॉस-किरायेदार पहुंच नियंत्रण, और किरायेदारों के बीच सूचना रिसाव की रोकथाम।
  • मल्टी_रीजन_सिक्योरिटी बहु-क्षेत्र सुरक्षा स्थिति और डेटा रेजीडेंसी अनुपालन का मूल्यांकन करती है: सत्यापन कि विशिष्ट क्षेत्रों का डेटा क्षेत्र में रहता है, क्षेत्रों के बीच लगातार एन्क्रिप्शन, और प्रत्येक क्षेत्र में स्थानीय नियमों का अनुपालन।

15. एकीकरण मॉड्यूल

एकीकरण मॉड्यूल लोकप्रिय ढांचे और प्लेटफार्मों के लिए एडेप्टर प्रदान करता है।

15.1. पायथन वेब फ्रेमवर्क

  • fastapi_security_dependency OAuth2, JWT सत्यापन, दर सीमित करने और इनपुट सुरक्षा के साथ FastAPI के लिए एक सुरक्षा निर्भरता बनाता है।
  • django_security_middleware CSP, CSRF, सुरक्षा हेडर और इनपुट सुरक्षा के साथ Django के लिए सुरक्षा मिडलवेयर बनाता है।
  • फ्लास्क_सुरक्षा_एक्सटेंशन सुरक्षा रैपर, अनुरोध सुरक्षा और इनपुट सत्यापन के साथ फ्लास्क के लिए एक सुरक्षा एक्सटेंशन बनाता है।
  • celery_security_monitor तर्क सत्यापन, प्रति कार्य दर सीमित करने और ऑडिट लॉगिंग के साथ सेलेरी कार्यों के लिए सुरक्षा मॉनिटर बनाता है।
  • sqlalchemy_query_protection पंक्ति-स्तरीय सुरक्षा, अनुमति फ़िल्टरिंग और क्वेरी इंजेक्शन रोकथाम के साथ SQLAlchemy प्रश्नों पर सुरक्षा लागू करता है।

15.2. टाइपस्क्रिप्ट वेब फ्रेमवर्क

  • expressSecurityMiddleware इनपुट सुरक्षा, दर सीमित करने, CORS, CSRF और सुरक्षा हेडर के साथ Express.js के लिए सुरक्षा मिडलवेयर बनाता है।
  • fastifySecurityMiddleware वैलिडेशन हुक, रेट लिमिटिंग और पेलोड सुरक्षा के साथ फास्टिफ़ाई के लिए सुरक्षा मिडलवेयर बनाता है।
  • nestjsSecurityModule नेस्ट के लिए सुरक्षा मॉड्यूल बनाता हैप्रमाणीकरण गार्ड, सत्यापन इंटरसेप्टर और प्राधिकरण डेकोरेटर के साथ जेएस।
  • nextjsSecurityHeaders Next.js (CSP, HSTS,

15.3. एज और रनटाइम

  • cloudflareEdgeProtection WAF नियमों, दर सीमित करने, बॉट प्रबंधन और कस्टम सुरक्षा कर्मियों के साथ Cloudflare पर एज सुरक्षा को कॉन्फ़िगर करता है।
  • denoSecurityPlugin अनुमति नियंत्रण (रीड, राइट, नेट, एनवी, रन) और सैंडबॉक्सिंग के साथ डेनो के लिए सुरक्षा प्लगइन बनाता है।
  • bunSecurityPlugin सुरक्षा अनुकूलन और सिस्टम एपीआई तक पहुंच नियंत्रण के साथ बन के लिए सुरक्षा प्लगइन बनाता है।
  • ब्राउज़ररनटाइमप्रोटेक्शन सीएसपी, आईफ्रेम सैंडबॉक्स और एपीआई प्रतिबंधों के साथ ब्राउज़र रनटाइम सुरक्षा को कॉन्फ़िगर करता है।
  • serviceWorkerSecurity सर्विस वर्कर सुरक्षा को प्रतिबंधित दायरे, सीमित अनुमतियों और मूल सत्यापन के साथ कॉन्फ़िगर करता है।
  • wasmSecurityRuntime WebAssembly के लिए मेमोरी सीमा (प्रारंभिक, अधिकतम, साझा) और सिस्कॉल प्रतिबंधों के साथ सुरक्षा रनटाइम बनाता है।

15.4. पाइपलाइन और इंजन

  • async_threat_pipeline कॉन्फ़िगर करने योग्य प्रोसेसर (सत्यापन, पहचान, स्कोरिंग, अलर्ट) और आउटपुट चैनल (लॉग, मेट्रिक्स, वेबहुक) के साथ एक अतुल्यकालिक खतरे का पता लगाने वाली पाइपलाइन बनाता है।
  • yara_realtime_engine फ़ाइल वॉच (निर्देशिका निगरानी) और निरंतर नियम मिलान के साथ एक वास्तविक समय YARA स्कैनिंग इंजन बनाता है।
  • ai_threat_classifier स्वचालित निर्णयों के लिए एक प्रशिक्षित मॉडल और आत्मविश्वास सीमा का उपयोग करके एआई खतरा क्लासिफायरियर बनाता है।
  • सिक्योर_क्लि_रनटाइम इनपुट सैनिटाइजेशन, तर्क सत्यापन और निष्पादन टाइमआउट के साथ एक सुरक्षित सीएलआई रनटाइम बनाता है।
  • पाइथन_रनटाइम_गार्ड आयात श्वेतसूची (केवल अनुमत मॉड्यूल आयात किए जा सकते हैं) और सैंडबॉक्सिंग (फाइल सिस्टम, नेटवर्क और सिस्टम एक्सेस प्रतिबंध) के साथ एक पायथन रनटाइम गार्ड बनाता है।

16. टेलीमेट्री और अवलोकनशीलता

एमएसएफ अवलोकन के तीन स्तंभों: लॉग, मेट्रिक्स और ट्रेस का पालन करते हुए, अपने सभी कार्यों में अवलोकन को एकीकृत करता है।

16.1. संरचित लॉग

सभी मॉड्यूल JSON प्रारूप में संरचित लॉगिंग का उपयोग करते हैं। प्रत्येक लॉग प्रविष्टि में शामिल हैं:

  • टाइमस्टैम्प: आईएसओ 8601 दिनांक और समय
  • स्तर: गंभीरता (डीबग, जानकारी, चेतावनी, त्रुटि, गंभीर)
  • मॉड्यूल: उस मॉड्यूल का नाम जिसने लॉग जेनरेट किया
  • traceId: सहसंबंध के लिए OpenTelemetry ट्रेस आईडी
  • संदर्भ: ऑपरेशन-विशिष्ट मेटाडेटा (उदाहरण के लिए पता लगाया गया, आत्मविश्वास, गंभीरता, मिलान)

16.2. मेट्रिक्स

मेट्रिक्स रजिस्ट्री तीन प्रकार के मेट्रिक्स का समर्थन करती है:

  • काउंटर: संचयी मान जो केवल बढ़ते हैं। उदाहरण: jwt_validations, xss_detections, sqli_detections, port_scan_detections, ddos_detections, malware_scans
  • गेज: तात्कालिक मान जो बढ़ या घट सकते हैं। उदाहरण: सक्रिय_सत्र, कैश_हिट_अनुपात
  • हिस्टोग्राम: मूल्यों का वितरण। उदाहरण: विसंगति_स्कोर, खतरा_स्कोर, डिटेक्शन_लेटेंसी_एमएस

प्रत्येक मीट्रिक में अतिरिक्त आयामीता के लिए लेबल (टैग) शामिल हो सकते हैं, जैसे मॉड्यूल, गंभीरता, पता चला, क्लाउड_प्रोवाइडर

16.3. वितरित अनुरेखण

प्रत्येक सुरक्षा भूमिका एक ओपनटेलीमेट्री अवधि बनाती है:

  • ऑपरेशन का नाम (उदा: msf.web.detect_xss)
  • विशेषताएँ: इनपुट पैरामीटर, परिणाम, अवधि
  • घटनाएँ: निष्पादन के दौरान महत्वपूर्ण मील के पत्थर
  • स्थिति: ठीक है या विवरण में त्रुटि है

स्पैन को ओपनटेलीमेट्री-संगत बैकएंड (जैगर, जिपकिन, एडब्ल्यूएस एक्स-रे, गूगल क्लाउड ट्रेस, एज़्योर एप्लिकेशन इनसाइट्स) में निर्यात किया जाता है।

16.4. इवेंट बस

इवेंट बस मॉड्यूल के बीच अतुल्यकालिक संचार की अनुमति देता है:

  • प्रकाशन: कोई भी मॉड्यूल प्रकार, गंभीरता, संदेश और मेटाडेटा के साथ घटनाओं को प्रकाशित कर सकता है।
  • सदस्यता: मॉड्यूल विशिष्ट प्रकार की घटनाओं की सदस्यता ले सकते हैं और घटनाओं के प्रकाशित होने पर कार्रवाई कर सकते हैं।
  • इतिहास: इवेंट बस परामर्श के लिए अंतिम एन घटनाओं का इतिहास बनाए रखती है।
  • डेड लेटर क्यू: जो इवेंट प्रोसेस नहीं हो पाते उन्हें बाद में दोबारा प्रोसेस करने के लिए डेड लेटर क्यू में ले जाया जाता है।

17. डिज़ाइन पैटर्न और इंजीनियरिंग सिद्धांत

17.1. प्रयुक्त पैटर्न

  • सिंगलटन: बुनियादी ढांचे के घटकों (पॉलिसीइंजन, मेट्रिक्सरजिस्ट्री, इवेंटबस, कैशमैनेजर) के लिए।
  • फैक्टरी: मानकीकृत परिणाम ऑब्जेक्ट (डिटेक्शनरिजल्ट, वैलिडेशनरिजल्ट, स्कैनरिजल्ट) बनाने के लिए।
  • रणनीति: विनिमेय पहचान एल्गोरिदम के लिए (XSS, SQLi, आदि के लिए अलग-अलग पहचान पैटर्न)।
  • पर्यवेक्षक:इवेंट बस में, जहां मॉड्यूल अन्य मॉड्यूल द्वारा प्रकाशित घटनाओं पर नजर रखते हैं।
  • जिम्मेदारी की श्रृंखला: सत्यापन पाइपलाइनों के लिए जहां प्रत्येक चरण इनपुट को पास या अस्वीकार कर सकता है।
  • डेकोरेटर: मौजूदा कार्यों (लॉगिंग, मेट्रिक्स, ट्रेसिंग) में सुरक्षा सुविधाएँ जोड़ने के लिए।

17.2. सुरक्षा सिद्धांत

  • गहराई में रक्षा: सुरक्षा की कई परतें ताकि यदि कोई विफल हो, तो अन्य लोग काम करना जारी रखें।
  • न्यूनतम विशेषाधिकार: प्रत्येक फ़ंक्शन और मॉड्यूल न्यूनतम आवश्यक अनुमतियों के साथ संचालित होता है।
  • फेल सिक्योर: आंतरिक त्रुटि के मामले में, फ़ंक्शन परिणाम लौटाते हैं जो पहुंच से इनकार करते हैं (फेल बंद)।
  • सुरक्षित तुलना: सभी गुप्त तुलनाएं समय के हमलों को रोकने के लिए निरंतर-समय तुलना का उपयोग करती हैं।
  • इनपुट सेनिटाइजेशन: सभी इनपुट को अविश्वसनीय माना जाता है और प्रोसेसिंग से पहले सेनिटाइज किया जाता है।
  • सुरक्षा लॉगिंग: ऑडिटिंग और घटना का पता लगाने के लिए सभी सुरक्षा संचालन लॉग किए जाते हैं।

18.निष्कर्ष

मास्टर सिक्योरिटी फ्रेमवर्क आधुनिक एप्लिकेशन सुरक्षा के लिए एक व्यापक, एकीकृत दृष्टिकोण का प्रतिनिधित्व करता है। 28 मॉड्यूल में वितरित 350 से अधिक कार्यों के साथ, एमएसएफ उन खतरों के पूरे स्पेक्ट्रम को कवर करता है जिनका आज अनुप्रयोगों को सामना करना पड़ता है: पारंपरिक वेब हमलों (एक्सएसएस, एसक्यूआई, एसएसआरएफ) से लेकर उभरते खतरों (एलएलएम में त्वरित इंजेक्शन, आपूर्ति श्रृंखला हमले, कंटेनर पलायन) तक।

पायथन और टाइपस्क्रिप्ट में दोहरा कार्यान्वयन बहुभाषी टीमों को सुरक्षा क्षमताओं के समान सेट का उपयोग करने की अनुमति देता है, जबकि ओपनटेलीमेट्री, संरचित लॉगिंग और इवेंट बस के साथ एकीकरण यह सुनिश्चित करता है कि सभी सुरक्षा संचालन अवलोकन योग्य और श्रवण योग्य हैं।

सक्रिय रक्षा मॉड्यूल (एंटी-डिबगिंग, एंटी-टैम्परिंग, सेल्फ-हीलिंग) और अनुकूली हनीपोट्स सक्रिय सुरक्षा की परतें जोड़ते हैं जो प्रतिक्रियाशील पहचान से परे जाते हैं, जबकि एंटरप्राइज़ अनुपालन मॉड्यूल एलजीपीडी, जीडीपीआर, एचआईपीएए और पीसीआई-डीएसएस स्कैनिंग को स्वचालित करता है।

फ्रेमवर्क ओपन-सोर्स है, पॉलिसी इंजन और इवेंट बस के माध्यम से विस्तार योग्य है और खतरे के परिदृश्य के साथ विकसित होने के लिए डिज़ाइन किया गया है। प्रत्येक फ़ंक्शन का स्वचालित रूप से परीक्षण किया जाता है (243 परीक्षण उत्तीर्ण), डॉकस्ट्रिंग्स और जेएसडॉक के साथ दस्तावेज़ीकृत किया जाता है, और उत्पादन संचालन के लिए टेलीमेट्री के साथ उपकरण किया जाता है।

सन्दर्भ

  • OWASP टॉप 10: https://owasp.org/www-project-top-ten/
  • MITER ATT&CK फ्रेमवर्क: https://attack.mitre.org/
  • एनआईएसटी साइबर सुरक्षा ढांचा: https://www.nist.gov/cyberframework
  • एनआईएसटी पोस्ट-क्वांटम क्रिप्टोग्राफी: https://csrc.nist.gov/projects/post-quantum-cryptography
  • आरएफसी 6238 - टीओटीपी: https://datatracker.ietf.org/doc/html/rfc6238
  • आरएफसी 7519 - जेडब्ल्यूटी: https://datatracker.ietf.org/doc/html/rfc7519
  • सीआईएस बेंचमार्क: https://www.cisecurity.org/sis-benchmarks
  • एलजीपीडी (कानून 13,709/2018): https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
  • जीडीपीआर (ईयू विनियमन 2016/679): https://eur-lex.europa.eu/eli/reg/2016/679/oj
  • HIPAA: https://www.hhs.gov/hipaa/index.html
  • पीसीआई-डीएसएस: https://www.pcisecuritystandards.org/