thalesgroup-cert/suspicious
GitHub: thalesgroup-cert/suspicious
一个AI增强的钓鱼与威胁分析平台,通过自动化检查、分类和报告电子邮件、文件、URL等可疑内容,帮助组织防御复杂的社会工程攻击。
Stars: 83 | Forks: 10
AI Phishing Threat Analysis Platform
# 可疑内容分析平台
一个**基于AI的网络钓鱼与威胁分析平台**,可自动检查、分类和报告可疑的电子邮件、文件、URL、IP地址及哈希值,专为团队和组织打造。
## 为什么选择 Suspicious?
网络钓鱼和社会工程攻击正变得日益复杂,结合了欺骗性邮件、恶意软件、凭证窃取、恶意链接等多种手段。
Suspicious 提供**可扩展的、自动化的、AI增强的防御能力**,帮助您:
- 🔎 分析可疑内容:电子邮件、文档、URL、IP地址、文件哈希值…
- 🧠 使用深度分析流程:YARA规则、沙箱分析、元数据检查、**基于AI的分类器**、Cortex分析器
- ✅ 将结果分类为可操作的类别(安全 / 无定论 / 可疑 / 危险)
- 📄 通过直观的Web界面提供完整的分析报告和仪表盘
- 📤 通过电子邮件自动通知或警报用户
- 🔌 可选地与 **TheHive**、**MISP**、**LDAP**、**MinIO**、**Elasticsearch** 等集成
## 快速开始(快速配置)
我们推荐使用 Docker + Docker Compose v2。完整说明请参见 **[SETUP.md](SETUP.md)** 和 **[CONFIG.md](CONFIG.md)**。
```
# 克隆仓库
git clone https://github.com/thalesgroup-cert/suspicious.git
cd suspicious/deployment
# 初始化环境、配置和目录结构
make init
# 启动技术栈
make up
# 首次运行时:执行数据库迁移 + 创建超级用户
make migrate
make superuser
# 打开 Web 界面
# http://localhost:9020 (或您配置的域名/端口)
```
或者,您可以直接使用 Docker Compose:
```
docker compose up -d
```
## 配置概述
Suspicious 使用三个主要配置文件:
| 文件名 | 用途 |
| -------------------------- | --------------------------------------------------------------------------------------------------- |
| `.env` | Docker服务的环境变量(版本、端口、路径、凭证) |
| `Suspicious/settings.json` | 应用级配置:品牌信息、SMTP、LDAP、Cortex 与 MISP 凭证、允许的域名、UI设置等 |
| `email-feeder/config.json` | 电子邮件摄取配置:IMAP/IMAPS连接器、MinIO设置、轮询间隔、工作目录、通知SMTP设置 |
完整的参数文档和示例请参阅 **[CONFIG.md](CONFIG.md)**。
## 核心功能
## AI 邮件分析
Suspicious 包含一个内置的 AI 模块(通过 `Analyzers/AIMailAnalyzer`),可对电子邮件按意图(钓鱼、恶意、可疑、良性等)进行分类,补充静态规则和分析器,提供针对您组织的更智能检测。
### 功能说明
- 使用机器学习识别超越启发式或基于规则的潜在恶意或可疑邮件模式。
- 与标准分析器(YARA、沙箱、元数据)协同工作,构建更强大的分析流程。
- 支持组织特定训练,使其能适应您内部的邮件规范、语言和威胁态势。
- 支持仪表盘和关键指标:活动摘要、可疑与安全邮件数量、历史趋势、检测统计。
### 重要性
- 检测静态规则可能错过的细微或演变的威胁(例如社会工程、异常元数据)。
- 提供可定制性:您可以用自己的数据训练模型,以适应公司特定的模式。
- 随时间提供可见性和分析,有助于安全运营中心(SOC)、报告、意识提升和改进循环。
### 如何开始
1. 进入 `Analyzers/AIMailAnalyzer/` 目录,您将找到训练脚本和说明。
2. 收集一个有代表性的、已标记的数据集(合法邮件 vs 钓鱼邮件)。
3. 训练或重新训练模型以适应您的环境。
4. 将训练好的模型部署到 Cortex 中,与其他分析器一起使用。
5. 审查分类结果;监控性能(精确度、误报/漏报),并在需要时定期重新训练。
## 架构概览
| 组件 | 角色 |
| ---------------- | ---- |
| **Web (Django)** | 核心逻辑 + UI – 提交、分析、报告 |
| **数据库** | 存储元数据、结果、用户设置 |
| **Elasticsearch**| 搜索引擎与索引 |
| **Cortex** | 分析器引擎(运行 YARA、AI、沙箱、元数据分析器) |
| **MinIO (S3)** | 存储上传的文件、提取的附件、工件 |
| **邮件处理器** | 监控邮箱,自动导入传入邮件 |
| **Traefik(可选)** | 反向代理、TLS/HTTPS 终止、域名路由 |
AI 分析器(来自 `Analyzers/AIMailAnalyzer`)与此架构完全兼容,允许基于机器学习的检测与传统分析器并行工作。
## 界面截图
### 主页
### 用户提交记录
### 提交页面
### 经典仪表盘
### 网络钓鱼活动仪表盘
## 许可证
Suspicious 在 **GNU Affero 通用公共许可证 v3 (AGPL-3.0)** 下发布。
完整详情请参阅 [`LICENSE`](LICENSE) 文件。
标签:AI分类器, AI驱动, Checkov, Cortex分析器, DNS信息、DNS暴力破解, HTTPX, IP分析, PDF链接提取, URL分析, Web界面, YARA规则, 仪表板, 元数据检查, 分析报告, 可疑内容分析, 哈希分析, 团队协作, 威胁分析, 安全分类, 文件分析, 沙箱分析, 电子邮件分析, 组织安全, 网络安全, 网络钓鱼防护, 自动化侦查工具, 自动检测, 请求拦截, 逆向工具, 隐私保护