aayushthakur300/CyberSentinel

# CyberSentinel 生产链接：---------------------------> https://cyber-sentinel-4haf.onrender.com # 🛡️ CyberSentinel ## AI 驱动的恶意软件分析引擎 CyberSentinel 是一个**先进的多模态安全分析平台**，旨在检测源代码、二进制文件、网络流量和媒体文件中的**零日漏洞威胁、混淆载荷和恶意工件**。 与主要依赖文件哈希和静态特征码的传统杀毒软件不同，CyberSentinel **解构程序逻辑，解码多层混淆，检查可执行文件内部结构，分析网络流量，并将行为与 MITRE ATT&CK 框架关联**，以提供可解释的、企业级的威胁情报。 ## 🚀 核心能力 ### 🧠 1. 通用静态分析引擎 由**自定义抽象语法树 (AST) 解析器**结合**上下文感知正则表达式引擎**驱动，CyberSentinel 能以高精度识别特定语言的威胁。 **支持的语言 (20+)** Python, JavaScript, C, C++, Java, Go, Rust, PHP, PowerShell, Bash, Ruby, Perl, C#, SQL, Batch, VBScript, Lua, R, Dockerfile 等。 **深度逻辑检查** * 检测危险的执行接收点：`eval()`, `exec()`, `system()` * 标记进程注入技术： * `VirtualAlloc` * `CreateRemoteThread` * 识别反向 Shell 和持久化机制 * 跟踪控制流滥用和可疑的逻辑模式 ### 🔍 2. 二进制取证 (PE & 可执行文件) 一个专门用于分析**已编译的 Windows 工件**（`.exe`, `.dll`）而无需执行它们的引擎。 * **PE 头分析** * 入口点异常 * TimeStomping（伪造的编译时间戳） * **节检查** * 壳/恶意软件检测（高熵值 > 7.0） * 可写 + 可执行 (RWX) 内存区域 * **导入哈希** * 标记可疑的 API 导入，如 `CryptEncrypt`, `ShellExecute` * **字符串提取** * ASCII & Unicode 字符串 * C2 IP, URL, 注册表路径和硬编码凭证 ### 📡 3. 网络取证 (PCAP 分析) 分析数据包捕获文件 (`.pcap`) 以检测**命令与控制 (C2) 流量、横向移动和侦察活动**。 * **协议分析** * 识别不安全的协议 (Telnet, FTP, HTTP) * **C2 信标检测** * 可疑的 User-Agent (Metasploit, Empire, Cobalt Strike) * **端口 & 扫描检测** * Nmap 风格的扫描 * 非标准端口 (4444, 6667 等) ### 🖼️ 4. 隐写术检测 检查图像文件（`.jpg`, `.png`）以发现**隐藏的载荷和隐蔽通道**。 * **LSB (最低有效位) 分析** * **元数据取证** * EXIF 数据中注入的 PHP / Shellcode 标签 * **多语言文件 检测** * 伪装成图像和可执行文件/脚本的文件 ### 📊 5. 情报、评分与报告 * **8 轴风险雷达** * 执行 * 持久化 * 权限提升 * 防御规避 * 凭证访问 * 发现 * 横向移动 * 影响 * **启发式风险评分 (0–100)** * 基于行为的加权评分 * 确定性且可解释 * **MITRE ATT&CK 映射** * 自动化 TTP 分类 * **VirusTotal 集成** * SHA-256 哈希 * 跨 70+ 引擎的信誉查询 * **PDF 取证报告 (司法级)** * 高管风险摘要 * 杀伤链 评分 * 证据片段（源代码 / Hex 转储） * AI 生成的裁决结论 ## 🤖 AI 可解释性层 * 将原始检测结果转换为**人类可读的解释** * 针对可疑逻辑的行级推理 * 交互式查询，例如： * “为什么要标记这个？” * “这一行是做什么的？” ## 🛠️ 系统架构 系统遵循**微服务就绪、无状态架构**，将分析逻辑与 API 路由分离。 ``` graph TD User[User / Analyst] -->|Uploads File| API[FastAPI Gateway] API --> Router{Analysis Router} Router --> Static[Static Analysis Engine] Router --> Binary[Binary Forensics Engine] Router --> Network[PCAP Forensics Engine] Router --> Stego[Steganography Engine] Static --> Risk[Risk Engine] Binary --> Risk Network --> Risk Stego --> Risk Risk --> AI[AI Explainer] AI --> Report[PDF Report Generator] Report --> User ``` ## 📂 项目结构 ``` CYBERSENTINEL/ │ ├── frontend/ │ ├── index.html # Dashboard UI │ ├── dashboard.html # Landing page │ ├── app.js # Frontend logic & API calls │ └── style.css # Dark-mode styling │ └── backend/ ├── main.py # Application entry point ├── requirements.txt # Dependencies │ ├── analyzer/ # Core analysis engine │ ├── static_analyzer.py │ ├── binary_analyzer.py │ ├── pcap_analyzer.py │ ├── stego_analyzer.py │ ├── deobfuscator.py │ ├── risk_engine.py │ ├── mitre_mapping.py │ ├── virustotal.py │ ├── report_generator.py │ └── utils.py │ └── routes/ └── analyze.py # API endpoints ``` ## ⚡ 安装与设置 ### ✅ 前置条件 * Python 3.10+ * Git ### 1️⃣ 克隆仓库 ``` git clone https://github.com/yourusername/cybersentinel.git cd cybersentinel ``` ### 2️⃣ 后端设置 ``` cd backend python -m venv venv # 激活 # Windows venv\Scripts\activate # Linux / macOS source venv/bin/activate pip install -r requirements.txt ``` ### 3️⃣ 可选外部密钥 在 `backend/` 中创建 `.env`： ``` VIRUSTOTAL_API_KEY=your_api_key_here ``` ### 4️⃣ 运行引擎 ``` python main.py ``` 服务器运行于：`http://127.0.0.1:8001` ### 5️⃣ 访问仪表板 在浏览器中打开： ``` http://127.0.0.1:8001 ``` ## 🧪 已验证的测试场景 | 威胁向量 | 示例 | 检测模块 | | ------------- | ----------------------------------- | ---------------- | | 反向 Shell | `nc -e /bin/sh` | 静态 / 网络 | | 勒索软件 | 文件加密逻辑 | 静态 / 二进制 | | 隐写术 | JPG 中隐藏的载荷 | 隐写分析器 | | C2 信标 | 端口 4444 上的 HTTP 流量 | 网络 | | 注入 | `VirtualAlloc + CreateRemoteThread` | 二进制 / 静态 | | 混淆 | Base64 载荷 | 反混淆器 | | 持久化 | 注册表 Run 键 | 风险引擎 | ## 🔮 未来路线图 * [ ] 动态沙箱执行 * [ ] 基于机器学习的 PE 分类 * [ ] Docker 容器化部署 * [ ] CI/CD 提交扫描集成 ## 📄 许可证 MIT License

标签：AMSI绕过, C2检测, Cloudflare, DAST, DNS 反向解析, IP 地址批量处理, MITRE ATT&CK, odt, PE文件分析, SSH蜜罐, 二进制取证, 云安全监控, 人工智能安全, 代码混淆检测, 反病毒引擎, 合规性, 启发式扫描, 多模态安全, 威胁情报, 威胁检测, 安全专业人员, 开发者工具, 恶意软件分析, 抽象语法树, 数据可视化, 沙箱逃逸, 网络安全, 网络安全审计, 网络流量分析, 进程注入, 逆向工具, 隐私保护, 零日漏洞, 静态分析