Imposter-zx/AegisScan-OpenCore

# AegisScan Strategic v4.0 ### 任务感知对抗模拟框架 [](LICENSE) [](docs/STRATEGY.md) [](ETHICS.md) **AegisScan Strategic** 是一个专业的、以研究为导向的对抗模拟框架，专为 **Purple Teams**、**Security Defenders** 和 **Educational Cyber Ranges** 设计。 与传统的漏洞扫描器（仅枚举缺陷）不同，AegisScan 模拟“任务导向”的威胁行为者行为——结合侦察、验证和目标仿真阶段，以严格测试并提升组织的检测能力。 ## 🎯 目标用户 本框架适用于： - **Blue Teams & SOC Analysts**：生成真实的“攻击噪声”，用于调优 SIEM/EDR 告警。 - **Purple Teams**：针对特定对抗行为验证检测逻辑。 - **Cyber Range Administrators**：用连贯的、以任务驱动的流量填充训练环境。 - **Security Researchers**：研究对抗环境中的自动化决策。 ## ⛔ 不适用场景 - **未经授权的行为者**：框架包含安全约束，不适用于未经授权的进攻性操作。 - **“点击即用”式利用**：这不是 Metasploit 的替代品，不包含武器化漏洞或零日漏洞。 ## 🛡️ 战略架构 大多数安全工具会无差别地发送网络流量。**AegisScan** 引入了 **Strategic Missions** 的概念： - **ROI-Aware Decision Engine**：系统会“校准”自身；如果检测风险（成本）超过目标的情报价值（ROI），引擎将退出。 - **Mission Profiles**：预定义逻辑集，用于特定审计目标： - `RECON`：被动与主动信息收集。 - `VALIDATION`：安全确认误配置。 - `EMULATION`：复制特定 TTPs（战术、技术与流程）。 - **Defensive Focus**：优先生成真实、可追溯的模式，以辅助 SOC 训练与签名开发。 ## 📂 仓库结构（开放核心） 本仓库遵循 **Responsible Open-Core** 研究模型（参见 [STRATEGY.md](docs/STRATEGY.md)）： - `core/`：框架引擎、智能处理和报告子系统。 - `modules/`：评估工具的标准封装（Nmap 及其他扫描器），以安全模式运行。 - `examples/`：教育参考实现（例如 `fast_port_scanner_demo.go`）。 - `reports/`：结构化 JSON/Text 任务报告的输出位置。 ## 🚀 快速开始 ### 前置条件 - Python 3.9+ - Nmap / Tshark（可选，用于特定被动侦察模块） - Go（可选，用于编译示例扫描器） - API 使用：安装额外依赖（`pip install -e .[api]`） ### 安装 ``` git clone https://github.com/Imposter-zx/AegisScan-OpenCore cd AegisScan-OpenCore pip install -r requirements.txt ``` ### 用法 **标准审计模式（安全）** 运行任务模拟以识别暴露面，避免激进探测。 ``` python main.py target.com --mode audit --mission recon ``` **持续观察（检测训练）** 运行周期性、低流量活动以测试持续监控告警。 ``` python main.py target.com --interval 60 --mode observation ``` **API 服务器模式** 启动 RESTful API 服务器以实现程序化访问与集成。 ``` python api/server.py ``` API 地址为：http://localhost:5000 ### 高级功能 #### 高级漏洞扫描 AegisScan 现包含支持以下功能的先进漏洞扫描器： - 基于 Nuclei 模板的扫描 - Nikto Web 服务器扫描 - 自定义漏洞检查 - 带有严重性级别的综合报告 #### 多种报告格式 报告可生成为以下格式： - JSON（默认） - 文本（可读） - STIX 2.1（用于威胁情报共享） - CEF（用于 SIEM 集成的通用事件格式） 使用 `--output` 标志指定格式： ``` python main.py target.com --mode audit --mission recon --output stix ``` #### Webhook 集成 在 `config.yaml` 中配置 Webhook 通知，以自动将结果发送至： - SIEM 平台（Splunk、Elasticsearch） - SOAR 平台 - 自定义 Webhook 端点 - 邮件通知 #### 安全 REST API API 包含基于 JWT 的认证： - 获取令牌：`POST /auth/login`（使用用户名/密码） - 访问受保护端点：包含 `Authorization: Bearer ` 头 - 基于角色的访问控制（管理员/操作员/查看者） ## ⚖️ 伦理与许可 ### 负责任使用 使用本软件即表示你同意 [ETHICS.md](ETHICS.md) 中的条款。严禁在未经明确书面授权的情况下对任何目标使用该工具。 ### 开源许可 本项目在 **GNU Affero General Public License v3.0 (AGPL-3.0)** 下发布。 这确保了核心研究的开放性，并防止该代码在闭源商业攻击平台中被武器化。 详见 [LICENSE](LICENSE) 获取完整文本。 _为防御性安全研究的进步而创建。_

标签：Adversarial Simulation, ATT&CK仿真, CTI, Cyber Range, Defensive Security, EDR调优, Mission-Aware, Purple Team Framework, Python, ROI感知, SIEM测试, 任务感知, 安全培训, 对抗模拟, 开源安全工具, 无后门, 日志审计, 检测能力测试, 目标驱动, 紫色团队, 网络靶场, 行为模拟, 逆向工具, 逆向工程平台, 防御研究, 验证