dfeen87/Spyware-Accountability-Framework
GitHub: dfeen87/Spyware-Accountability-Framework
一个防御性的人权对齐框架,用于检测、绘制雇佣兵间谍软件基础设施并生成可复现的威胁情报分析管道。
Stars: 0 | Forks: 0
# 间谍软件问责框架
[](https://github.com/dfeen87/Spyware-Accountability-Framework/actions/workflows/ci.yml)
[](CITATION.cff)
[](https://www.python.org/downloads/)
一个**防御性、人权对齐的框架**,使用 AILEE(人工智能决策系统的自适应完整性层)作为分析引擎,用于:
- 检测和表征雇佣兵/国家级间谍软件基础设施和活动。
- 绘制和记录间谍软件生态系统(基础设施、供应商和关系)。
- 生成机器可读的检测产物(规则、IOC)和人类可读的简报。
- 为非政府组织、记者、研究人员和防御者提供可复现的管道。
## 核心原则
- **无攻击性工具:** 本框架不提供、分析或构建漏洞利用。它不提供构建或改进间谍软件的说明。
- **不以个人为目标:** 重点完全放在绘制基础设施、供应商生态系统和系统性模式上。
- **无真实个人隐私信息或实时目标:** 任何示例、数据集或教程都使用合成数据或明确匿名化的数据。
- **防御对齐:** 一切都以透明度和问责工具为框架,遵循严格的人权对齐原则。
## 核心组件
1. **AILEE 分析接口:** 用于集成 AI/ML 模型以对取证工件和开源情报进行分类和风险评分的接口,具有可通过环境变量配置(v3)的实时 API 后端。
2. **管道:** 可配置、可复现的管道,用于:
- 网络取证
- 开源情报供应商映射(v3 中包含 NetworkX 图形分析)
- 报告和简报生成
3. **隐私叠加层:** `ailee_core/privacy` 提供 PII 脱敏、差分隐私和假名化,集成到所有摄取管道中(v3)。
4. **信誉网络:** `ailee_core/reputation` 提供联邦式、HMAC 签名的信誉查询接口,用于在可信的非政府组织合作伙伴之间共享情报(v3)。
5. **规则集:** 示例性、合成性规则(YARA、Sigma、Suricata),展示如何安全地构建防御性签名。
6. **治理:** 严格的指南和检查清单,确保贡献始终与人权和防御目的保持一致。
## 仓库结构
```
Spyware-Accountability-Framework/
├── .github/
│ └── workflows/
│ ├── ci.yml # Lint, type-check, and test on every push/PR
│ └── ruleset-ci.yml # YARA/Sigma/Suricata validation on ruleset changes
├── ailee_core/ # Core AILEE analysis engine
│ ├── backends/
│ │ ├── classifier_backend.py # Classifier API backend (live or stub)
│ │ ├── llm_backend.py # LLM API backend (live or stub)
│ │ └── osint_semantic_backend.py # OSINT graph analytics backend
│ ├── __init__.py
│ ├── interfaces.py # Abstract AILEE interfaces
│ ├── models_stub.py # Deterministic stub model responses
│ ├── privacy.py # PII redaction and differential privacy
│ └── reputation.py # Federated HMAC-signed reputation network
├── ci/
│ └── ruleset_validation/
│ ├── network_rule_validator.py # Suricata rule validator
│ ├── sigma_linter.py # Sigma rule linter
│ └── yara_linter.py # YARA rule linter
├── docs/ # Architecture and usage documentation
│ ├── active_prevention_guidance.md
│ ├── architecture.md
│ ├── data-handling-and-privacy.md
│ ├── ethics-and-governance.md
│ ├── threat-model.md
│ └── usage-overview.md
├── examples/ # Synthetic datasets and usage notebooks
│ ├── notebooks/
│ │ └── exploratory_analysis.py # Programmatic pipeline walkthrough
│ ├── synthetic_network_capture_description.md
│ └── synthetic_osint_dataset.json
├── governance/ # Contribution policies and review checklists
│ ├── v2/
│ │ ├── governance_board_structure.md
│ │ ├── major_change_review_process.md
│ │ └── sensitive_data_request_policy.md
│ ├── v3/
│ │ └── v3_change_review.md
│ ├── abuse-handling-policy.md
│ └── release-review-checklist.md
├── pipelines/ # Runnable analysis pipelines
│ ├── __init__.py
│ ├── network_forensics_pipeline.py
│ ├── osint_vendor_mapping_pipeline.py
│ └── reporting_pipeline.py
├── reports/
│ └── templates/
│ └── brief_template.md # Report output template
├── rulesets/ # Example detection rules (YARA, Sigma, Suricata)
│ ├── network/
│ │ └── example_suricata_rules.rules
│ ├── sigma/
│ │ └── example_spyware_detection.yml
│ ├── yara/
│ │ └── example_spyware_family.yar
│ └── README.md
├── synthetic_data/ # Synthetic datasets for testing
│ ├── synthetic_infrastructure_graph_v2.json
│ ├── synthetic_network_flows_v2.json
│ ├── synthetic_network_flows_v3.json
│ ├── synthetic_osint_entities_v2.json
│ ├── synthetic_osint_entities_v3.json
│ └── README.md
├── tests/ # Automated test suite (54 tests)
│ ├── test_graph_analytics.py
│ ├── test_live_backends.py
│ ├── test_network_forensics_pipeline.py
│ ├── test_osint_vendor_mapping_pipeline.py
│ ├── test_privacy.py
│ ├── test_reporting_pipeline.py
│ └── test_reputation.py
├── pyproject.toml # Project metadata and tooling configuration
├── CITATION.cff # Citation metadata (CFF format)
├── CODE_OF_CONDUCT.md
├── CONTRIBUTING.md
├── LICENSE
├── ROADMAP_V2_COMPLETION.md # v2 completion summary and v3 integration notes
├── SECURITY.md
└── VALIDATION.md # Full end-to-end simulation results
```
## 快速入门
### 安装
确保已安装 Python 3.9+。
```
git clone https://github.com/dfeen87/Spyware-Accountability-Framework.git
cd Spyware-Accountability-Framework
pip install -e .[dev]
```
### 运行管道(合成数据)
针对合成网络捕获运行网络取证管道:
```
python -m pipelines.network_forensics_pipeline \
--input examples/synthetic_network_capture_description.md \
--output /tmp/report.json
```
### 运行测试
```
pytest tests/
```
### 代码检查和类型检查
```
ruff check .
mypy ailee_core pipelines
```
## AILEE 集成
`ailee_core` 模块实现了 AILEE 架构(分层、策略和信任评估):
1. 接收规范化数据(在边界处应用 PII 脱敏)。
2. 咨询 AI 模型以获取风险/分类评分——在配置时使用实时 API 后端,否则使用确定性存根。
3. 在根据这些评分采取行动之前应用严格的策略和信任阈值。
4. 可选地,使用来自可信非政府组织同行的联邦信誉数据丰富结果。
## 实时后端配置
| 环境变量 | 用途 |
|-------------------------|---------------------------------------------|
| `LLM_API_URL` | 实时 LLM 后端的端点 |
| `LLM_API_KEY` | 实时 LLM 后端的 API 密钥 |
| `CLASSIFIER_API_URL` | 实时分类器后端的端点 |
| `CLASSIFIER_API_KEY` | 实时分类器后端的 API 密钥 |
| `SAF_REPUTATION_PEERS` | 联邦信誉同行的 JSON 数组 |
当这些变量未设置时,框架会回退到确定性存根逻辑。
## 目标受众
- 非政府组织和民间社会组织
- 调查记者
- 安全研究人员
- 网络防御者
## 路线图
### v3(当前版本)
1. **实时 AI 模型集成:** `LLMBackend` 和 `ClassifierBackend` 的可插拔实时 API 后端,可通过环境变量配置。当环境变量未设置时,优雅地回退到确定性存根逻辑。
2. **高级图形分析:** `OSINTSemanticBackend` 和开源情报管道现在构建真实的 `networkx.DiGraph` 对象并计算度中心性指标,以识别雇佣兵生态系统中高度连接的节点。
3. **增强的数据隐私叠加层:** `ailee_core/privacy` 提供 PII 脱敏(`redact_pii`)、拉普拉斯差分隐私(`apply_differential_privacy`)和基于 HMAC 的假名化。两个摄取管道在分析前都调用 `redact_pii`。
4. **去中心化信誉网络:** `ailee_core/reputation` 实现 HMAC-SHA256 签名的联邦查询,连接到可信的非政府组织同行,在未配置同行时优雅降级。
### v2(已完成)
1. **可插拔 AILEE 后端:** 实现了三个存根后端(`llm_backend.py`、`classifier_backend.py`、`osint_semantic_backend.py`)。
2. **扩展的合成数据集:** 在 `synthetic_data/` 中创建了更丰富的 v2 数据集。
3. **自动化威胁简报:** 增强了报告管道以生成带有图形可视化的 Markdown 简报。
4. **规则集的 CI/CD:** 在 CI 中自动化了 YARA/Sigma/Suricata 验证。
5. **社区治理委员会:** 在 `governance/v2/` 中正式化了审查流程。
## 致谢
本项目结合了原创想法、实践编码和高级 AI 系统的支持开发而成。我要感谢 **Microsoft Copilot**、**Anthropic Claude** 和 **Google Jules** 在完善概念、提高清晰度和加强整体质量方面提供的宝贵帮助。
## 引用本工作
如果您在研究或报告中使用此框架,请使用 [`CITATION.cff`](CITATION.cff) 中的元数据引用它:
```
@software{Feeney_Spyware_Accountability_Framework,
author = {Feeney Jr., Don Michael},
title = {Spyware Accountability Framework},
version = {3.3.1},
URL = {https://github.com/dfeen87/Spyware-Accountability-Framework}
}
```
## 社区和行为准则
所有贡献者和用户都应遵守我们的[行为准则](CODE_OF_CONDUCT.md)。本项目遵循严格的纯防御性政策。如需贡献指南,请参阅 [CONTRIBUTING.md](
标签:AI机器学习, DAST, IOC指标, Metaprompt, NetworkX, OSINT开源情报, Python, 人权和数字安全, 协作威胁情报, 去中心化, 图分析, 基础设施映射, 威胁情报, 开发者工具, 恶意软件分析, 数字取证, 无后门, 特权检测, 突变策略, 网络安全, 网络安全, 自动化脚本, 间谍软件检测, 隐私保护, 隐私保护