zencefilefendi/Steganography-Detection-Zero-Trust-Threat-Intelligence-Platform

GitHub: zencefilefendi/Steganography-Detection-Zero-Trust-Threat-Intelligence-Platform

一款融合 AI 驱动的隐写术检测、零信任 CDR 与威胁情报联动的企业级数字取证指挥平台。

Stars: 0 | Forks: 0

# 👁️ ARGUS:God's Eye 项目 **高级 AI 驱动的数字取证与隐写术威胁情报系统** ![Argus Banner](https://img.shields.io/badge/Status-Active_Development-success?style=for-the-badge) ![Python](https://img.shields.io/badge/Python-3.13-blue?style=for-the-badge&logo=python) ![FastAPI](https://img.shields.io/badge/FastAPI-0.115-009688?style=for-the-badge&logo=fastapi) ![Streamlit](https://img.shields.io/badge/Streamlit-1.42-FF4B4B?style=for-the-badge&logo=streamlit) ## 📖 概述 **Argus** 是一个精英级、最先进的指挥中心 (SOC),旨在检测、分析并清除隐藏在图像中的高级持续性威胁。超越传统的恶意软件沙箱,Argus 专精于挖掘隐蔽通信信道(隐写术)、提取恶意 Payload,并提供统一的 3D 威胁网络图谱。 基于“零信任”原则构建,它具备内容解除与重建 (CDR) 机制,可在受感染文件破坏环境之前将其清除。 ## 🚀 核心模块(智能 5 柱) - **1. 结构与预沙箱引擎 (`pre_sandbox_analyzer.py`):** 深度字节检查。验证 Magic Bytes,提取 EOF overlays(文件末尾的未授权注入数据),并使用正则表达式提取嵌入的网络 IOCs(IPs/URLs)。 - **2. LSB 切片与高级熵分析 (`stego_analyzer.py`):** 文件的数学画像。提取最低有效位 (LSB) 平面,并执行 8x8 滑动窗口香农熵计算,以检测肉眼不可见的加密数据块 (AES/ZIP)。 - **3. AI/ML 异常检测 (`ml_stego_detector.py`):** 采用空间富模型 (SRM) 噪声残差结合卷积神经网络 (CNN) 逻辑(或孤立森林算法)来检测表明隐写术的统计扰动。 - **4. Payload 尸检与 YARA 扫描器 (`payload_extractor.py`):** 自动转储隐藏的字节数组,并使用 YARA 规则扫描内存堆栈,以检测已知的恶意软件签名(Metasploit, Cobalt Strike, 勒索软件组件)。 - **5. OSINT 威胁信誉 (`osint_analyzer.py`):** 自动将提取的文件哈希和 IP 地址与全球威胁情报源(VirusTotal, AbuseIPDB)进行交叉比对,以确定僵尸网络基础设施关联。 ## 🤖 自主 AI SOC 分析师 Argus 配备了一个集成的 AI 分析师模块 (`ai_reporter.py`),充当 Tier-2 SOC 响应者。它读取来自所有模块的原始 JSON 遥测数据,并实时生成人类可读的高管级缓解报告,突出显示关键节点和建议行动。 ## 🛡️ 零信任 CDR (消毒器) 当文件威胁分数超过安全阈值时,Argus 会触发零信任内容解除与重建 (`sanitizer.py`) 引擎。它在数学上剥离 EXIF 元数据,截断恶意的 EOF overlays,并中和 LSB 层,向最终用户提供原始图像的“临床安全”副本。 ## ⚙️ 使用与编排 Argus 专为具备完整 Docker 化能力的 DevSecOps 流水线而设计。 ### 前置条件 需要 Python 3.10+ 或 Docker。 ### 1. 标准运行 启动 REST API 后端: ``` uvicorn api_main:app --reload --port 8000 ``` 启动情报仪表板 (UI): ``` streamlit run app.py ``` ### 2. Docker 部署 ``` docker-compose up --build ``` *(API 运行在端口 8000,UI 运行在端口 8501)* ### 环境变量 为了获得最佳的威胁情报和 AI 操作体验,请在您的环境中配置以下密钥: - `VT_API_KEY`: VirusTotal API Key - `ABUSEIPDB_API_KEY`: AbuseIPDB API Key - `OPENAI_API_KEY` 或 `GEMINI_API_KEY`: 用于自主 AI SOC 分析师。 ## ⚠️ 免责声明 Argus 严格设计用于授权的数字取证、事件响应 (DFIR) 以及红/蓝队行动。严禁针对第三方基础设施进行未经授权的使用。请负责任地使用。
标签:AI安全, Apex, APT攻击防御, AV绕过, CDR内容拆解与重建, Chat Copilot, DAST, DNS信息、DNS暴力破解, DNS 反向解析, FastAPI, IOC指标, IP/URL提取, IP 地址批量处理, Kubernetes, LSB隐写, Petitpotam, Python, SOC安全运营中心, Streamlit, YARA规则, 卷积神经网络, 图像隐写分析, 域名收集, 威胁情报, 开发者工具, 开源安全工具, 异常检测, 恶意软件分析, 搜索语句(dork), 数字取证, 文件结构分析, 无后门, 有效载荷提取, 机器学习, 沙箱逃逸检测, 熵分析, 网络信息收集, 网络安全, 自动化脚本, 访问控制, 请求拦截, 逆向工具, 逆向工程平台, 隐写术检测, 隐私保护, 隔离森林, 零信任安全