0xcyberninja-git/AI-Malware-Analysis

# 🛡️ CyberGuard AI | 企业级自主 SecOps 平台 **CyberGuard AI** 是一个最先进的 AI 驱动 SOC 分析师平台，旨在彻底变革安全运营。通过将用于异常检测的高速 Machine Learning 与用于推理的 Large Language Models (LLMs) 相融合，它能在毫秒级时间内将原始网络日志转化为可执行的取证报告。 ## 🚀 在线访问 - **品牌门户 (Netlify):** [cyberguard-ai.netlify.app](https://cyberguard-ai.netlify.app) (示例 URL) - **技术仪表板:** [http://47.11.4.143:8501](http://47.11.4.143:8501) ## 🌐 混合部署策略 为了提供最优质的用户体验，我们采用了混合方法： 1. **Netlify 品牌门户（`web/` 目录）：** 一个高端、带动画效果的静态着陆页，负责 SEO、品牌推广，并重定向到工具。 2. **Streamlit AI 平台（`dashboard/`）：** 托管在专用服务器上的交互式 Python 技术环境。 ## 💎 核心功能套件 ### 1. 🌐 网络威胁狩猎 - **自主分流 (Triage)**：使用无监督 **Isolation Forest** ML 检测网络流量中的零日异常。 - **全球情报增强**：与 **AbuseIPDB** 实时集成，即时获取 IP 信誉评分。 - **CVE 映射**：自动将检测到的端口映射到 **NIST NVD database** 中的最新漏洞。 ### 2. 📧 钓鱼与社会工程学分析 - **取证解构**：解析 `.eml` 文件和原始头部以提取身份标志和可疑 payload。 - **LLM 解耦**：使用 **Llama 3.3** 分析心理触发点和社会工程学策略。 ### 3. 🗄️ 恶意软件去混淆器 - **自动化逆向工程**：解码 PowerShell、Bash 和 Python 脚本。 - **AST 洞察**：将恶意执行逻辑分解为人类可读的摘要和 IOC 列表。 ### 4. 🧠 进程树可视化器 - **可视化取证**：从 Sysmon/EDR 日志生成父子执行图。 - **LotL 检测**：识别“Living off the Land”行为，即受信任的二进制文件被劫持。 ### 5. 👥 UEBA (用户与实体行为分析) - **身份画像**：检测 **不可能的移动**、暴力破解速度和异常访问模式。 - **时间基线**：识别偏离标准用户工作周期的行为。 ### 6. 🔍 高级攻击面扫描器 - **周边侦察**：结合 **WHOIS** 数据、**Certificate Transparency** 日志（用于子域名）和 **Nmap** 服务版本探测。 - **战术加固**：为识别出的基础设施生成 AI 驱动的防御漏洞路线图。 ## 🛠️ 技术栈 - **核心引擎：** Python 3.13+ - **前端仪表板：** Streamlit (Enterprise SaaS Theme) - **机器学习：** Scikit-Learn (Isolation Forests) - **LLM 编排：** LangChain & LangGraph - **AI 模型：** Groq Llama 3.3 (70B Versatile) - **数据处理：** Pandas, Numpy, Plotly - **可视化：** Graphviz (neato engine), SVG Injection ## 📂 项目结构 ``` ai-soc-analyst/ ├── dashboard/ # Enterprise Streamlit UI logic ├── llm/ # Core AI Reasoning: Phishing, Malware, Recon, Visualizer ├── models/ # ML Anomaly Detection (Isolation Forest .pkl) ├── ingestion/ # Log normalization and parsing ├── features/ # Behavioral feature engineering ├── utils/ # API integrations (AbuseIPDB, CVE/NVD) ├── data/ # Mock and real log artifacts └── requirements.txt # Production dependencies ``` ## ⚡ 快速开始 (本地开发) 1. **克隆仓库：** git clone cd ai-soc-analyst 2. **设置环境：** python3 -m venv venv source venv/bin/activate pip install -r requirements.txt 3. **安装系统依赖：** sudo apt install nmap graphviz 4. **启动仪表板：** streamlit run dashboard/app.py 由 **Prateek Bheevgade** 用 ❤️ 开发 | *印度那格浦尔*

标签：CTI, DLL 劫持, DNS 反向解析, EDR可视化, HTTP/HTTPS抓包, IP 地址批量处理, Kubernetes, Llama 3, Netlify, Python, SecOps平台, SOC分析师, Streamlit, 云资产清单, 人工智能安全, 企业安全, 反模式检测, 合规性, 域环境探测, 大语言模型, 异常检测, 态势感知, 恶意软件去混淆, 无后门, 漏洞映射, 网络安全, 网络流量分析, 网络资产管理, 自动化安全运营, 访问控制, 逆向工具, 逆向工程, 钓鱼邮件分析, 隐私保护, 隔离森林算法