LawlZenio/mensor-xai-showcase

# EAIVP — Aletheia Prism ### 可解释 AI 可视化平台 | Mensor XAI ## 什么是 EAIVP？ EAIVP 是一个取证恶意软件分析平台，其核心理念是：安全判定的价值仅取决于其背后的解释。提交到该平台的每个文件都会同时通过三个独立的分析视角进行分析，每个视角从不同的角度检查文件。结果被渲染为实时的 3D 地形可视化，并汇编成专业的取证 PDF 报告 —— 每一项发现都通过通俗易懂的英语进行了解释。 该平台专为网络安全专业人员、SOC 分析师、法律团队和合规职能部门设计，他们需要理解文件 *为什么* 可疑，而不仅仅是知道它 *是* 可疑的。 EAIVP 旨在符合 **EU AI Act Article 15** 的合规要求，该条款要求在高风险环境中使用的 AI 系统对其输出提供有意义的解释。Aletheia Prism 生成的每个判定都包含完整的取证叙述，可追溯至触发该判定的具体信号。 ## Aletheia Prism — 三透镜架构 EAIVP 的核心是 **Aletheia Prism**：三个同时且独立运行的分析透镜，每个透镜针对被检查文件中不同的信号域。没有任何单一透镜能决定判定 —— 组合结果是一个三元分析，比任何单一信号方法都更难规避。 ### 透镜 A — 字节空间 使用 **Shannon entropy** 分析文件的原始字节分布，以检测加密、加壳和混淆的统计指纹。增强功能包括 **YARA signature matching**，用于直接在字节流中识别已知的恶意软件模式。 可视化为 **3D 地形高度图**：高度代表局部熵。平坦的高原表示均匀或压缩区域。尖锐的峰值表示与加密 Payload 或加壳代码一致的高熵区域。 ### 透镜 B — 像素空间 将文件解释为像素数据，并分析其 **RGBA 通道结构** 和 **LSB (Least Significant Bit)** 分布。检测隐写内容和熵分析无法看到的结构异常。适用于图像文件和某些二进制格式。 可视化为 **3D 点云**：每个点代表一个像素。分布形状揭示了结构的规律性或异常。 ### 透镜 C — 符号波频谱 将文件的字节序列视为信号，对其应用 **Welch Power Spectral Density** 和时间分析。测量频谱平坦度、共振和深度，以识别加密或加壳可执行文件特有的近随机分布 —— 即使在熵本身不明确的情况下也是如此。 可视化为独特紫色调的 **3D 波面地形**：近乎平坦的高振幅表面是加密的频谱特征。 ## 检测性能 针对从 MalwareBazaar 获取的 **422 个真实恶意软件样本** 进行了验证，涵盖 **21 个恶意软件家族**。使用完整的 Aletheia Prism 三元组进行分析。结果验证于 2026 年 3 月 17 日。 | 家族 | 检出数 | 样本数 | 检出率 | |---|---|---|---| | AsyncRAT | 20 | 20 | 100% | | BlackCat | 20 | 20 | 100% | | CobaltStrike | 20 | 20 | 100% | | Conti | 20 | 20 | 100% | | DarkComet | 20 | 20 | 100% | | Dridex | 20 | 20 | 100% | | Emotet | 20 | 20 | 100% | | GuLoader | 20 | 20 | 100% | | IcedID | 20 | 20 | 100% | | LockBit | 20 | 20 | 100% | | Mirai | 23 | 23 | 100% | | RedLine | 19 | 19 | 100% | | TrickBot | 20 | 20 | 100% | | Vidar | 20 | 20 | 100% | | WannaCry | 20 | 20 | 100% | | njRAT | 20 | 20 | 100% | | AgentTesla | 19 | 20 | 95% | | Ryuk | 19 | 20 | 95% | | XWorm | 19 | 20 | 95% | | Stealc | 18 | 20 | 90% | | FormBook | 16 | 20 | 80% | | **总计** | **413** | **422** | **97.9%** | **21 个家族中有 16 个达到 100% 检出率。** 检测阈值：Aletheia Prism 三元组中为 MEDIUM 或以上。所有数据均如实报告 —— FormBook 80% 的检出率已被记录，而非隐瞒。 ## 取证报告样本 `/reports` 文件夹包含四个由平台生成的真实取证报告。这些报告展示了跨不同文件类型和威胁级别的完整输出。 | 报告 | 文件类型 | 综合判定 | 备注 | |---|---|---|---| | `01_clean_png.pdf` | PNG 图像 | LOW | 三个透镜均激活。低熵，无异常标志。 | | `02_clean_zip.pdf` | ZIP 压缩包 | MEDIUM | 见下文说明。 | | `03_WannaCry_dll.pdf` | DLL | CRITICAL | 透镜 A HIGH + 透镜 C CRITICAL。频谱平坦度 0.9102。 | | `04_LockBit_exe.pdf` | EXE | CRITICAL | 透镜 A CRITICAL (90.6%) + 透镜 C CRITICAL (98.6%)。 | ### 关于 Clean ZIP 报告的说明 `02_clean_zip.pdf` 报告分析了一个干净的、良性的 ZIP 文件，并返回了 **MEDIUM** 判定。这是有意且预期的 —— 这不是传统意义上的误报。 ZIP 压缩固有地引入了一定程度的频谱随机性：DEFLATE 算法产生的字节分布在统计特征上与加密内容相似。透镜 C (Signwave) 正确识别了这种升高的频谱平坦度并如实标记。报告中的取证叙述清楚地解释了这一区别。 此行为是设计使然。平台的作用是揭示异常并加以解释 —— 而不是因为信号不方便而抑制它们。SOC 分析师审查标记为 MEDIUM 的压缩压缩包正是预期的工作流程：报告为他们提供了调查的证据，而不是虚假的安全感。综合判定系统和通俗英语叙述将此类结果与真正的 CRITICAL 发现区分开来。 ## 取证报告格式 每次分析都会生成一份结构化的 PDF 取证报告，包含： - 案件引用和时间戳 - 包含置信度的综合 Aletheia Prism 判定 - 每个透镜的细分（判定、置信度、关键指标） - 文件元数据，包括用于监管链的 SHA-256 哈希 - 每个透镜的 3D 地形可视化截图 - 完整的 AI 生成的通俗英语取证叙述 - 威胁指标摘要 - 建议措施 报告由 `Librarian_v2.0` 生成，适用于安全事件文档、法律程序和合规审计追踪。 ## 规避抗性 针对该平台测试了三种常见的规避技术： **UPX 加壳（干净的可执行文件）：** 未触发误报。平台正确地将已知安装程序格式的加壳签名置于上下文中。 **字典填充（WannaCry DLL）：** 熵规避成功 —— 填充降低了熵信号。YARA 签名在所有填充比例下均未受影响。多信号方法意味着填充熵不会击败平台。 **压缩包嵌套（zip 套 zip 中的 WannaCry）：** 嵌套将熵增加到 CRITICAL 范围，这使其成为一种弄巧成拙的规避技术。YARA 对 zip 层视而不见；熵进行了补偿。 关键发现：击败熵分析的规避技术无法击败 YARA，反之亦然。没有单一的规避技术击败了多信号三元组。 ## 定位 EAIVP 并非旨在检测量上与企业 EDR 平台竞争。它占据了一个不同的细分市场：使 AI 辅助的威胁分析 **可视化可理解**、**法律上可辩护** 且 **监管上合规**。 | 能力 | EAIVP | 企业 EDR | |---|---|---| | 视觉可解释性 | 跨 3 个透镜的 3D 地形 | 仪表板分数 | | EU AI Act Article 15 | 设计内置 | 黑盒 ML | | 取证叙述 | 每个信号的通俗英语 | 告警日志 | | 分析师清晰度 | 显示文件中的 WHERE | IOC 列表 | | AI 透明度 | 确定性信号 + 分离的 LLM 层 | 不透明模型 | | 检测规模 | 验证了 422 个样本 | 数十亿事件 | ## 演示 ▶ **[WannaCry 实时检测 — 16 秒](https://youtu.be/4TZJO9mw-qg)** ## 项目状态 EAIVP 是一个 **研究和作品集平台**。它不对外商业销售。源代码是专有的，不包含在此存储库中。 此展示存储库仅包含样本取证报告和性能文档。 **当前状态：** ~78% 完成。检测流水线已验证。PDF 报告已完成。自动化恶意软件收集活跃。 ## 联系方式 **Lawrence Cue** — 独立开发者, Mensor XAI Ashford, Kent, UK ## 许可证 保留所有权利。 © 2026 Mensor XAI / Lawrence Cue. `/reports` 中的取证报告 PDF 仅供演示目的。此存储库中不包含任何源代码。Aletheia Prism 架构、检测方法和所有相关软件均为专有。 *EAIVP — Aletheia Prism · Mensor XAI · England and Wales*

标签：3D可视化, AI报告生成, C2, CIDR输入, DAST, DNS信息、DNS暴力破解, DNS 反向解析, EU AI Act, meg, SOC分析工具, XAI, YARA规则, 云安全监控, 人工智能安全, 信息安全, 可视化安全, 可解释人工智能, 合规性, 威胁情报, 开发者工具, 恶意软件分析, 数字取证, 沙箱检测, 法律合规科技, 熵分析, 网络信息收集, 网络安全, 网络犯罪调查, 自动化分析, 自动化脚本, 自定义DNS解析器, 跨站脚本, 隐私保护, 静态分析