nextboxis/NexShield

GitHub: nextboxis/NexShield

AI 驱动的网络安全平台，将网络侦察、多引擎漏洞分析与漏洞利用整合为统一的 SOC 任务控制中心，实现从情报收集到可执行行动的闭环。

Stars: 1 | Forks: 0

``` ███╗ ██╗███████╗██╗ ██╗███████╗██╗ ██╗██╗███████╗██╗ ██████╗ ████╗ ██║██╔════╝╚██╗██╔╝██╔════╝██║ ██║██║██╔════╝██║ ██╔══██╗ ██╔██╗ ██║█████╗ ╚███╔╝ ███████╗███████║██║█████╗ ██║ ██║ ██║ ██║╚██╗██║██╔══╝ ██╔██╗ ╚════██║██╔══██║██║██╔══╝ ██║ ██║ ██║ ██║ ╚████║███████╗██╔╝ ██╗███████║██║ ██║██║███████╗███████╗██████╔╝ ╚═╝ ╚═══╝╚══════╝╚═╝ ╚═╝╚══════╝╚═╝ ╚═╝╚═╝╚══════╝╚══════╝╚═════╝ MISSION CONTROL v5.0 ``` [![Python](https://img.shields.io/badge/Python-3.9+-blue.svg?style=for-the-badge&logo=python&logoColor=white)](https://www.python.org/) [![Flask](https://img.shields.io/badge/Flask-Framework-000000.svg?style=for-the-badge&logo=flask&logoColor=white)](https://flask.palletsprojects.com/) [![MongoDB](https://img.shields.io/badge/MongoDB-Database-47A248.svg?style=for-the-badge&logo=mongodb&logoColor=white)](https://www.mongodb.com/) [![scikit-learn](https://img.shields.io/badge/scikit--learn-AI_Engine-F7931E.svg?style=for-the-badge&logo=scikit-learn&logoColor=white)](https://scikit-learn.org/) [![License](https://img.shields.io/badge/License-Proprietary-red.svg?style=for-the-badge)](LICENSE)

# 🛡️ NexShield v5 ### AI 驱动的威胁情报与 SOC 任务控制中心 NexShield v5 是一个专业级的网络安全平台，它填补了原始漏洞数据与可执行情报之间的空白。它将网络侦察转化为**“从情报到行动”**的任务工作流——扫描目标，通过 16 引擎 AI 管线分析结果，关联 Metasploit 中的漏洞利用程序，并生成适合管理层查看的渗透测试报告。 ## ✨ 核心功能 | 功能 | 描述 | |---------|-------------| | **任务控制 HUD** | 实时 SOC 仪表盘，带有动态拓扑图、严重性雷达和 7 天事件时间线 | | **16 引擎 AI 管线** | 自动化威胁检测，涵盖 CVE 关联、默认凭据、SSL/TLS 审计、横向移动、零日启发式分析等 | | **ML 威胁预测** | 基于您的扫描数据训练的集成模型（Random Forest + Gradient Boosting），用于预测威胁严重程度 | | **Metasploit 集成** | 自动漏洞利用模块映射，支持一键生成 RC 脚本以及通过 RPC 实时启动漏洞利用 | | **多种扫描类型** | Quick、Default、Deep、Stealth、OS Detect、Vuln Scripts、SSL/TLS、UDP 和 Full 端口扫描 | | **渗透测试报告** | 完整的情报报告，包含执行摘要、风险矩阵、修复路线图和拓扑可视化 | | **实时 WebSocket** | 通过 Socket.IO 实现实时扫描进度、分析状态和威胁通知 | | **CVE 情报** | 内置 CVE 查询功能，集成 NVD 并支持本地缓存 | | **主机隔离** | 对受损节点的零信任隔离，支持自动威胁修复 | | **导出与自动化** | CSV/JSON 导出、可下载的 Metasploit RC 脚本以及键盘快捷键 | ## 📋 前置条件在安装 NexShield 之前，请确保您的系统具备以下条件： | 依赖 | 用途 | 安装指南 | |-----------|---------|---------------| | **Python 3.9+** | 运行环境 | [python.org](https://www.python.org/downloads/) | | **MongoDB 6.0+** | 威胁与扫描数据存储 | [mongodb.com/docs](https://www.mongodb.com/docs/manual/installation/) | | **Nmap 7.80+** | 网络扫描引擎 | [nmap.org](https://nmap.org/download.html) | | **Metasploit** *(可选)* | 通过 RPC 执行漏洞利用 | [metasploit.com](https://www.metasploit.com/) | ## 🚀 快速开始 ### 简单方式（自动设置） **Windows：** 双击 `install.bat` 或在命令行中运行它： ``` install.bat ``` **Linux / macOS：** 赋予脚本执行权限并运行： ``` chmod +x install.sh ./install.sh ``` ### 手动方式 ``` # 1. Clone 仓库 git clone https://github.com/nextboxis/NexShield.git cd NexShield # 2. 创建虚拟环境（推荐） python -m venv .venv source .venv/bin/activate # Linux/macOS # .venv\Scripts\activate # Windows # 3. 安装 Python 依赖 pip install -r requirements.txt # 4. 启动 MongoDB（如果未作为服务运行） mongod --dbpath /data/db # 5. 启动 NexShield python app.py ``` 在浏览器中打开 **http://localhost:5000** 以访问任务控制中心。 ## ⚙️ 环境变量 | 变量 | 默认值 | 描述 | |----------|---------|-------------| | `MONGO_URI` | `mongodb://localhost:27017/` | MongoDB 连接字符串 | | `WS_TOKEN` | *(自动生成)* | WebSocket 身份验证 token。如果未设置，将在启动时生成一个安全的随机 token | 在运行 `app.py` 之前设置这些变量： ``` export MONGO_URI="mongodb://localhost:27017/" export WS_TOKEN="your-secret-token" # Optional ``` ## 🗂️ 项目结构 ``` nexshield-v5/ ├── app.py # Flask backend — API routes, WebSocket, background tasks ├── ai_logic.py # 16-engine AI analysis pipeline & ML model training ├── config.py # MongoDB connection management & configuration ├── msf_rpc.py # Metasploit RPC client for exploit execution ├── exploit_cli.py # CLI interface for exploit operations ├── requirements.txt # Python dependencies ├── README.md # This file ├── templates/ │ ├── index.html # Mission Control dashboard │ └── report.html # Pentest intelligence report └── static/ ├── css/ │ └── style.css # Complete UI design system └── js/ └── script.js # Dashboard logic, charts, real-time updates ``` ## 🧠 AI 分析引擎 NexShield 的分析管线针对扫描数据运行 **16 个独立的引擎**： | # | 引擎 | 检测范围 | |---|--------|----------------| | 1 | CVE 关联 | NVD 中的已知漏洞 | | 2 | 默认凭据 | 常见的用户名/密码对 | | 3 | SSL/TLS 审计 | 弱密码、过期证书 | | 4 | DNS 区域分析 | 区域传送、子域名枚举 | | 5 | SMB/NetBIOS | 共享暴露、空会话 | | 6 | SNMP Community | 默认团体字符串 | | 7 | Web 应用程序 | 目录遍历、头部分析 | | 8 | 数据库暴露 | 开放的数据库端口、身份验证绕过 | | 9 | 邮件基础设施 | 开放中继、SPF/DKIM 问题 | | 10 | IoT/SCADA | 工业协议暴露 | | 11 | 云元数据 | 云服务配置错误 | | 12 | 容器逃逸 | Docker/Kubernetes 暴露 | | 13 | 横向移动 | 跳板路径分析 | | 14 | 行为异常 | 端口/服务不匹配检测 | | 15 | 零日启发式 | 高熵标语、C2 信标 | | 16 | Metasploit 映射 | 自动漏洞利用模块关联 | ## 🗺️ 战略路线图 ### 🟢 阶段 1：基础设施 — *已完成* - [x] 实时 SOC 任务控制 HUD - [x] 多引擎漏洞关联（Nmap，CVE-DB） - [x] Canvas 渲染的拓扑图和严重性雷达 ### 🟡 阶段 2：武器化 — *已完成* - [x] 从情报到行动：自动映射 Metasploit 模块 - [x] 流畅的报告：SOC 级别的响应式报告引擎 - [x] RC 脚本生成与预览 ### 🟠 阶段 3：自动化 — *进行中* - [x] 直接启动：从 HUD 直接触发漏洞利用 - [x] 跳板引擎：可视化横向移动路径 - [ ] AI 引导的行动：自动化决策支持 - [ ] 计划扫描与持续监控 ## ⌨️ 键盘快捷键 | 按键 | 操作 | |-----|--------| | `S` | 聚焦扫描目标输入框 | | `A` | 运行 AI 分析管线 | | `T` | 训练 / 优化 AI 模型 | | `R` | 刷新所有仪表盘数据 | | `?` | 显示快捷键帮助面板 | | `Esc` | 关闭模态框 / 解除 | ## 🔒 道德声明

NexShield Core v5.0 — 任务准备就绪。

\n## 最新改进\n- 新增 API 端点：POST /api/analyze, POST /api/train, GET /api/threat/，用于按需分析、训练和单威胁获取。\n- 规范了 ai_logic.py 中的威胁哈希和严重性处理，以提高去重准确性。\n- 在 app.py 中导入了 MSF_MAPPINGS，并利用 exploit_module 丰富了威胁响应。\n

标签：AI安全分析, CISA项目, CTI, Flask, GPT, IP 地址批量处理, MITRE ATT&CK映射, MongoDB, OpenCanary, Python, scikit-learn, SOC自动化, 人工智能驱动, 多引擎分析, 威胁去重, 威胁情报, 安全态势感知, 开发者工具, 插件系统, 敏感服务识别, 无后门, 无线安全, 混合加密, 漏洞管理, 网络安全, 网络安全仪表板, 网络安全审计, 蓝队防御, 逆向工具, 防御绕过, 隐私保护