david0154/david-cyber-intelligence-system

# DAVID 网络情报系统 ## 🗺️ 目录 1. [DAVID 是什么？](#-what-is-david) 2. [核心架构](#-core-architecture) 3. [所有功能](#-all-features) - [攻击性安全](#-1-offensive-security-engine) - [恶意软件分析](#-2-malware-analysis-engine) - [网络 IDS](#-3-network-ids--live-attack-map) - [OSINT 调查](#-4-osint-investigation-engine) - [防御 / WAF](#-5-defense-engine--waf) - [威胁情报](#-6-threat-intelligence-engine) - [SOC / SIEM](#-7-soc--siem-layer) - [漏洞悬赏平台](#-8-bug-bounty-platform) - [应用漏洞分析器](#-9-app-bug-analyzer) - [实时网络攻击地图](#-10-live-cyber-attack-map) - [航班追踪](#-11-live-flight-tracking) - [船舶追踪](#-12-live-ship-tracking) - [卫星追踪](#-13-live-satellite-tracking) - [IP 地理定位](#-14-ip-geolocation) - [自动化与警报](#-15-automation--alerting) 4. [Web 仪表板](#-web-dashboard) 5. [所需 API 密钥](#-required-api-keys) 6. [完整 .env 模板](#-complete-env-template) 7. [项目目录](#-project-directories) 8. [路线图 / 状态](#-roadmap--status) 9. [REST API 端点](#-rest-api-endpoints) 10. [在无 LLM 环境下运行](#-running-without-llm) 11. [数据层](#-data-layer) 12. [快速开始](#-quick-start) 13. [作为普通软件安装](#-install-as-normal-software) 14. [AI 命令](#-ai-natural-language-commands) 15. [版本历史](#-version-history) 16. [贡献](#-contributing) 17. [法律免责声明](#️-legal-disclaimer) ## 🧠 DAVID 是什么？ DAVID（Defense & Attack Versatile Intelligence Daemon）是一个完整的 AI 驱动网络安全平台，可在您的桌面上运行 —— 支持 **Windows、macOS 或 Linux** —— 就像任何普通软件一样。它结合了： - 🔴 **攻击性工具** —— Nmap、SQLMap、Hydra、Metasploit、OWASP ZAP、OpenVAS、攻击模拟 - 🦠 **恶意软件分析** —— YARA、pefile、capstone、AI 行为分析 - 🌐 **网络监控** —— Scapy、Suricata IDS、异常检测、SOC 评分 - 🕵️ **OSINT** —— SpiderFoot、Shodan、theHarvester、CyNER AI - 🛡️ **防御** —— Open-AppSec ML WAF、Cloudflare 自动化、自动 IP 封锁 - 🧠 **AI 大脑** —— 本地 Mixtral LLM（离线运行，无 API 成本） - ✈️ **实时追踪** —— 航班、船舶、卫星、IP 地理定位、仪表板视图 - 🐛 **Bug 查找器** —— 分析任何 APK/EXE/PHP/Python/JS 的安全漏洞 - 🏆 **漏洞悬赏** —— 具有 CVSS 评分和奖励的完整平台 所有这些都可以通过一个具有暗黑赛博朋克界面的 **GUI 应用程序** 进行控制，此外还有一个由 FastAPI 提供支持的可供浏览器访问的仪表板。 ## 🏗️ 核心架构 ``` ┌─────────────────────────────────────────────────────────────────┐ │ LLM BRAIN (Mixtral-8x7B GGUF) │ │ via ctransformers ─ runs 100% OFFLINE │ │ Intent · Reasoning · Explanation · Task Routing │ └───────────────────────────┬─────────────────────────────────────┘ │ ┌────────────▼────────────┐ │ TASK ROUTER │ │ Routes input to module │ └────────────┬────────────┘ │ ┌──────────┬──────────┬─────┴────┬──────────┬──────────┬─────────┐ │ Offensive│ Malware │ Network │ OSINT │ Defense │Tracking │ │ Engine │ Engine │ IDS │ Engine │ WAF │ Engine │ │ Nmap │ YARA │ Scapy │SpiderFoot│Open-AppSc│Flights │ │ SQLMap │ pefile │Suricata │ Shodan │ Cloudflare│ Ships │ │ Hydra │capstone │ LSTM │theHarves │ Auto-IP │Satellite│ │ ZAP │ XGen-Q │ ML IDS │ CyNER │ Block │Cyber Map│ │ OpenVAS │ │ │ │ CAI │ │ └──────────┴──────────┴──────────┴──────────┴──────────┴─────────┘ │ ┌───────────────────┼───────────────────┐ │ │ │ ┌─────▼──────┐ ┌───────▼──────┐ ┌──────▼──────┐ │Threat Intel│ │ SOC / SIEM │ │ Bug Bounty │ │MISP+OpenCTI│ │Wazuh + ELK │ │ Platform │ │ Neo4j │ │ Real-time │ │ CVSS Scorer │ └────────────┘ └──────────────┘ └─────────────┘ │ PostgreSQL · Elasticsearch · Neo4j · SQLite ``` ## ✅ 所有功能 ### 🔴 1. 攻击性安全引擎 针对目标 IP 或 Web 应用运行渗透测试、漏洞扫描和攻击模拟。AI 会指导每一步，解释发现的问题，并生成修复建议。 | 功能 | 工具 | 作用 | |---------|------|--------------| | 端口与服务扫描 | **Nmap** `-sV -sC` | 服务检测与侦察工作流 | | 独立漏洞扫描器 | `engines/vulnerability_scanner.py` | Top-1000 端口扫描、操作系统检测、CVE 富化、原始 Nmap 输出、补丁链接 | | CVE 检测 | Nmap + vulners.nse | 自动将服务与已知 CVE 进行匹配 | | SQL 注入 | **SQLMap** | 测试参数是否存在 SQL 注入 | | 完整 Web 应用扫描 | **OWASP ZAP** API | 用于 XSS、CSRF、注入和错误配置的 DAST 扫描 | | 暴力破解 | **Hydra** | 测试 SSH、FTP 和 HTTP 登录流程 | | OpenVAS 扫描 | `security/openvas_client.py` | 通过 OpenVAS 启动经过身份验证的漏洞扫描 | | 攻击模拟 | `engines/attack_sim_engine.py` | 使用逐步升级的检查模拟 `basic`、`web` 或 `full` 攻击路径 | | 自动利用 | **Metasploit + DeepExploit** | 将发现的问题映射到利用选项 | | 渗透测试工作流 | PentestGPT logic + LLM | 侦察 → 扫描 → 利用 → 报告 | | 修复建议 | Mixtral LLM | 针对每个发现提供补丁建议 | **攻击模拟范围** - `basic` —— Nmap top-200 端口以及 CVE 匹配。 - `web` —— 添加 SQLMap 注入测试和 OWASP ZAP DAST。 - `full` —— 添加 Metasploit 模块发现以进行更深入的验证。 **流程：** ``` Target IP/URL → Recon → Vulnerability scan → CVE match → SQLMap/ZAP/OpenVAS → Attack simulation → DeepExploit → LLM explanation → Risk report ``` ### 🦠 2. 恶意软件分析引擎 上传任何文件并在不执行的情况下对其进行分析。DAVID 会寻找木马、勒索软件、间谍软件和后门。 | 功能 | 工具 | 作用 | |---------|------|--------------| | 签名扫描 | **YARA** (1000+ 条规则) | 匹配已知的恶意软件家族 | | 二进制解析 | **pefile** | PE 头、导入、导出、节、熵 | | 反汇编 | **capstone** | 可读的汇编输出 | | 字符串提取 | 自定义提取器 | 查找 URL、IP、注册表项和机密信息 | | 行为分析 | **XGen-Q** 模型 | 识别勒索软件、键盘记录器和僵尸网络模式 | | ASLR / DEP 检查 | pefile 标志 | 检查漏洞利用缓解措施 | | 风险评分 | 加权评分器 | 0–100 分：CLEAN / LOW / MEDIUM / HIGH / CRITICAL | | AI 解释 | Mixtral LLM | 简明英文的恶意软件摘要 | **支持：** `.exe` `.dll` `.bin` `.so` `.apk` `.py` `.js` `.php` `.docx` `.pdf` ### 🌐 3. 网络 IDS 与实时攻击地图 实时监控网络，检测可疑活动，并将检测结果与地图和防御工作流关联。 | 功能 | 工具 | 作用 | |---------|------|--------------| | 数据包捕获 | **Scapy** | 在选定接口上嗅探数据包 | | IDS 规则引擎 | **Suricata** | 基于规则的扫描、DDoS 和漏洞利用检测 | | 流量记录 | **Zeek** | 结构化的网络活动日志 | | 异常检测 | LSTM / ML IDS | 标记偏离学习模式的流量 | | 钓鱼检测 | RL / ML 模型 | 对可疑 URL 进行评分 | | 实时攻击地图 | `tracking/attack_map.py` | 用于攻击者 → 目标可视化的动画世界地图 | | 自动封锁 | 防御引擎 | 通过本地或 Cloudflare 控制封锁攻击者 IP | | AI 解释 | Mixtral LLM | 解释攻击类型和响应指导 | ### 🕵️ 4. OSINT 调查引擎 输入任何 IP、域名、电子邮件、电话号码或用户名以构建情报档案。 | 功能 | 工具 | 作用 | |---------|------|--------------| | 自动化侦察 | **SpiderFoot** | 自动查询广泛的 OSINT 来源 | | 电子邮件与子域名搜索 | **theHarvester** | 查找电子邮件、子域名和关联身份 | | 暴露的服务 | **Shodan API** | 枚举已索引的端口、Banner 和暴露面 | | AI 实体提取 | **CyNER** | 从文本中提取 IP、CVE、域名和哈希 | | WHOIS / DNS 历史 | SecurityTrails API | DNS 记录、历史 WHOIS、子域名 | | 数据泄露检查 | HaveIBeenPwned API | 检查在已知数据泄露中的暴露情况 | | 威胁关联 | Mixtral LLM | 将结果与活动或攻击者联系起来 | ### 🛡️ 5. 防御引擎与 WAF 通过本地控制、WAF 集成和 AI 辅助强化，实时保护服务器和 Web 应用程序。 | 功能 | 工具 | 作用 | |---------|------|--------------| | ML Web 防火墙 | **Open-AppSec** | 阻断 SQLi、XSS、RCE、路径遍历和 SSRF | | 自学习模式 | Open-AppSec | 学习正常流量并标记异常 | | IP 信誉封锁 | AbuseIPDB + 自定义逻辑 | 在已知恶意 IP 连接之前对其进行拦截 | | 速率限制 | 防御引擎 | 减缓暴力破解和 DDoS 攻击 | | 地理封锁 | GeoIP 引擎 | 按地区或国家封锁流量 | | 威胁数据库 | PostgreSQL | 存储被封锁的事件和上下文 | | 封锁警报 | Telegram/Email | 在攻击被阻止时发送警报 | | Cloudflare WAF 统计 | `security/cloudflare_client.py` | 拉取账户区域和 WAF 统计数据 | | Cloudflare IP 封锁 | `block_ip(zone_id, ip)` | 实时将防火墙封锁规则推送到 Cloudflare | | CAI 防御模式 | `security/cai_engine.py` | 运行端口审计、SSL 检查和 HTTP 安全头审计 | #### CAI 引擎 CAI 引擎是一个双模式网络安全 AI pipeline。 - `mode="offensive"` 运行侦察、CVE 检查、Web 检查和 LLM 分析。 - `mode="defensive"` 执行端口审计、SSL 证书检查、HTTP 安全头检查以及 AI 生成的强化建议。 - 防御审计检查诸如 `Strict-Transport-Security`、`X-Frame-Options`、`X-Content-Type-Options` 和 `Content-Security-Policy` 等请求头。 ### 🧠 6. 威胁情报引擎 将各个模块的发现结果与全球威胁数据库进行交叉比对。 | 功能 | 工具 | 作用 | |---------|------|--------------| | IOC 管理 | **MISP** | 存储 IP、哈希、域名和事件 | | 攻击图 | **OpenCTI** | 可视化威胁攻击者 → TTP → IOC 关系 | | IOC 查询 | MISP API | 检查某个发现是否已被知晓 | | 图数据库 | **Neo4j** | 存储关系和攻击链 | | 跨模块关联 | 所有引擎 | 链接网络、OSINT、情报和防御发现 | | OTX 订阅源 | AlienVault OTX | 拉取社区威胁脉冲 | ### 📊 7. SOC / SIEM 层 一个用于日志审查、评分、警报和自动化响应的桌面 SOC 工作流。 | 功能 | 工具 | 作用 | |---------|------|--------------| | 日志收集 | **Wazuh** 代理 | 收集操作系统、应用程序和安全日志 | | 日志索引 | **Elasticsearch** | 快速搜索海量日志数据 | | 异常检测 | ML + 启发式算法 | 查找异常的登录、文件和网络行为 | | 实时警报 | FastAPI WebSocket | 将实时警报推送到 GUI 和仪表板客户端 | | 自动 IP 封锁 | 本地 / 远程控制 | 在超过阈值时封锁攻击者 IP | | 攻击模式库 | SOC 引擎正则表达式规则 | 检测暴力破解、SQLi、XSS、路径遍历、端口扫描、DDoS、恶意软件和权限升级 | | IP 评分 | `_score_ips` 逻辑 | 对可疑 IP 进行评分，并升级或封锁高风险地址 | | 日志文件丢弃分析 | `analyze_log_file(path)` | 解析任意日志文件，如 auth、web 或 service 日志 | | 仪表板数据 | `get_dashboard_data()` | 返回会话的聚合威胁统计信息 | ### 🏆 8. 漏洞悬赏平台 DAVID 内置了漏洞披露和奖励。 | 功能 | 作用 | |---------|--------------| | 漏洞提交 | 研究人员通过 GUI 表单或 REST API (`POST /bounty/submit`) 提交 | | AI 验证 | LLM 阅读报告并评估可利用性 | | CVSS v3.1 自动评分 | 自动计算严重程度 | | 重复检测 | 拒绝相同的提交 | | PoC 上传 | 附上截图、视频或漏洞利用代码 | | 自动评级 | CRITICAL / HIGH / MEDIUM / LOW / INFORMATIONAL | | 管理面板 | 批准、拒绝或请求更多信息 | | 奖励追踪器 | 追踪支出和研究人员排名 | | REST API | 独立的 API 文档位于 `http://localhost:8001/docs` | ### 🐛 9. 应用漏洞分析器 将任何应用程序文件或源代码文件夹拖放到 DAVID 中，以查找安全问题及建议的修复方案。 | 输入 | 分析内容 | |-------|--------------------| | `.apk` | AndroidManifest.xml、Java/Kotlin 代码、资源 | | `.exe` / `.dll` | PE 头、缓解措施、字符串、YARA 命中 | | `.php` | SQLi、RFI、`eval`、`shell_exec`、重定向、弱哈希 | | `.py` | 硬编码机密、`debug=True`、`eval`、pickle 滥用 | | `.js` / `.ts` | XSS 注入点、token 存储、`eval`、不安全的 URL | | `.java` / `.kt` | SQL 拼接、`ProcessBuilder`、弱随机数、调试标志 | | URL | 安全头、Cookie 标志、混合内容、错误泄露 | | 文件夹 / ZIP | 跨项目文件的递归扫描 | **每份 Bug 报告提供：** - 严重程度：CRITICAL / HIGH / MEDIUM / LOW / INFO - 文件名和具体行号 - 触发代码片段 - 修复建议 - CVSS 预估 - 导出为 HTML 或 JSON 报告 ``` python engines/bug_analyzer.py app-release.apk python engines/bug_analyzer.py https://yoursite.com python engines/bug_analyzer.py C:\projects\myapp\ ``` ### 🌍 10. 实时网络攻击地图 实时攻击地图是专门用于实时可视化敌对活动的追踪模块。 | 功能 | 工作原理 | |---------|--------------| | 实时攻击订阅源 | 使用信誉和威胁情报源（如 AbuseIPDB 和 OTX） | | 世界地图画布 | 渲染 Tkinter/PIL 世界地图小部件 | | 动画箭头 | 绘制攻击源 → 目标的移动轨迹 | | 攻击标签 | 显示攻击类型，如 DDoS、SQLi、暴力破解或恶意软件 | | 本地警报 | 当受监控的资产受到攻击时弹出提示 | | 攻击计数器 | 追踪每秒或每小时的攻击量 | | 按类型过滤 | 过滤显示的事件类别 | | 热力图模式 | 根据观察到的活动量为区域着色 | ### ✈️ 11. 实时航班追踪 使用外部航班数据源实时追踪飞机。 | 功能 | 详情 | |---------|---------| | 数据源 | OpenSky Network API | | 搜索 | 呼号、ICAO24、航空公司、国家或区域 | | 实时数据 | 位置、高度、速度、航向、应答机代码 | | 航班路线 | 最近的飞行路线渲染 | | 自动刷新 | 定期更新 | | 警报模式 | 当航班进入关注区域时发出警报 | ``` flight_tracker.track(callsign="AIC101") ``` ### 🚢 12. 实时船舶追踪 使用 AIS 支持的数据源追踪全球船舶。 | 功能 | 详情 | |---------|---------| | 数据源 | MarineTraffic API 和公共 AIS 订阅源 | | 搜索 | 船名、MMSI、IMO 编号、船旗国 | | 实时数据 | 位置、速度、航向、目的地、预计到达时间 | | 船舶类型 | 货船、油轮、客轮、渔船、海军舰艇 | | 港口到港 | 追踪到港和离港情况 | | 航线历史 | 最近的航线历史记录 | ``` ship_tracker.track(mmsi="235009998") ``` ### 🛰️ 13. 实时卫星追踪 使用 TLE 和轨道传播数据追踪卫星和空间站。 | 功能 | 详情 | |---------|---------| | 数据源 | CelesTrak TLE 数据和 N2YO API | | 轨道传播 | Skyfield 轨道计算 | | 搜索 | 卫星名称、NORAD ID 或类别 | | 类别 | ISS、气象、GPS、间谍卫星、Starlink、业余无线电 | | 实时位置 | 纬度、经度、高度、速度 | | 轨道路径 | 地面轨迹渲染 | | 下一次过境 | 计算您所在位置的下一个可见过境 | ``` satellite_tracker.track(norad_id=25544) ``` ### 📍 14. IP 地理定位 将任何 IP 地址映射到位置和网络元数据。 | 功能 | 详情 | |---------|---------| | 数据源 | ip-api.com | | 返回 | 国家、城市、ISP、ASN、时区、纬度/经度 | | 威胁检查 | 与 AbuseIPDB 和 OTX 交叉比对 | | 地图图钉 | 在地图上显示 IP | | 批量查询 | 处理多个 IP | | 反向 DNS | 包括主机名查找 | ### ⚙️ 15. 自动化与警报 DAVID 可以调度任务、生成通知并自动化多模块工作流。 | 功能 | 作用 | |---------|--------------| | 定时任务 | 按计划运行任何受支持的模块 | | 通用调度器 | `ScanScheduler.add_job()` 接受除 vuln/pentest 之外的更多任务，包括由任务路由器路由的 `osint`、`malware`、`geo` 等 | | Telegram 警报 | 在发生 CRITICAL/HIGH 事件时发送即时消息 | | 电子邮件警报 | 带有威胁报告附件的 SMTP 邮件 | | 自动 IP 封锁 | 自动封锁攻击 IP | | 自动补丁报告 | 在扫描后生成修复指导 | | 关注列表警报 | 对受关注的 IP、域名或指标发出警报 | ## 🌐 Web 仪表板 由 FastAPI 后端直接提供的基于浏览器的仪表板。 - 默认 URL：`http://localhost:8000/` - 静态资产：`/static` - OpenAPI 文档：`http://localhost:8000/docs` - 健康检查端点：`http://localhost:8000/health` 如果 `dashboard/index.html` 存在，API 根目录会自动提供该页面。 ## 🔑 所需 API 密钥 所有密钥均保存在您的 `.env` 文件中。大多数集成可以运行在免费或自托管的服务上。 ### 🟢 免费 / 自托管核心 | 服务 | 用途 | `.env` 键 | |---------|----------|------------| | Shodan | 暴露的服务和互联网侦察 | `SHODAN_API_KEY` | | OWASP ZAP | Web 应用程序扫描 | `ZAP_URL`、`ZAP_API_KEY` | | OpenVAS | 漏洞扫描 | `OPENVAS_URL`、`OPENVAS_USER`、`OPENVAS_PASS` | | MISP | 威胁情报 IOC 管理 | `MISP_URL`、`MISP_KEY` | | OpenCTI | 威胁图表化 | `OPENCTI_URL`、`OPENCTI_KEY` | | Wazuh | SIEM / 警报收集 | `WAZUH_URL`、`WAZUH_USER`、`WAZUH_PASS` | | Telegram 机器人 | 警报通知 | `TELEGRAM_BOT_TOKEN`、`TELEGRAM_CHAT_ID` | | OpenSky Network | 航班追踪 | `OPENSKY_USER`、`OPENSKY_PASS` | ### 🟡 免费增值 | 服务 | 用途 | `.env` 键 | |---------|----------|------------| | VirusTotal | 文件和 IOC 富化 | `VIRUSTOTAL_API_KEY` | | AbuseIPDB | IP 信誉检查 | `ABUSEIPDB_API_KEY` | | AlienVault OTX | 威胁脉冲 | `OTX_API_KEY` | | HaveIBeenPwned | 数据泄露查询 | `HIBP_API_KEY` | | SecurityTrails | DNS 和 WHOIS 历史 | `SECURITYTRAILS_KEY` | | N2YO | 卫星数据 | `N2YO_API_KEY` | | MarineTraffic | 船舶追踪 | `MARINETRAFFIC_KEY` | | Cloudflare | WAF 统计和自动化 IP 封锁 | `CLOUDFLARE_API_TOKEN`、`CLOUDFLARE_EMAIL` | ### 🔴 可选 | 服务 | 用途 | `.env` 键 | |---------|----------|------------| | OpenAI | 替代的托管 LLM 路径 | `OPENAI_API_KEY` | | SMTP | 电子邮件警报 | `SMTP_HOST`、`SMTP_PORT`、`SMTP_USER`、`SMTP_PASS`、`ALERT_EMAIL` | ## 📋 完整 `.env` 模板 将 `.env.example` 复制到 `.env` 并填入您的值： ``` # ── AI / LLM ───────────────────────────────────────── LLM_MODEL_PATH=models/mixtral.gguf LLM_MODEL_TYPE=mistral # ── 攻击工具 ────────────────────────────────── ZAP_URL=http://localhost:8080 ZAP_API_KEY=your_zap_api_key OPENVAS_URL=https://localhost:9392 OPENVAS_USER=admin OPENVAS_PASS=your_openvas_password # ── SIEM / SOC ─────────────────────────────────────── WAZUH_URL=https://localhost:55000 WAZUH_USER=wazuh WAZUH_PASS=your_wazuh_password # ── 威胁情报 ────────────────────────────────────── SHODAN_API_KEY=your_shodan_key VIRUSTOTAL_API_KEY=your_virustotal_key ABUSEIPDB_API_KEY=your_abuseipdb_key OTX_API_KEY=your_otx_key SECURITYTRAILS_KEY=your_securitytrails_key HIBP_API_KEY=your_hibp_key MISP_URL=https://your-misp-instance MISP_KEY=your_misp_auth_key OPENCTI_URL=http://localhost:8080 OPENCTI_KEY=your_opencti_key # ── 实时跟踪 ──────────────────────────────────── OPENSKY_USER=your_opensky_username OPENSKY_PASS=your_opensky_password N2YO_API_KEY=your_n2yo_key MARINETRAFFIC_KEY=your_marinetraffic_key # ── 警报 ─────────────────────────────────── TELEGRAM_BOT_TOKEN=your_telegram_bot_token TELEGRAM_CHAT_ID=your_telegram_chat_id SMTP_HOST=smtp.gmail.com SMTP_PORT=587 SMTP_USER=you@gmail.com SMTP_PASS=your_app_password ALERT_EMAIL=alerts@yourdomain.com # ── 可选 / 防御集成 ────────────────────────────────── CLOUDFLARE_API_TOKEN=your_cloudflare_token CLOUDFLARE_EMAIL=you@example.com OPENAI_API_KEY=your_openai_key # ── 数据库 ──────────────────────────────────────── POSTGRES_URL=postgresql://user:pass@localhost/david_db ELASTICSEARCH_URL=http://localhost:9200 NEO4J_URL=bolt://localhost:7687 NEO4J_USER=neo4j NEO4J_PASS=your_neo4j_password ``` ## 📁 项目目录 | 路径 | 用途 | |------|---------| | `models/` | DAVID 使用的本地 LLM 和 ML 模型文件。将 `mixtral.gguf` 放在这里，并将额外的模型权重保留在此目录中。 | | `config/` | 模块、路由、扫描和集成设置的配置文件。 | | `data/` | 缓存结果、本地数据集、扫描输出和生成的情报工件。 | | `dashboard/` | 由 FastAPI 提供服务的浏览器仪表板前端。 | | `engines/` | 攻击、防御、扫描和分析引擎。 | | `security/` | 特定于安全的客户端和 pipeline，如 OpenVAS、Cloudflare 和 CAI。 | | `tracking/` | 航班、船舶、卫星、地理和网络攻击追踪模块。 | | `automation/` | 调度器和警报自动化实用程序。 | ### 模型 - `models/mixtral.gguf` 是默认的离线 LLM 路径。 - 在首次运行前，请确保有足够的磁盘空间用于 GGUF 和其他模型工件。 - 大型模型不应提交到 Git；请在本地下载到 `models/` 中。 ## 🧭 路线图 / 状态 一些模块已完全接入任务路由器和 API，而另一些模块仍然较轻量或正在演进中。请将以下列表视为当前的实现状态指南。 | 领域 | 状态 | 备注 | |------|--------|-------| | Core API / 路由器 | 可用 | FastAPI v2.0.0 后端和仪表板服务已实现。 | | 漏洞扫描 | 可用 | 除 pentest 模式外，还存在独立的 `vuln_scan` 风格工作流。 | | 攻击模拟 | 可用 | 基于范围的模拟路径已实现。 | | CAI 防御审计 | 可用 | 包括 SSL 和安全头检查。 | | Cloudflare 自动化 | 可用 | 统计检索和 IP 封锁操作已存在。 | | 实时网络攻击地图 | 已文档化 / 实现目标 | 专用模块路径为 `tracking/attack_map.py`；请在您的本地构建中验证 GUI 标签页接线。 | | 网络 IDS 高级 ML | 开发中 | 深度 IDS 集成可能仍处于骨架阶段，具体取决于本地设置。 | | OSINT 巨量来源覆盖 | 开发中 | 外部来源广度取决于已安装的工具和 API 密钥。 | | 渗透测试 / 漏洞利用自动化 | 开发中 | 一些漏洞利用集成可能需要额外的服务或仍处于部分完成状态。 | | 航班 / 船舶追踪丰富度 | 开发中 | 高级追踪行为取决于提供商凭据和本地 UI 接线。 | ## 🔌 REST API 端点 后端 FastAPI 应用将其标识为 **version 2.0.0**，并公开了以下已文档化的路由。 | 端点 | 方法 | 用途 | |----------|--------|---------| | `/` | GET | 在 `dashboard/index.html` 存在时提供该页面 | | `/health` | GET | 返回状态、版本、开发人员和已加载的模块 | | `/analyze` | POST | 任何受支持模块的通用任务路由器端点 | | `/score` | GET | 返回统一的威胁评分报告 | | `/score/update` | POST | 更新模块评分并返回汇总报告 | | `/api/wazuh/alerts` | GET | 获取 Wazuh 警报 | | `/api/zap/scan` | POST | 运行 OWASP ZAP 扫描 | | `/api/openvas/scan` | POST | 运行 OpenVAS 扫描 | | `/api/hydra/test` | POST | 运行 Hydra 凭据测试 | | `/api/cloudflare/stats` | GET | 返回 Cloudflare 区域/WAF 统计数据 | | `/api/deexploit` | POST | 运行 DeepExploit 工作流 | | `/api/osint` | POST | 运行 OSINT 调查 | | `/api/pentest` | POST | 运行渗透测试工作流 | | `/api/malware` | POST | 运行恶意软件分析 | | `/api/geo` | POST | 运行 IP 地理定位 | | `/api/chat` | POST | 向 AI 聊天路由发送查询 | | `/ws/alerts` | WS | 实时警报 WebSocket 流 | ### 模块路由示例 ``` {"module":"vuln_scan","params":{"target":"192.168.1.10"}} {"module":"attack_sim","params":{"target":"https://example.com","scope":"web"}} {"module":"osint","params":{"target":"example.com"}} ``` ## 📴 在无 LLM 环境下运行 当 Mixtral GGUF 模型不存在时，DAVID 支持离线回退模式。 - 如果 `models/mixtral.gguf` 缺失，LLM 层可以返回存根/离线响应，而不是导致平台崩溃。 - 这允许您在下载完整模型之前测试路由器、扫描器、仪表板视图和 API 端点。 - Mixtral GGUF 的推荐下载来源：[TheBloke/Mixtral-8x7B-Instruct-v0.1-GGUF](https://huggingface.co/TheBloke/Mixtral-8x7B-Instruct-v0.1-GGUF) ## 🗄️ 数据层 | 数据库 | 用途 | |----------|---------| | PostgreSQL | 威胁数据、Bug 报告、用户、奖励 | | Elasticsearch | 日志索引和 SIEM 搜索 | | Neo4j | 威胁图和 IOC 关系 | | SQLite | 本地缓存和离线数据 | | JSON 文件 | 快速的本地模块输出和配置存储 | ## 🧠 统一威胁评分 ``` Threat Score = Malware Score + Network Score + OSINT Score + Threat Intel Match + Active Exploit Score 0 – 24 → LOW (green) Safe 25 – 49 → MEDIUM (yellow) Monitor 50 – 74 → HIGH (orange) Investigate 75 – 100 → CRITICAL (red) Respond Now ``` ## 🚀 快速开始 ``` git clone https://github.com/david0154/david-cyber-intelligence-system cd david-cyber-intelligence-system pip install -r requirements.txt cp .env.example .env python launcher.py # 或: python gui_app.py # 或: python main.py # 或: uvicorn core.api:app --reload --port 8000 # 或: uvicorn bounty.api:app --reload --port 8001 ``` ### 仪表板访问 - 主仪表板：`http://localhost:8000/` - API 文档：`http://localhost:8000/docs` - 漏洞悬赏 API 文档：`http://localhost:8001/docs` ## 💿 作为普通软件安装 ### Windows ``` install.bat ``` ### Linux / macOS ``` bash install.sh ``` ### 构建独立安装程序 ``` python build_exe.py ``` 在生成发布工件的地方，安装程序名称和包版本应更新为 `2.0.0`。 ## 🤖 AI 自然语言命令 在 AI 聊天面板中输入这些命令： ``` "Scan server 192.168.1.1" "Run vuln scan on 192.168.1.1" "Simulate attack on https://mysite.com with scope web" "Analyze malware.exe" "Analyze app-release.apk" "Show live cyber attacks" "Track flight AIC101" "Track ship MMSI 235009998" "Track ISS satellite" "Check IP 1.2.3.4" "Is admin@domain.com breached?" "Scan PHP project for bugs" "Analyze auth.log" "Show live attack alerts" "Block IP 5.6.7.8" "Generate pentest report" ``` ## 🔄 完整执行流程 ``` User Input (IP / File / URL / Log / Text / Voice command) ↓ LLM Brain (Mixtral GGUF — understands intent offline) ↓ Task Router (selects correct engine + tool) ↓ Engine runs (tool + AI model in background thread) ↓ Threat Intel (MISP / OTX / AbuseIPDB cross-check) ↓ LLM merges (combines all results into one answer) ↓ Output: ✅ Threat Score 0–100 ✅ Attack type + plain English explanation ✅ Fix / patch recommendation ✅ IOC saved to database ✅ Alert sent to Telegram / Email ✅ PDF/HTML report generated ``` ## 📝 版本历史 - `v2.0.0` —— 在 `core/api.py` 中声明的 FastAPI 后端版本，扩展的 API 接口，仪表板服务，Cloudflare/OpenVAS 端点，以及已文档化的 CAI / 模拟 / 扫描器工作流。 - `v1.0.0` —— 初始公开 README/版本品牌。 建议在未来带有标签的发布中使用专用的 `CHANGELOG.md`。 ## 🤝 贡献 本仓库尚未附带专用的 `CONTRIBUTING.md`，但外部贡献者应遵循以下基本规则： - 在进行大型功能开发之前先提交 Issue。 - 按引擎/领域保持模块隔离。 - 为每个新功能添加或更新 README/API 文档。 - 避免提交机密、API 密钥或大型模型权重。 - 对任何更改的功能测试 GUI、API 和 CLI 入口点。 ## ⚠️ 法律免责声明 ## 👨‍💻 开发者 **David** 全栈安全工程师 Nexuzy Tech Pvt Ltd | Devil Pvt Ltd 印度西孟加拉邦加尔各答 🌐 [hypechats.com](https://hypechats.com) 📧 david@nexuzytech.com 🐙 [github.com/david0154](https://github.com/david0154)

标签：AppImage, Bug Bounty, CISA项目, DAST, DNS 反向解析, ESC4, GEOINT, GitHub, Go语言工具, HTTP工具, IP 地址批量处理, Metaprompt, OSINT, Python, TCP/IP协议栈, WAF, Web应用防火墙, 人工智能, 信息收集自动化, 卫星追踪, 可自定义解析器, 地理空间情报, 威胁情报, 子域名变形, 安全信息和事件管理, 安全运营中心, 实时处理, 密码管理, 开发者工具, 恶意软件分析, 插件系统, 无后门, 无线安全, 测试用例, 用户模式Hook绕过, 白盒测试, 网络入侵检测系统, 网络安全, 网络安全审计, 网络安全平台, 网络攻击态势感知, 网络映射, 航班追踪, 船舶追踪, 赛博空间, 逆向工具, 防御绕过, 隐私保护, 高级持续威胁防御, 黑盒测试