jayasriduraipandi/CyberForensics-AI

GitHub: jayasriduraipandi/CyberForensics-AI

基于 Claude AI 驱动的全栈智能取证分析平台，能够自动解析多种安全工件并生成结构化威胁报告。

Stars: 0 | Forks: 0

# 🔬 CyberForensics AI — 智能威胁分析平台

![Python](https://img.shields.io/badge/Python-3.10+-3776AB?style=for-the-badge&logo=python&logoColor=white) ![FastAPI](https://img.shields.io/badge/FastAPI-0.111-009688?style=for-the-badge&logo=fastapi&logoColor=white) ![Node.js](https://img.shields.io/badge/Node.js-18+-339933?style=for-the-badge&logo=node.js&logoColor=white) ![Express](https://img.shields.io/badge/Express-4.19-000000?style=for-the-badge&logo=express&logoColor=white) ![Claude AI](https://img.shields.io/badge/Claude-Sonnet_4-CC785C?style=for-the-badge&logo=anthropic&logoColor=white) ![License](https://img.shields.io/badge/License-MIT-00DCA0?style=for-the-badge) **由 Python FastAPI、Node.js Express 和 Anthropic Claude 驱动的 AI 网络安全取证分析平台。** 分析日志、恶意软件、网络流量和事件 —— 提取 IOC，映射 MITRE ATT&CK 技术，并在几秒钟内生成结构化取证报告。 [功能特性](#-features) · [架构设计](#-architecture) · [快速开始](#-quick-start) · [API 参考](#-api-reference) · [界面截图](#-screenshots)

## 🧠 它能做什么 CyberForensics AI 是一个全栈威胁情报和数字取证平台。您提交原始工件 —— 服务器日志、文件哈希、网络捕获、恶意软件行为、网络钓鱼邮件或事件描述 —— 平台将返回由 Claude AI 生成的完整、结构化取证报告。每次分析都会自动： - 使用模式识别提取 **威胁指标 (IOC)** - 将发现映射到 **MITRE ATT&CK** 技术和战术 - 根据严重程度、IOC 数量和技术覆盖范围分配 **动态风险评分** (0–100) - 从现有证据中重建 **攻击时间线** - 生成按风险优先级排序的 **修复步骤** ## ✨ 功能特性 ### 🔍 AI 取证分析引擎 - 由 **Claude Sonnet** 驱动 —— 每次生成结构化 JSON 取证报告 - 六种分析模式：`log`、`hash`、`network`、`malware`、`incident`、`phishing` - 自动检测模式可自动识别工件类型 - 包含执行摘要、发现详情、攻击叙述、威胁行为者评估 ### 🧩 IOC 提取 (10+ 种类型) | 类型 | 示例 | |------|----------| | `ip_external` | 公网/可路由 IP 地址 | | `ip_internal` | 私有网络地址 | | `domain` | 可疑和通用域名 | | `hash_md5` / `hash_sha1` / `hash_sha256` | 文件完整性哈希 | | `filepath` | Windows 可执行文件路径 | | `registry` | HKLM/HKCU 注册表键 | | `mutex` | 命名互斥体 / 同步对象 | | `email` | 邮件头/正文中的电子邮件地址 | | `url` | 带有可疑参数的完整 URL | | `c2_port` | 已知 C2/RAT 端口 (4444, 1337, 31337…) | ### 🎯 MITRE ATT&CK 映射 (18 项技术) 自动检测并映射到所有 ATT&CK 战术中的技术： | 战术 | 涵盖技术 | |--------|-------------------| | Initial Access | T1566 Phishing, T1195 Supply Chain | | Execution | — | | Persistence | T1547 Autostart, T1505.003 Web Shell | | Privilege Escalation | T1548 Elevation Abuse | | Defense Evasion | T1055 Process Injection, T1027 Obfuscation | | Credential Access | T1003 Credential Dumping, T1110 Brute Force | | Discovery | T1087 Account Discovery | | Lateral Movement | T1550 Alternate Auth | | Collection | T1056.001 Keylogging, T1113 Screen Capture | | Command & Control | T1071 App Layer Protocol, T1568.002 DGA, T1090 Proxy | | Exfiltration | T1041 Exfil over C2 | | Impact | T1486 Data Encrypted (Ransomware) | ### 📊 动态风险评分风险评分 (0–100) 计算依据： - 基础严重程度 (CRITICAL=80, HIGH=60, MEDIUM=40, LOW=20) - 高置信度 IOC 数量加成 (最高 +15) - MITRE 技术数量加成 (最高 +10) - 关键战术技术加成 (最高 +10) ### 🖥️ 全栈 Web 平台 - 深色终端美学 UI，带实时威胁计 - 三面板布局：分析聊天 / IOC 侧边栏 / MITRE + 时间线 - **分析选项卡** — 带有严重程度徽章的交互式 AI 取证聊天 - **报告选项卡** — 带有指标仪表板的会话报告历史 - **IOC 数据库选项卡** — 按类型分组的所有提取的 IOC - 5 个预加载的样本工件，用于即时测试 - 实时后端健康指示器 ### 🛡️ 生产就绪的 Express 层 - 速率限制 (每分钟 20 个分析请求) - 通过 Helmet.js 设置安全标头 - 带有毫秒级计时的 Morgan 请求日志 - 优雅的错误处理，提供用户友好的消息 - `/proxy/health` 和 `/proxy/log` 监控端点 ## 🏗️ 架构 ``` Browser (http://localhost:3000) │ ▼ ┌─────────────────────┐ │ Express Server │ → Serves frontend static files │ Node.js :3000 │ → Rate limiting (express-rate-limit) │ │ → Security headers (helmet) │ │ → Request logging (morgan) └──────────┬──────────┘ │ /api/* proxy ▼ ┌─────────────────────┐ │ FastAPI Backend │ → AI Analysis Engine (Claude Sonnet) │ Python :8000 │ → IOC Extraction (regex engine) │ │ → MITRE ATT&CK Mapper │ │ → Risk Score Calculator │ │ → Report Store (in-memory) └──────────┬──────────┘ │ HTTPS API calls ▼ ┌─────────────────────┐ │ Anthropic Claude │ → claude-sonnet-4-20250514 │ (External API) │ → Structured JSON forensic reports └─────────────────────┘ ``` ### 项目结构 ``` cyberforensics/ ├── backend/ │ ├── main.py # FastAPI app — all endpoints + AI engine │ └── requirements.txt # Python dependencies ├── proxy/ │ ├── server.js # Express proxy + static server │ └── package.json # Node.js dependencies ├── frontend/ │ └── index.html # Complete single-file UI └── docs/ └── SETUP.md # Full setup and execution guide ``` ## 🚀 快速开始 ### 前置条件 - Python 3.10+ - Node.js 18+ - Anthropic API key → [console.anthropic.com](https://console.anthropic.com) ### 1. 克隆仓库 ``` git clone https://github.com/your-username/cyberforensics-ai.git cd cyberforensics-ai ``` ### 2. 设置您的 API Key ``` # Linux / macOS export ANTHROPIC_API_KEY="sk-ant-your-key-here" # Windows PowerShell $env:ANTHROPIC_API_KEY="sk-ant-your-key-here" ``` ### 3. 启动 FastAPI 后端 ``` cd backend pip install -r requirements.txt python main.py # ✅ 运行于 http://localhost:8000 # 📖 Swagger 文档位于 http://localhost:8000/docs ``` ### 4. 启动 Express 代理 ``` cd proxy npm install npm start # ✅ 应用上线于 http://localhost:3000 ``` ### 5. 打开应用导航至 **[http://localhost:3000](http://localhost:3000)** 并开始分析。 ## 📡 API 参考 ### `POST /analyze` 主要取证分析端点。 ``` curl -X POST http://localhost:8000/analyze \ -H "Content-Type: application/json" \ -d '{ "artifact": "185.234.219.14:4444 reverse shell — svchost32.exe injecting lsass.exe, deleted shadow copies", "analysis_type": "malware", "include_mitre": true, "include_timeline": true }' ``` **响应：** ``` { "report_id": "a3f5d8e9c2b1", "timestamp": "2024-06-17T10:42:33Z", "severity": "CRITICAL", "risk_score": 95, "executive_summary": "...", "findings": ["...", "..."], "iocs": [ { "type": "ip_external", "value": "185.234.219.14", "confidence": "high", "context": "External/public IP" }, { "type": "c2_port", "value": "4444", "confidence": "high", "context": "Common C2/RAT port" } ], "mitre_techniques": [ { "technique_id": "T1055", "technique_name": "Process Injection", "tactic": "Defense Evasion", "confidence": "high" }, { "technique_id": "T1003", "technique_name": "OS Credential Dumping", "tactic": "Credential Access", "confidence": "high" } ], "timeline": [{ "time": "10:42:33", "event": "Reverse shell established", "detail": "..." }], "threat_actor_assessment": "...", "remediation_steps": ["...", "..."], "raw_ai_analysis": "..." } ``` ### 其他端点 | 方法 | 端点 | 描述 | |--------|----------|-------------| | `GET` | `/health` | 健康检查 + AI 就绪状态 | | `GET` | `/reports` | 列出所有会话报告 | | `GET` | `/reports/{id}` | 通过 ID 获取报告 | | `GET` | `/iocs/extract?text=` | 从原始文本提取 IOC | | `GET` | `/mitre/map?text=` | 将文本映射 → MITRE 技术 | | `GET` | `/stats` | 严重程度细分 + 平均风险 | 完整的交互式文档可在 **`http://localhost:8000/docs`** (Swagger UI) 获取。 ## 🔧 配置 | 变量 | 默认值 | 描述 | |----------|---------|-------------| | `ANTHROPIC_API_KEY` | *(必填)* | 您的 Anthropic API key | | `PORT` | `3000` | Express 服务器端口 | | `BACKEND_URL` | `http://localhost:8000` | FastAPI 后端 URL | ## 🧪 样本工件 UI 包含 5 个预加载的测试工件 —— 点击欢迎屏幕上的任意芯片： | 样本 | 测试内容 | |--------|---------------| | **Apache Log Attack** | Webshell 上传 → RCE → 挖矿程序投放 | | **Malware Hashes** | 带有编码 PowerShell + C2 回连的 PE 文件 | | **C2 Traffic** | TOR 出口节点，DGA 域名，信标模式 | | **Ransomware** | 进程注入，凭据转储，文件加密 | | **Phishing Email** | SPF/DKIM/DMARC 失败，伪造发件人，恶意 .exe 附件 | ## 🔒 安全说明 - **API keys** 永远不会暴露给浏览器 —— 所有 Anthropic 调用都通过 FastAPI 后端进行 - 速率限制可防止滥用 (通过 Express 限制每个 IP 每分钟 20 个请求) - 在生产环境中：将 FastAPI CORS 设置中的 `allow_origins` 限制为您的域名 - 内存中的报告存储在服务器重启时会重置 —— 连接数据库 (PostgreSQL, MongoDB) 以实现持久化 - 在公开部署前考虑添加身份验证 (JWT / API keys) ## 🛣️ 路线图 - [ ] 用于报告和 IOC 的 PostgreSQL 持久化 - [ ] 集成 VirusTotal / Shodan API 进行 IOC 丰富 - [ ] STIX/TAXII 威胁情报源摄取 - [ ] PDF 报告导出 - [ ] JWT 身份验证 - [ ] WebSocket 流式传输实时分析进度 - [ ] Docker Compose 部署 - [ ] Elasticsearch 集成用于大规模 IOC 搜索 ## 📄 许可证 MIT License — 详情见 [LICENSE](LICENSE)。

使用 FastAPI · Express · Anthropic Claude 用 ❤️ 构建

标签：AV绕过, Claude AI, Cloudflare, CTF工具, DAST, DLL 劫持, DNS 反向解析, FastAPI, GNU通用公共许可证, Go语言工具, HTTP工具, IOC提取, IP 地址批量处理, MITM代理, MITRE ATT&CK, Node.js, PE 加载器, Python, 人工智能, 大语言模型, 威胁分析, 威胁情报, 子域名变形, 安全报告生成, 安全运营, 开发者工具, 恶意软件分析, 扫描框架, 攻击溯源, 数字取证, 无后门, 漏洞修复, 漏洞搜索, 用户模式Hook绕过, 网络信息收集, 网络安全, 网络安全培训, 网络安全审计, 网络流量分析, 自动化侦查工具, 自动化分析, 自动化脚本, 跨站脚本, 逆向工具, 隐私保护, 风险评分