Henilt31/phantom

GitHub: Henilt31/phantom

PHANTOM 是一个集成了实时流量分析、机器学习异常检测及 Claude AI 对话式分析的网络取证与威胁狩猎平台。

Stars: 0 | Forks: 0

# PHANTOM — 网络取证与威胁情报平台 PLACEHOLDER_BANNER ![Python](https://img.shields.io/badge/Python-3.11+-3776AB?style=flat-square&logo=python&logoColor=white) ![React](https://img.shields.io/badge/React-18-61DAFB?style=flat-square&logo=react&logoColor=black) ![FastAPI](https://img.shields.io/badge/FastAPI-0.115-009688?style=flat-square&logo=fastapi&logoColor=white) ![Three.js](https://img.shields.io/badge/Three.js-r162-black?style=flat-square&logo=threedotjs&logoColor=white) ![Claude AI](https://img.shields.io/badge/Claude_AI-Integrated-D97706?style=flat-square) ![License](https://img.shields.io/badge/License-MIT-green?style=flat-square) ![Status](https://img.shields.io/badge/Status-Active-brightgreen?style=flat-square) ## 🧠 什么是 PHANTOM？ PHANTOM 是一个多阶段网络取证与威胁狩猎平台，能够将原始网络流量转化为可执行的安全情报。它流式传输实时会话数据，利用机器学习检测异常，通过向量相似度匹配已知 APT 原型威胁，并将攻击映射到 MITRE ATT&CK 杀伤链——所有这些都在实时仪表板中可视化呈现。与被动的日志查看器不同，PHANTOM 积极进行狩猎。每个会话都被打分，每个威胁都得到解释，每个告警都映射到杀伤链阶段——因此，你不仅知道*有*问题，还知道它处于攻击的*哪个阶段*。 ## ✨ 核心功能 | 功能 | 描述 | |--------|-------------| | 📡 **实时会话流** | 基于 WebSocket 流式传输的实时网络会话，支持暂停、过滤和威胁评分 | | 💀 **杀伤链分析** | 映射到 MITRE ATT&CK 框架的交互式 Three.js 3D 可视化 | | 🎯 **向量扫描器** | APT 原型匹配（APT29、Lazarus、Sandworm），附带 PCA 2D 散点图 | | 🤖 **AI 威胁分析师** | 由 Claude 驱动的对话式分析师，具备完整的网络安全角色设定 | | ⚠️ **损害预测** | 违规概率、财务影响评估、主机风险评分、P0/P1/P2 响应措施 | | 📊 **取证仪表板** | 面积图、雷达图、实时会话表、系统健康状况——全部实时更新 | | 🔁 **WebSocket 流式传输** | 双 WS 端点，内置离线使用的自动回退 mock 生成器 | ## 🏗️ 架构 ``` ┌──────────────────────┐ ┌────────────────────────┐ │ React 18 + Vite │◀────▶│ FastAPI Backend │ │ Three.js + Framer │ WS │ WebSocket Streaming │ │ Recharts + Tailwind│ │ REST API (10+ routes) │ └──────────────────────┘ └───────────┬─────────────┘ │ ┌────────────────────────────┼──────────────────────────┐ │ │ │ ┌──────────▼──────────┐ ┌────────────▼──────────┐ ┌───────────▼──────────┐ │ ML Anomaly Engine │ │ Vector Prototype DB │ │ Claude AI Analyst │ │ Isolation Forest │ │ Milvus-compatible │ │ claude-sonnet │ │ Entropy Analysis │ │ APT Similarity Search │ │ Threat Q&A │ └─────────────────────┘ └───────────────────────┘ └──────────────────────┘ ``` ## 🛠️ 技术栈 **Frontend** - React 18 + Vite - Three.js + @react-three/fiber（3D 杀伤链可视化） - Framer Motion（页面过渡、动画） - Recharts（面积图、雷达图、柱状图、散点图、饼图） - TailwindCSS + 自定义赛博朋克设计系统 - Orbitron + Exo 2 + JetBrains Mono（字体） **Backend** - Python 3.11 + FastAPI - WebSocket 流式传输（双端点） - Uvicorn ASGI 服务器 **AI** - Anthropic Claude API (`claude-sonnet-4-20250514`) - CIPHER-AI 角色设定，具备完整的网络安全背景 **Infrastructure** - Docker + Docker Compose - Nginx（生产环境前端） - 跨平台启动脚本 ## 🚀 快速开始 **Prerequisites:** Node.js 18+, Python 3.11+ ### Option 1 — 脚本（推荐） ``` # Linux / Mac chmod +x start.sh && ./start.sh # Windows .\start.bat ``` ### Option 2 — 手动 ``` # Terminal 1 — Backend cd backend pip install -r requirements.txt uvicorn main:app --reload --port 8000 # Terminal 2 — Frontend cd frontend npm install npm run dev ``` ### Option 3 — Docker ``` docker-compose up --build ``` ## 🌐 访问地址 | 服务 | URL | |---------|-----| | **Dashboard** | http://localhost:5173 | | **API** | http://localhost:8000 | | **API Docs** | http://localhost:8000/docs | | **Live WS** | ws://localhost:8000/ws/live | ## 🤖 AI 分析师设置 1. 导航到 **AI Analyst** 页面 2. 输入你的 Anthropic API key — 在 [console.anthropic.com](https://console.anthropic.com) 获取 3. 你的 key 将存储在本地浏览器中 —— 绝不会发送到任何服务器 4. 随时向 PHANTOM-AI 提问：威胁分析、杀伤链映射、事件响应 ## 📁 项目结构 ``` phantom/ ├── backend/ │ ├── main.py # FastAPI app — all routes + WebSocket endpoints │ └── requirements.txt ├── frontend/ │ ├── src/ │ │ ├── App.jsx │ │ ├── components/ │ │ │ ├── Sidebar.jsx # Animated navigation + threat level indicator │ │ │ ├── StatCard.jsx # Animated metric cards │ │ │ └── MatrixBackground.jsx # Canvas rain animation │ │ └── pages/ │ │ ├── Dashboard.jsx # Main overview + live charts │ │ ├── LiveFeed.jsx # Real-time WebSocket session table │ │ ├── KillChain.jsx # Three.js 3D MITRE ATT&CK visualization │ │ ├── VectorScanner.jsx # APT prototype matching + PCA scatter │ │ ├── AIAnalyst.jsx # Claude AI conversational analyst │ │ └── DamageProjection.jsx # Breach impact + financial assessment │ ├── package.json │ └── vite.config.js ├── docker-compose.yml ├── start.sh └── start.bat ``` ## 📡 API 参考 | 方法 | 端点 | 描述 | |--------|----------|-------------| | `GET` | `/api/health` | 系统健康检查 | | `GET` | `/api/dashboard/stats` | 聚合威胁统计 | | `GET` | `/api/sessions/live` | 最新 20 条网络会话 | | `GET` | `/api/killchain` | 杀伤链阶段数据 | | `GET` | `/api/traffic/timeseries` | 60 点流量时间序列 | | `GET` | `/api/vectors/threats` | 向量原型匹配结果 | | `GET` | `/api/damage/projection` | 违规影响评估 | | `POST` | `/api/analyze` | 分析会话（ML + 向量） | | `WS` | `/ws/live` | 实时会话流 | | `WS` | `/ws/stats` | 实时统计流 | ## 🗺️ 路线图 - [x] 带有 WebSocket 流式传输的 FastAPI 后端 - [x] 带有实时图表的实时仪表板 - [x] Three.js 3D 杀伤链可视化 - [x] 带有 APT 原型匹配的向量扫描器 - [x] Claude AI 分析师集成 - [x] 损害预测与财务影响评估 - [x] Docker + 跨平台启动脚本 - [ ] 基于真实 pcap 数据的实际 Isolation Forest ML 模型 - [ ] Milvus 向量数据库集成（替换 mock） - [ ] Zeek / NetFlow 日志摄取管道 - [ ] MITRE ATT&CK 技术自动标记 - [ ] 告警导出（PDF / STIX / CSV） - [ ] 多用户认证 + 基于角色的访问控制 ## 🤝 贡献欢迎贡献！ ``` git checkout -b feature/your-feature git commit -m "feat: your feature description" git push origin feature/your-feature # Open a Pull Request ``` ## 👨‍💻 作者 **Henil Thakkar** [![GitHub](https://img.shields.io/badge/GitHub-Henilt31-181717?style=flat-square&logo=github)](https://github.com/Henilt31) ## 📄 许可证 MIT License — 详情参见 [LICENSE](LICENSE)。 ⭐ **如果你觉得这个项目有用，请 Star！** *Built with React, FastAPI, Three.js, Framer Motion, and Claude AI*

标签：3D 可视化, AI 安全, Apex, APT 检测, AV绕过, Claude AI, Cloudflare, FastAPI, MITRE ATT&CK, Python, React, Syscalls, Three.js, 交互式大屏, 代码示例, 向量匹配, 威胁情报, 安全运营, 实时监测, 开发者工具, 异常检测, 扫描框架, 数据分析, 无后门, 机器学习, 杀伤链, 网络安全, 网络流量, 自定义脚本, 请求拦截, 逆向工具, 隐私保护