debster9755/malwareguard
GitHub: debster9755/malwareguard
一款面向金融服务的 AI 驱动型恶意软件检测与威胁狩猎平台,解决分类缺失与响应延迟问题。
Stars: 0 | Forks: 0
# MalwareGuard
**面向金融服务的 AI 驱动恶意软件检测与威胁狩猎**
对针对银行和金融科技的恶意软件家族进行分类,将其映射到 MITRE ATT&CK 技术,提取 IOC,并执行遏制 playbook —— 所有这些都集中在一个专为金融服务安全团队构建的单一仪表板中完成。
## 为什么这很重要
### 问题所在
银行恶意软件是按财务影响排名第一的恶意软件类别。金融服务公司面临着持续不断的冲击,包括银行木马 (TrickBot, Emotet, Dridex)、凭证窃取程序 (RedLine, Raccoon) 和勒索软件 (LockBit, BlackCat, Cl0p),这些恶意软件专门用于窃取凭证、劫持交易以及加密关键基础设施。
**71% 的恶意软件攻击针对金融服务** (Akamai)。然而,SOC 团队缺乏一个统一的视图,无法将恶意软件分类与专门针对金融部门威胁定制的、可操作的威胁情报联系起来。
### 不解决的后果
| 风险 | 影响 |
|---|---|
| **未检测到的银行木马** | 凭证被盗导致未经授权的资金转移(平均每起事件损失 110 万美元) |
| **勒索软件潜伏时间** | 从最初入侵到部署平均需 21 天 —— 尽早分类可以缩短此时间 |
| **AML 中超过 95% 的误报率** | 如果没有恶意软件层面的上下文,交易警报就缺乏用于确定优先级的威胁情报 |
| **不合规 (DORA)** | 欧盟《数字运营韧性法案》(DORA) 要求金融实体检测并对 ICT 威胁进行分类 |
| **事件响应延迟** | 如果没有恶意软件家族识别,IR 团队就无法应用正确的遏制 playbook |
### 业务影响
- **4850 亿美元** 2023 年全球欺诈损失 (Juniper Research)
- **488 万美元** 数据泄露的平均成本 (IBM 2024)
- **64% 的同比增长** 针对金融基础设施的勒索软件攻击 (Chainalysis)
- **欧盟 AI 法案 (2026 年 8 月)** 要求对基于 AI 的安全决策具有可解释性
## 系统架构
```
graph TB
subgraph Frontend["MalwareGuard Dashboard"]
A[Dashboard Tab] --> |Stats & Feed| B[Threat Data]
C[Classifier Tab] --> |Query| D[Classification Engine]
E[MITRE ATT&CK Tab] --> |Mapping| F[ATT&CK Database]
G[IOC Analysis Tab] --> |Search| H[IOC Database]
I[Containment Tab] --> |Actions| J[Playbook Engine]
end
subgraph Data["Threat Intelligence Layer"]
B
D
F
H
J
end
subgraph Sources["Intelligence Sources"]
K[abuse.ch URLhaus]
L[MalwareBazaar]
M[PhishTank]
N[MITRE ATT&CK]
O[Internal Sandbox]
end
Sources --> Data
Data --> Frontend
```
## 工作流程图
```
sequenceDiagram
participant Analyst as SOC Analyst
participant MG as MalwareGuard
participant TI as Threat Intel
participant MITRE as ATT&CK DB
Analyst->>MG: Enter suspicious hash/domain/IP
MG->>TI: Cross-reference threat feeds
TI-->>MG: Match found: TrickBot (98% confidence)
MG->>MITRE: Map to ATT&CK techniques
MITRE-->>MG: 10 techniques across 8 tactics
MG-->>Analyst: Classification + IOCs + MITRE mapping
Analyst->>MG: View containment actions
MG-->>Analyst: Prioritised playbook (Network → Endpoint → Identity → Communication)
Analyst->>MG: Mark actions complete
MG-->>Analyst: Generate incident report (copy-to-clipboard)
```
## 组件架构
```
graph LR
subgraph Page["page.tsx (App Shell)"]
Nav[Tab Navigation]
end
subgraph Tabs["5 Tab Components"]
D[DashboardTab]
CL[ClassifierTab]
MA[MitreAttackTab]
IOC[IocAnalysisTab]
CT[ContainmentTab]
end
subgraph Data["Data Layer"]
MD[malware-data.ts]
end
Nav --> D & CL & MA & IOC & CT
D & CL & MA & IOC & CT --> MD
CL -->|"onNavigate"| MA & IOC & CT
D -->|"onNavigate"| CL
```
## 功能
### 1. 威胁仪表板
- 4 个动态统计卡片(活跃家族数、追踪的 IOC、财务警报、MITRE 技术)
- 严重性分布柱状图、恶意软件类型细分、主要受攻击行业
- 包含 15 个以上近期事件和人类可读叙述的实时威胁推送
### 2. AI 恶意软件分类器
- 输入 SHA256 哈希值、域名或 IP 地址
- 2 秒扫描动画,带有进度条和状态消息
- 结果卡片:恶意软件家族、类型、严重性、置信度仪表 (SVG 径向)、描述、攻击活动、目标行业
- 针对 TrickBot、Emotet、LockBit、RedLine 的快速扫描演示按钮
- 对于已分类的恶意软件,可直接导航至 MITRE 映射、IOC 和遏制措施
### 3. MITRE ATT&CK 矩阵 (核心功能)
- 包含 120 多种真实技术的完整 14 战术交互式网格
- 技术单元格按使用强度着色(灰色 → 浅红色 → 深紫红色,具体取决于有多少恶意软件家族使用它们)
- 按恶意软件家族过滤 —— 仅高亮显示该家族使用的技术
- 点击任意技术即可展开:描述、相关的恶意软件家族
- 在移动设备上支持水平滚动,并保留战术标头
### 4. IOC 分析
- 涵盖 12 个恶意软件家族的所有 IOC 的可搜索/可过滤表格
- 按类型 (SHA256、域名、IP、URL) 过滤并按值搜索
- 带有可视化柱状图的置信度得分
- 活跃/历史状态指示器
- CSV 导出(生成并下载文件)
### 5. 遏制措施
- 选择任意恶意软件家族以查看按优先级排列的遏制 playbook
- 带有优先级、类别 (网络/端点/身份/通信) 以及详细步骤的操作卡片
- 带有进度条的复选框跟踪
- **事件报告生成器** —— 包含完整事件报告并支持复制到剪贴板的模态框
## 涵盖的恶意软件家族 (12)
| 家族 | 类型 | 严重性 | 主要威胁 |
|---|---|---|---|
| TrickBot | 木马/加载器 | 严重 | 银行网页注入、勒索软件分发 |
| Emotet | 加载器/释放器 | 严重 | 电子邮件会话劫持、恶意软件分发 |
| Dridex | 银行木马 | 高 | SWIFT/电汇凭证窃取 (Evil Corp) |
| QakBot/QBot | 木马/加载器 | 严重 | Black Basta 勒索软件的初始访问代理 |
| IcedID/BokBot | 银行木马 | 高 | 针对银行会话的 SSL 代理 MITB 攻击 |
| LockBit 3.0 | 勒索软件 | 严重 | 双重勒索、最快的加密速度 |
| BlackCat/ALPHV | 勒索软件 | 严重 | 基于 Rust、三重勒索 |
| Cl0p | 勒索软件 | 严重 | 针对文件传输软件的零日漏洞利用 |
| RedLine Stealer | 信息窃取程序 | 高 | 浏览器凭证、加密钱包、会话 token |
| Raccoon Stealer v2 | 信息窃取程序 | 高 | MaaS 凭证窃取 (每月 200 美元) |
| AgentTesla | RAT/窃取程序 | 高 | 键盘记录、屏幕捕获、针对贸易融资 |
| FormBook/XLoader | 信息窃取程序 | 中 | 表单抓取、跨平台 (Windows + macOS) |
## 技术栈
| 层级 | 技术 | 原因 |
|---|---|---|
| **框架** | Next.js 15 (App Router) | SSR、原生支持 Vercel 部署 |
| **语言** | TypeScript | 为复杂数据模型提供类型安全 |
| **样式** | Tailwind CSS | 快速的暗色主题样式、响应式 |
| **动画** | Framer Motion | 平滑过渡、动态计数器、卡片显示动画 |
| **图标** | Lucide React | 一致的网络安全图标体系 |
| **图表** | 纯 SVG/CSS | 零依赖、快速渲染 |
| **状态** | React useState/useMemo | 简单,无需外部状态库 |
| **部署** | Vercel | 零配置、边缘网络 |
## 快速开始
```
git clone https://github.com/debster9755/malwareguard.git
cd malwareguard
npm install
npm run dev
```
打开 [http://localhost:3000](http://localhost:3000)。
## 项目结构
```
src/
app/
page.tsx # App shell with 5-tab navigation
layout.tsx # Root layout with metadata
globals.css # Dark cybersecurity theme
components/
DashboardTab.tsx # Stats, severity, threat feed
ClassifierTab.tsx # Hash/domain classifier with scanning animation
MitreAttackTab.tsx # Full 14-tactic interactive ATT&CK matrix
IocAnalysisTab.tsx # Searchable IOC table with CSV export
ContainmentTab.tsx # Per-family action playbooks + incident reports
data/
malware-data.ts # 12 malware families, ATT&CK matrix, threat events
```
## 业务优势
### 对于金融服务 SOC 团队
- **告警调查速度提升 75%** —— 几秒钟内识别出恶意软件家族,而不是几小时
- **统一的威胁视图** —— 集恶意软件分类 + MITRE 映射 + IOC + 遏制措施于一处
- **可操作的情报** —— 不仅仅是“是什么”,还包括“意味着什么”和“接下来做什么”
### 对于合规性 (DORA/NIS2)
- **ICT 威胁分类** —— DORA 第 17 条的强制要求
- **事件报告** —— 自动生成的报告可满足 24 小时通知要求
- **审计追踪** —— 带有时间戳的遏制行动追踪
### 对于作品集
- 展示了**深厚的网络安全知识** —— 真实的 MITRE 技术 ID、准确的恶意软件描述
- 体现了**产品思维** —— 不仅仅是一个仪表板,而是一个完整的调查工作流
- 证明了**技术执行力** —— 全栈 TypeScript、动画、数据架构
*由 [Debayan Roy](https://github.com/debster9755) 构建 —— 展示面向金融服务的 AI 驱动网络安全智能。*
标签:DNS 反向解析, IP 地址批量处理, 事件响应, 人工智能, 威胁情报, 安全运营中心(SOC), 开发者工具, 恶意软件检测, 用户模式Hook绕过, 自动化攻击, 金融安全