ebrahimgamdiwala/ARGUS

# 演示视频： https://github.com/user-attachments/assets/77466975-3441-4c32-871b-3d73480c5296 ## 概述 ARGUS 是一个为高风险环境（包括金融、国防、外交和公共管理）设计的统一网络情报平台。它实时监控电子邮件、URL、通信流和视频内容，以检测 AI 驱动的威胁，解释风险证据，并在升级前推荐缓解措施。 与通用安全工具不同，ARGUS 通过多向量分析和持久图存储提供深度威胁情报。该平台将浏览器端遥测、AI 辅助分类、实时深度伪造检测和知识图谱关联整合为单一集成防御系统。 ## 问题 | Challenge | Impact | |-----------|--------| | AI-Generated Deception | Deepfakes, synthetic voices, and fabricated communications bypass traditional detection | | Fragmented Security Tools | Analysts juggle separate tools for email, URL, video, and behavioral analysis | | Generic Detection Systems | Standard solutions cannot explain why something is suspicious or provide evidence trails | | Coordinated Attack Campaigns | Individual threats are detected but campaign-level patterns go unnoticed | | Prompt Injection Attacks | AI assistants within organizations are vulnerable to instruction hijacking | ## 解决方案 ARGUS 提供了一个以可解释性为核心的集成防御平台： - **多向量威胁检测** — 对 URL、电子邮件、视频内容和 AI 提示进行统一分析 - **实时深度伪造检测** — 基于帧的视频取证分析，结合人脸检测与时间跟踪 - **知识图谱智能** — 通过 Neo4j 构建关系图谱，将威胁关联为攻击活动 - **可解释的 AI 决策** — 每次检测均附带证据链、置信度评分和推荐操作 - **浏览器原生防护** — Chrome 扩展监控浏览行为并实时拦截威胁 ## 核心能力 ### 多向量威胁检测 ARGUS 通过统一检测引擎监控六个独立威胁向量： | Threat Vector | Detection Approach | |---------------|-------------------| | **Phishing Communications** | NLP 模型检测紧迫性语言、权威滥用及与策略不一致的请求 | | **Malicious URLs** | 域名信誉、词法熵、重定向链和基础设施分析 | | **Deepfake Impersonation** | 人脸一致性分析、时间异常和取证级视频评估 | | **Prompt Injection** | 防御策略检查提示中的指令劫持和数据外泄 | | **Behavioral Anomalies** | 用户基线识别异常行程、非工作时间访问和权限提升 | | **AI-Generated Deception** | 分类器标记合成叙事、伪造指令和错误信息 | ### 实时深度伪造检测 深度伪造检测引擎采用双信号方法，无论是否可见人脸均可工作： **基于人脸分析** - MTCNN 人脸检测提取视频帧中的面部区域 - PyTorch 神经网络评估人脸真实性 - EfficientNet 主干网络提供鲁棒特征提取 **取证帧分析** - 压缩异常检测识别操纵特征 - 帧间时间一致性跟踪 - 滚动置信度平均用于稳定判决 **输出信号** - 伪造概率（0–100%） - 置信等级（REAL / FAKE / UNCERTAIN） - 帧序列稳定性评分 - 处理时间指标 ### 可解释AI安全 每次威胁检测包含四个可解释性层级： | Layer | Description | |-------|-------------| | **Why Suspicious** | 突出违反策略、通信规范或基线的异常模式 | | **Evidence Trail** | 提供具体指标：可疑标头、URL 链、模型取证、时间线上下文 | | **Confidence Score** | 校准概率及模型一致级别，用于风险决策 | | **Recommended Action** | 建议立即操作：隔离、阻断、身份验证、触发工作流、上报 SOC | ### 知识图谱智能 由 Neo4j 驱动的关系图谱将单个检测关联为活动级情报： **节点类型** - 用户、域名、IP 地址、组织、威胁、攻击活动 **关系追踪** - 用户访问域名模式 - 跨域威胁关联 - 按共享基础设施聚类活动 - 品牌冒充检测 **活动检测** - 基于共享 IP、注册商或目标品牌的自动聚类 - 多指标关联的攻击模式识别 - 威胁行为者归属支持 ### 浏览器扩展 Chrome 扩展（Manifest V3）在浏览期间提供实时保护： **主动监控** - 导航事件拦截 - 邮件界面扫描（Gmail、Outlook） - AI 聊天界面监控 - 表单提交跟踪 **威胁响应** - 可疑内容的页面内警告覆盖 - 恶意域名的全页阻断 - 通过弹出控件进行实时深度伪造分析 - 后端连接状态与配置 **用户界面** - 显示威胁模块状态的弹出式仪表板 - 可配置后端 URL - 深色/浅色主题支持 - 会话事件跟踪 ## 部门覆盖 ARGUS 为高风险公共部门操作设计： | Department | Focus Areas | Use Cases | |------------|-------------|-----------| | **Ministry of Finance** | Budget systems, treasury portals, procurement | Invoice fraud, executive impersonation, payment-diversion phishing | | **Ministry of Defense** | Secure comms, command dashboards, classified endpoints | Deepfake command impersonation, privileged access anomalies, social engineering | | **External Affairs** | Diplomatic mailboxes, mission tools, public communications | Deception campaigns, spoofed diplomatic requests, manipulated cross-border content | | **Public Administration** | e-Governance portals, identity systems, inter-department platforms | Citizen-service abuse, credential misuse, insider anomalies | ## 系统架构 ### 高层概述 ``` ┌─────────────────────────────────────────────────────────────────┐ │ BROWSER EXTENSION │ │ Manifest V3 | Service Worker | Content Scripts | Popup UI │ │ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │ │ │ URL │ │ Email │ │ Deepfake │ │ │ │ Monitor │ │ Scanner │ │ Capture │ │ │ └──────────────┘ └──────────────┘ └──────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ ARGUS WEB PLATFORM │ │ Next.js 16 + React 19 + NextAuth + Tailwind CSS │ │ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │ │ │ Dashboard │ │ Knowledge │ │ Analytics │ │ │ │ & Alerts │ │ Graph │ │ Reports │ │ │ └──────────────┘ └──────────────┘ └──────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ API & AI LAYER │ │ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │ │ │ URL/Email │ │ Prompt │ │ Gemini │ │ │ │ Analysis │ │ Injection │ │ Explanation │ │ │ └──────────────┘ └──────────────┘ └──────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ┌─────────────────┼─────────────────┐ ▼ ▼ ▼ ┌───────────────────┐ ┌───────────────┐ ┌───────────────┐ │ FLASK BACKEND │ │ MongoDB │ │ Neo4j │ │ ┌─────────────┐ │ │ │ │ │ │ │ MTCNN │ │ │ Analytics │ │ Knowledge │ │ │ Detection │ │ │ Threat Logs │ │ Graph │ │ │ PyTorch │ │ │ User Data │ │ Campaigns │ │ │ Forensics │ │ │ │ │ │ │ └─────────────┘ │ │ │ │ │ └───────────────────┘ └───────────────┘ └───────────────┘ ``` ### 数据流 1. **浏览器捕获** — 扩展监控导航、邮件、视频内容和 AI 聊天 2. **API 分析** — Next.js 路由使用 Gemini AI 分类处理威胁 3. **深度伪造处理** — Flask 后端执行帧级视频取证 4. **存储** — MongoDB 存储分析与日志；Neo4j 构建关系图谱 5. **可视化** — 仪表板展示实时告警、图谱与趋势分析 ## 技术栈 ### 前端平台 | Component | Technology | |-----------|------------| | Framework | Next.js 16.1.6 (App Router) | | UI Library | React 19.2.0 | | Styling | TailwindCSS 4.2.1 | | Components | Radix UI (Avatar, Dialog, Dropdown, Tabs, Popover) | | State | Zustand 5.0.8 | | Visualization | React Force Graph 2D/3D, ReactFlow 11.11.4, Recharts 2.15.4 | | 3D Rendering | Three.js 0.180.0, React Three Fiber | | Animation | Framer Motion 12.23.24, GSAP 3.13.0 | ### 后端服务 | Component | | |-----------|------------| | Web API | Next.js API Routes | | Authentication | NextAuth 4.24.13, bcryptjs | | AI Classification | Google Generative AI 0.24.1 (Gemini) | | Deepfake Detection | Flask 2.0.0+, PyTorch 1.9.0+, MTCNN | | Computer Vision | OpenCV 4.5.3+, Pillow 10.4.0, albumentations | ### 数据层 | Component | Technology | |-----------|------------| | Primary Database | MongoDB 9.0.0 (Mongoose) | | Graph Database | Neo4j 6.0.1 | | Domain Enrichment | WHOIS (whois-json 2.0.4), GeoIP (geoip-lite 1.4.10) | ### 浏览器扩展 | Component | Technology | |-----------|------------| | Manifest | Manifest V3 | | Runtime | Service Worker + Content Scripts | | Permissions | storage, tabs, scripting, webNavigation, webRequest, notifications | ## 关键特性 ### 实时仪表板 安全仪表板提供威胁活动的实时可见性： - **服务器发送事件** — 实时检测结果流式传输到连接的仪表板 - **概率历史** — 随时间推移的深度伪造置信度滚动可视化 - **风险分布** — 安全、低、中、高、危急检测的分类统计 - **时间线分析** — 交互与威胁的每日聚合 - **最高风险域名** — 按风险评分排序的可疑域名列表 ### 安全分析 对所有检测类型的全面分析： - 跟踪的总交互次数与唯一域名数量 - 按严重性分类的威胁检测结果 - 活动识别 - 品牌冒充尝试 - 历史趋势监控 ### 域名丰富 被分析域名的自动丰富信息： - **WHOIS 数据** — 域名年龄、注册商、创建/过期日期 - **DNS 记录** — IP 地址、名称服务器 - **地理位置** — 国家、地区、城市、坐标 - **托管提供商** — 基础设施识别 - **品牌冒充** — 与已知品牌模糊匹配 - **风险评分** — 基于多种因素的复合评分 ### 数据匿名化 五层匿名化以实现隐私合规的图存储： 1. **DROP** — 移除 PII 字段（电子邮件、姓名、密码、内容） 2. **HASH** — IP、域名、设备 ID 的 SHA-256 哈希 3. **BUCKET** — 时间分桶与地理位置泛化 4. **KEEP** — 保留威胁元数据（判决、严重性、来源） 5. **ADD** — 合成 ID、匿名化标志、保留元数据 ### 加密完整性 用于检测审计追踪的 Merkle 树实现： - 防篡改事件日志 - 可验证的威胁历史 - 符合规范的完整性验证 ## 快速开始 ### 先决条件 - Node.js 20+ 与 npm - Python 3.9+ - MongoDB（本地或 Atlas） - Neo4j（可选，用于图谱功能） - Google Gemini API 密钥 ### 1. 启动 ARGUS Web 平台 ``` cd argus/ARGUS npm install npm run dev ``` 访问地址：`http://localhost:3000` ### 2. 启动深度伪造后端 ``` cd argus/backend # 创建虚拟环境 python -m venv venv # 激活（Windows） venv\Scripts\activate # 激活（macOS/Linux） source venv/bin/activate # 安装依赖项 pip install -r requirements.txt # 运行服务器 python server.py ``` 访问地址：`http://localhost:5000` ### 3. 加载浏览器扩展 1. 打开 Chrome 并导航至 `chrome://extensions/` 2. 启用“开发者模式”（右上角切换） 3. 点击“加载已解压的扩展程序” 4. 选择 `argus/extension` 目录 5. 点击扩展图标并确认后端 URL 为 `http://localhost:5000` ### 4. 初始化知识图谱（可选） ``` cd argus/ARGUS npm run init-graph npm run test-graph ``` ## 环境配置 在 `ARGUS/.env.local` 中创建配置： ``` # 认证 NEXTAUTH_SECRET=your_long_random_secret_here NEXTAUTH_URL=http://localhost:3000 # Google OAuth（可选） GOOGLE_CLIENT_ID=your_google_client_id GOOGLE_CLIENT_SECRET=your_google_client_secret # MongoDB MONGODB_URI=mongodb://127.0.0.1:27017/argus # Neo4j 图形数据库 NEO4J_URI=bolt://localhost:7687 NEO4J_USER=neo4j NEO4J_PASSWORD=your_neo4j_password NEO4J_DATABASE=neo4j # Gemini AI GEMINI_API_KEY=your_gemini_api_key ``` ## 存储库结构 ``` argus/ ├── ARGUS/ # Next.js web platform │ ├── app/ # Pages and API routes │ │ ├── api/ # 20+ API endpoints │ │ ├── dashboard/ # Security dashboard │ │ ├── analytics/ # Analytics views │ │ ├── knowledge-graph/ # Graph visualization │ │ ├── assistant/ # AI assistant │ │ └── profile/ # User management │ ├── components/ # React components │ ├── lib/ # Utilities and models │ │ ├── models/ # 10 MongoDB schemas │ │ ├── auth-options.js # NextAuth config │ │ ├── mongodb.js # Database connection │ │ ├── neo4j.js # Graph driver │ │ ├── graph-builder.js # Graph operations │ │ ├── domain-enrichment.js # WHOIS/DNS/GeoIP │ │ └── anonymizer.js # PII protection │ └── scripts/ # Utility scripts │ ├── backend/ # Flask deepfake service │ ├── server.py # Flask application │ ├── core/ │ │ ├── deepfake_detection.py │ │ ├── face_detection.py │ │ ├── frame_analysis.py │ │ └── model.py │ └── requirements.txt │ ├── extension/ # Chrome extension │ ├── manifest.json # Manifest V3 config │ ├── background.js # Service worker │ ├── content.js # Primary content script │ ├── content-interaction-tracker.js │ ├── content-prompt-injection.js │ ├── popup.html/js/css # Extension popup │ ├── overlay.html/js/css # In-page warnings │ ├── blocked.html # Block page │ └── analyzing.html # Analysis progress │ └── chatbot/ # Optional chatbot module ``` ## 数据模型 ARGUS 使用 10 个 MongoDB 集合存储操作数据： | Model | Purpose | |-------|---------| | **User** | 身份验证、配置文件、KYC 数据、API 密钥 | | **SecurityAnalytics** | 检测事件（含判决、评分、信号） | | **ThreatLog** | 威胁识别与操作追踪 | | **InteractionLog** | 用户浏览交互与风险指标 | | **EnrichmentLog** | WHOIS、DNS、GeoIP 与品牌冒充数据 | | **CampaignLog** | 攻击活动聚类与关联 | | **Campaign** | 工作流状态与执行日志 | | **AnalyticsData** | 时间序列分析 | | **PastWorkflow** | 已完成工作流历史 | | **Tool** | AI 代理能力注册表 | ## 开发命令 ``` # ARGUS 平台 cd ARGUS npm run dev # Development server npm run build # Production build npm run start # Production server npm run lint # ESLint npm run init-graph # Initialize Neo4j schema npm run test-graph # Test graph connectivity npm run diagnose # Diagnose graph issues # 后端服务 cd backend python server.py # Start Flask server ``` ## 安全考虑 ### 生产加固 - 移除测试端点（`/api/test-db`、`/api/reset-graph`） - 实施严格的 CORS 策略 - 为所有服务启用 HTTPS - 对公共端点添加速率限制 - 定期轮换 API 密钥 - 实施集中化日志记录与监控 ### 认证 - bcryptjs 密码哈希（10 轮盐） - JWT 会话令牌（30 天过期） - NextAuth 中间件保护 - 支持 Google OAuth 集成 ## 故障排除 ### Web 应用问题 - 在 `ARGUS` 目录下重新运行 `npm install` - 验证 `.env.local` 是否存在并包含所有必需变量 - 检查 MongoDB 连接 ### 扩展问题 - 在弹出窗口中验证后端 URL - 确认 `backend/server.py` 正在运行 - 在 `chrome://extensions/` 中检查 Service Worker 日志 ### 深度伪造后端问题 - 确认 Python 环境包含 `requirements.txt` 中的所有依赖包 - 验证模型文件是否存在 - 优先测试 `/health` 端点 ### 图形功能 - 在 `.env.local` 中验证 Neo4j 凭据 - 运行 `npm run init-graph` 创建图谱模式 - 运行 `npm run diagnose` 获取详细诊断信息 ## 许可 本项目为专有软件。

标签：AI安全, AI防御平台, AMSI绕过, Chat Copilot, Flask, Gemini, JSONLines, MongoDB, Neo4j, PyTorch, React, Syscalls, Vercel部署, 凭据扫描, 可解释AI, 多向量威胁检测, 威胁检测, 安全情报, 实时防护, 恶意URL, 提示注入, 政府级, 深度伪造, 生成理解系统, 端到端安全, 网络安全, 自定义脚本, 视频内容监控, 证据驱动安全, 通信流监控, 邮件监控, 隐私保护, 集群管理, 零信任, 风险自适应