tejassesh5/detection-forge
GitHub: tejassesh5/detection-forge
一个基于多提供商 LLM 流水线自动生成并验证 Sigma 与 YARA 规则的 CTI 编排平台,解决检测规则从创作到落地的一致性与覆盖度问题。
Stars: 0 | Forks: 0
# detection-forge
部分 **SOC 生命周期组合**(检测 → 验证 → 狩猎 → 分级)。
## 功能特性
- **多源 CTI 摄入** — 粘贴威胁报告、上传 PDF 或拉取 STIX/TAXII/MISP 订阅源
- **LLM 规则生成** — 链式提示词流水线:提取 → 分类 → 草稿 → 验证 → 优化
- **Sigma + YARA** — 存储前由 pySigma 和 yara-python 验证
- **语料库测试** — 基于 EVTX-ATTACK-SAMPLES 和 Mordor 数据集进行评分
- **ATT&CK 覆盖度** — 热力图与缺口分析,展示未覆盖的技术
- **多提供商 LLM** — Gemini Flash → Groq Llama 3.3 → Ollama(均为免费,自动降级)
- **Monaco 编辑器** — 浏览器内规则编辑,带语法高亮
## 快速开始
```
git clone https://github.com/tejassesh5/detection-forge
cd detection-forge
cp .env.example .env # add your API keys
docker compose up -d
```
打开 http://localhost:8000
## 架构
```
CTI Input → cti_loader → CTIItem
→ LLM Pipeline (extract → classify → draft → validate → refine)
→ Rule (Sigma/YARA) → pySigma/yara-python validation
→ Tester (EVTX corpus + user logs) → Score (0-100)
→ ATT&CK Mapper → Coverage heatmap + gaps
→ Qdrant (embeddings for dedup + RAG prompting)
→ SQLite (rules, CTI, test runs)
```
## 评分
`score = 35×precision + 25×recall + 15×attack_coverage + 15×specificity + 10×novelty`
| 等级 | 分数 |
|------|------|
| A | 85–100 |
| B | 70–84 |
| C | 55–69 |
| D | 40–54 |
| F | <40 |
## 技术栈
Python 3.11 · FastAPI · HTMX · Tailwind · Monaco · SQLite · Qdrant · sentence-transformers · pySigma · yara-python · Gemini · Groq · Ollama · MITRE ATT&CK STIX
## 相关项目
- [purple-loop](https://github.com/tejassesh5/purple-loop) — 通过攻击模拟验证检测
- [threat-hunt-rag](https://github.com/tejassesh5/threat-hunt-rag) — 利用 RAG 扩展狩猎范围,超越单纯检测
- [soc-copilot](https://github.com/tejassesh5/soc-copilot) — AI 告警分级辅助工具
标签:AI风险缓解, ATT&CK热图, ATT&CK覆盖, AV绕过, Cloudflare, DNS信息、DNS暴力破解, EVTX测试样本, FastAPI, Gemini, In-Memory规则存储, LLM评估, LLM辅助检测, masscan, MITRE ATT&CK, Monaco编辑器, Mordor数据集, Ollama, pySigma, Python, Qdrant, RAG, Sigma规则, SOC生命周期, SQLite, STIX, Tailwind, TAXII, yara-python, YARA规则, 云端安全工具, 分页抓取, 前端HTMX, 取证, 可解释AI检测, 向量搜索, 多供应商LLM, 多模态LLM, 威胁情报, 威胁情报平台, 安全数据平台, 嵌入去重, 开发者工具, 开源安全工具, 持续集成安全, 无后门, 检测, 检测即服务, 检测编排, 特异度新颖性评分, 目标导入, 管道验证, 精准度召回率评分, 缺口分析, 自动化规则生成, 规则即代码, 规则去重, 规则验证流水线, 语料库测试, 语法高亮, 逆向工具, 逆向工程平台