Ravioli201/neural-architect

## 问题所在 一级 SOC 分析师每天将大部分时间花在做同一件事上：盯着满屏的 `Sysmon` 事件、`auth.log` 日志行和 EDR 告警，试图回答一个问题——*到底发生了什么？* 等到他们将事件拼凑成一个完整的故事，映射到 MITRE，并将其记录下来时，攻击者已经赢得了数小时的时间来继续行动。 **Neural Architect 将这项工作从数小时压缩至数秒。** 粘贴原始遥测数据，即可获取重建的攻击链、已评分的 MITRE 技术、IOC，以及可直接粘贴至工单的 Markdown IR（应急响应）报告。 ## 演示 30-60 秒的演示 walkthrough 位于 [`docs/demo_video_script.md`](docs/demo_video_script.md)。录制完成后，将渲染的 GIF 放入 `assets/demo.gif`，并取消下方图片的注释。 ## 工作原理  其中的诀窍**绝不仅仅**是“将 50 KB 的日志扔给 LLM 然后祈祷”。原始日志会经过确定性的预处理阶段——格式检测、IOC 提取、时间线规范化——*然后*才会通过受 Pydantic schema 约束的 prompt 发送给 Gemini 2.5 Flash。模型获取结构化的锚点，返回结构化的输出，我们绝不把 token 浪费在正则表达式能做得更好的工作上。 完整的设计原由请参阅 [docs/architecture.md](docs/architecture.md)。 ## 您将获得什么 对于每一次安全事件，pipeline 都会生成一个包含以下内容的类型化 `AttackChain`： - 单段执行摘要 - 严重性（低 / 中 / 高 / 严重）基于实际影响，而非主观感觉 - 按时间顺序排列的事件列表，每个事件均标记有杀伤链阶段 + MITRE 技术 + 置信度 + 判断依据 - 去重后的威胁指标（IP、域名、哈希值、路径、CVE、注册表键值……） - 保守的攻击者归因——仅当 TTP 与已记录的组织高度匹配时提供，否则为空 - 具体的建议措施（隔离遏制、调查、加固）——而非泛泛的空话 - 模型备注，指出信息缺口、模糊之处或低置信度的判断 ## 快速开始 ``` git clone https://github.com/Ravioli201/neural-architect cd neural-architect python -m venv .venv && source .venv/bin/activate pip install -r requirements.txt cp .env.example .env # 添加你的 Gemini API key — 在 https://aistudio.google.com/apikey 免费获取 # Streamlit UI ./scripts/run_streamlit.sh # 或者，FastAPI 服务 ./scripts/run_api.sh # 或者，CLI PYTHONPATH=src python -m neural_architect.cli analyze data/samples/apt_phishing_to_ransomware.log ``` ## 无需编写日志即可体验 [`data/samples/`](data/samples/README.md) 中包含了三个合成但逼真的场景： | 场景 | 涵盖内容 | |----------|----------------| | `apt_phishing_to_ransomware.log` | 宏文档 → PowerShell 加载器 → 凭据转储 → 通过 PsExec 横向移动 → 勒索软件 | | `web_exploit_to_rce.log` | WordPress 暴力破解 → 恶意插件 → Web Shell → 反向 SSH | | `insider_data_exfil.log` | 即将离职的员工访问受限文件，通过云存储 + USB 进行数据外发 | ## 评估 大多数 LLM 安全演示都 *缺乏* 严谨性。本项目附带了一个评估工具，包含黄金标签、在父技术粒度上的精确率/召回率/F1 评分，以及延迟追踪： ``` python -m eval.benchmark --runs 3 ``` 方法与注意事项：[eval/README.md](eval/README.md)。 ## API ``` POST /analyze → AttackChain JSON POST /export/stix → STIX 2.1 bundle POST /export/markdown → IR report (Markdown) GET /health → liveness + config status ``` ``` curl -X POST http://localhost:8000/analyze \ -H 'content-type: application/json' \ -d '{"logs": "..."}' | jq . ``` API 运行时，会在 `/docs` 路径自动生成 OpenAPI 规范。 ## 项目结构 ``` neural-architect/ ├── src/neural_architect/ │ ├── core/ # Models, log parser, IOC extractor, analyzer │ ├── llm/ # Gemini client + prompts │ ├── exporters/ # STIX 2.1, Markdown │ ├── api/ # FastAPI service │ ├── ui/ # Streamlit app │ └── cli.py # Command-line entrypoint ├── data/samples/ # Synthetic incident logs you can feed to the analyzer ├── eval/ # Benchmark harness + golden labels ├── tests/ # pytest suite ├── docs/ # Architecture + design notes ├── assets/ # Diagrams + demo media └── scripts/ # Local run helpers ``` ## 路线图 - [ ] 流式重建 —— 随着模型的生成实时发出事件 - [ ] 针对超大型事件（多小时的日志记录）的分块分析 - [ ] 基于历史重建的 RAG，用于识别重复出现的攻击者 - [ ] 从重建事件中生成 Sigma 规则 - [ ] 一键将事件导出至 TheHive / OpenCTI / MISP ## 技术栈 Gemini 2.5 Flash · Pydantic v2 · FastAPI · Streamlit · Plotly · STIX 2.1 · scikit-learn (评估) · pytest ## 许可证 MIT — 详见 [LICENSE](LICENSE)。 ## 免责声明 Neural Architect 是一款用于增强分析师能力的工具，而非替代品。在据此采取行动之前，请务必验证重建结果，特别是在容错率极低的 IR（应急响应）任务中。模型可能会出错；`model_notes` 字段是用来阅读的，请不要跳过。

标签：Cloudflare, DAST, DLL 劫持, EDR, Gemini, IOC提取, ITDR, Kubernetes, LLM, MITRE ATT&CK, Python, STIX 2.1, Sysmon, Unmanaged PE, 云资产清单, 人工智能, 大语言模型, 威胁情报, 子域名变形, 安全报告生成, 安全规则引擎, 安全运营中心, 开发者工具, 恶意软件分析, 攻击链还原, 数字取证, 无后门, 无线安全, 用户模式Hook绕过, 端点检测与响应, 网络安全, 网络映射, 脆弱性评估, 脱壳工具, 自动化脚本, 逆向工具, 逆向工程, 隐私保护