blacAxe/vortex-backend

# VORTEX 基于 Spring Boot 构建的分布式恶意软件分析与威胁检测服务。 VORTEX 是一个模块化的后端安全服务，旨在分析上传的文件、检测恶意模式、分类威胁，并公开分析 API，以便集成到更大的安全平台中。 它作为 Sentinel Proxy 网关背后的内部微服务运行，并为 Sentinel OS 内的 VORTEX 仪表板提供支持。 # 功能特性 - 异步文件扫描 pipeline - 恶意软件与攻击模式检测 - 威胁严重性分类 - 基于 Worker 的处理模型 - 用于上传和分析的 REST API - PostgreSQL 持久化 - 实时仪表板集成 - 通过反向代理实现的 JWT 受保护访问 - 为分布式架构准备就绪 # 检测引擎 检测引擎会扫描上传的文件内容，以查找可疑指标和攻击特征。 当前支持的检测项包括： - SQL 注入 - 跨站脚本攻击 (XSS) - PowerShell 执行 - 命令注入 - 勒索软件指标 每次检测会产生： - 结果分类 - 严重级别 - 摘要 - 扫描元数据 - Worker 归因 - 处理时间戳 # 严重级别 | 严重性 | 描述 | |---|---| | LOW | 良性或安全的内容 | | MEDIUM | 可疑但影响较低 | | HIGH | 危险的执行指标 | | CRITICAL | 严重的恶意 payload | 示例映射： | 检测项 | 严重性 | |---|---| | SQL 注入 | CRITICAL | | 勒索软件指标 | CRITICAL | | PowerShell 执行 | HIGH | | XSS 载荷 | MEDIUM | # 架构 VORTEX 被设计为更大的分布式安全平台内部的一个服务。 前端请求的流转路径： ``` Next.js Frontend ↓ Sentinel Proxy (Go Gateway + JWT) ↓ VORTEX Service (Spring Boot) ↓ PostgreSQL ``` 该服务有意隔离在网关层之后，以支持： - 集中身份验证 - 速率限制 - 请求追踪 - 安全 middleware - 未来事件流 # 技术栈 ## 后端 - Java 23 - Spring Boot - Spring Web - Spring Data JPA - PostgreSQL ## 基础设施 - Docker - Docker Compose ## 平台集成 - Sentinel Proxy (Go API Gateway) - Sentinel OS 仪表板 - JWT 身份验证 - Redpanda 事件 Pipeline # API 端点 ## 提交扫描作业 ``` POST /api/jobs/submit ``` 上传文件并创建异步扫描作业。 ## 检索所有作业 ``` GET /api/jobs/all ``` 返回所有扫描作业和元数据。 ## 检索统计数据 ``` GET /api/jobs/stats ``` 返回包含以下内容的仪表板统计数据： - 作业总数 - 已完成作业 - 失败作业 - 活跃 Worker ## 检索分析数据 ``` GET /api/jobs/analytics ``` 返回按严重级别汇总的威胁分析数据。 # 作业生命周期 每个上传的文件都会经历一个处理生命周期。 ``` QUEUED ↓ PROCESSING ↓ COMPLETED / FAILED ``` Worker 服务异步处理扫描作业并将结果更新到数据库中。 # 检测结果示例 ``` { "id": 12, "name": "payload.txt", "result": "SQL_INJECTION", "severity": "CRITICAL", "status": "COMPLETED", "workerNode": "worker-alpha", "scanDurationMs": 27 } ``` # 本地运行 ## 使用 Maven 启动 ``` ./mvnw spring-boot:run ``` ## Docker 部署 该服务设计为在 Sentinel 平台的 Docker 环境中运行。 ``` docker compose up --build ``` # 测试载荷示例 ## SQL 注入 ``` ' UNION SELECT password FROM users -- ``` ## XSS 载荷 ``` ``` ## PowerShell 执行 ``` powershell Invoke-Expression payload ``` ## 勒索软件指标 ``` encrypt bitcoin decrypt ransom ``` # 平台目标 VORTEX 是更广泛的安全工程项目的一部分，该项目专注于： - 分布式系统 - 检测 pipeline - 可观测性 - 反向代理安全 - 事件驱动架构 - 平台工程 长期目标是将 VORTEX 演进为 Sentinel OS 内部的分布式扫描和威胁分析子系统。 # 未来改进 - 分布式 Worker 节点 - 实时事件流 - 文件哈希与信誉分析 - YARA 规则支持 - 行为分析 - 基于队列的作业编排 - 威胁情报集成 - WebSocket/SSE 实时扫描推送 - Kubernetes 部署 - 多节点扫描调度 # 状态 开发中。

标签：AMSI绕过, CISA项目, DAST, JWT认证, OpenCanary, PostgreSQL, REST API, Sentinel Proxy, Spring Boot, SQL注入检测, XSS检测, 分布式系统, 勒索软件检测, 后端开发, 命令注入检测, 响应大小分析, 威胁分类, 威胁情报, 威胁检测, 安全中间件, 安全分析引擎, 安全扫描, 安全网关, 安全运营, 实时仪表盘, 开发者工具, 异步处理, 恶意模式检测, 恶意软件分析, 扫描框架, 攻击签名检测, 文件分析, 时序注入, 测试用例, 版权保护, 网络安全, 自定义DNS解析器, 请求拦截, 跨站脚本攻击, 隐私保护