shinuraveendran/malware-detection-using-yara-and-ai

# 混合恶意软件分析与威胁情报平台 一个网络安全平台，结合了静态分析、机器学习、动态沙箱分析以及威胁情报集成，用于高级恶意软件检测和自动化威胁情报生成。 该项目集成了： - YARA：用于基于签名的恶意软件检测 - AI/ML 模型：用于恶意软件分类 - CAPE Sandbox：用于恶意软件行为分析 - MISP：用于 IOC 共享和威胁情报管理 # 架构 ``` +------------------+ | Suspicious File | +------------------+ | v +------------------+ | YARA Analysis | +------------------+ | v +------------------+ | AI/ML Detection | +------------------+ | v +------------------+ | CAPE Sandbox | +------------------+ | v +------------------+ | IOC Extraction | +------------------+ | v +------------------+ | MISP Integration | +------------------+ ``` # 功能特性 - 使用 YARA 规则进行静态恶意软件检测 - PE 文件特征提取 - 基于 AI 的恶意软件分类 - 基于熵的混淆检测 - 自动化 CAPE 沙箱执行 - 恶意软件行为分析 - IOC 提取与丰富 - MISP 威胁情报集成 - MITRE ATT&CK 映射 - 自动化恶意软件分诊工作流 - 对分析师友好的报告系统 # 使用的技术 | 技术 | 用途 | |---|---| | Python | 后端开发 | | YARA | 静态恶意软件检测 | | Scikit-learn / XGBoost | 机器学习 | | PEFile | PE 分析 | | CAPE Sandbox | 动态恶意软件分析 | | MISP API | 威胁情报 | | Flask / FastAPI | Web 后端 | | PostgreSQL | 数据库 | | MITRE ATT&CK | 威胁映射 | # 检测工作流 1. 上传可疑文件 2. 生成 SHA256 哈希 3. 执行 YARA 静态分析 4. 提取 PE 和基于熵的特征 5. 运行 AI/ML 分类 6. 在 CAPE 沙箱中执行文件 7. 分析运行时行为 8. 提取入侵指标 (IOC) 9. 将情报推送到 MISP 10. 生成最终分析报告 # 项目结构 ``` Hybrid-Malware-Platform/ │ ├── yara_rules/ │ ├── ransomware.yar │ ├── trojan.yar │ └── spyware.yar │ ├── ml_model/ │ ├── train_model.py │ ├── feature_extractor.py │ └── malware_classifier.pkl │ ├── sandbox/ │ ├── cape_integration.py │ └── behavior_parser.py │ ├── misp/ │ ├── misp_push.py │ └── ioc_extractor.py │ ├── dashboard/ │ ├── app.py │ └── templates/ │ ├── samples/ │ ├── reports/ │ ├── requirements.txt │ └── README.md ``` # 安装 ## 克隆仓库 ``` git clone https://github.com/yourusername/hybrid-malware-platform.git cd hybrid-malware-platform ``` # 安装依赖 ``` pip install -r requirements.txt ``` # 必需的 Python 库 ``` pip install yara-python pefile pandas scikit-learn flask requests joblib ``` # 运行项目 ## 启动后端 ``` python app.py ``` # YARA 规则示例 ``` rule Suspicious_Payload { strings: $a = "powershell" $b = "cmd.exe" $c = "vssadmin delete shadows" condition: any of them } ``` # AI 恶意软件分类 机器学习模块使用提取的 PE 特征，例如： - 熵 - 导入的 DLL - API 调用 - 节名称 - 文件大小 - 字节分布 - 操作码频率 支持的模型： - 随机森林 - XGBoost - 支持向量机 (SVM) # CAPE 沙箱分析 CAPE Sandbox 用于： - 行为监控 - 进程注入检测 - 网络流量分析 - 内存转储 - Payload 提取 - 动态 IOC 收集 # MISP 集成 提取的 IOC 会自动推送到 MISP： - SHA256 哈希 - 域名 - IP 地址 - URL - 注册表键 - 恶意软件家族标签 # MITRE ATT&CK 映射 该平台将恶意软件行为映射到 ATT&CK 技术。 示例： | 技术 ID | 描述 | |---|---| | T1055 | 进程注入 | | T1027 | 混淆文件 | | T1105 | 入口工具传输 | # 未来改进 - 实时端点监控 - SIEM 集成 - 自动化 YARA 规则生成 - 基于 LLM 的恶意软件解释 - 云沙箱部署 - 行为异常检测 - 实时威胁情报流 # 安全警告 ⚠️ 警告： 本项目处理潜在恶意文件。 切勿在以下环境中执行恶意软件样本： - 个人系统 - 生产机器 - 非隔离环境 始终使用： - 虚拟机 - 隔离的实验室环境 - 快照恢复 - 受限网络 # 教育用途 本项目严格用于： - 网络安全研究 - 恶意软件分析训练 - 学术项目 - 威胁情报研究 # 参考文献 - YARA 文档 https://yara.readthedocs.io/ - CAPE Sandbox https://capev2.readthedocs.io/ - MISP 项目 https://www.misp-project.org/ - MITRE ATT&CK https://attack.mitre.org/ # 作者 Shinu Raveendran 网络安全 | 恶意软件分析 | 威胁情报 | AI 安全

标签：AI驱动, AMSI绕过, Apex, ATT&CK映射, CAPE Sandbox, DAST, DNS 反向解析, FTP漏洞扫描, IOC提取, PE文件分析, Python, YARA, 云安全监控, 云资产可视化, 威胁情报, 威胁检测, 安全编排, 开发者工具, 恶意样本分析, 恶意软件分析, 插件系统, 搜索语句（dork）, 数字取证, 无后门, 无线安全, 机器学习, 沙箱分析, 测试用例, 混合分析平台, 网络信息收集, 网络安全, 网络安全审计, 自动分类, 自动化脚本, 逆向工具, 速率限制处理, 隐私保护, 静态分析