ravi00434/Hybrid_malware_detection_framework
GitHub: ravi00434/Hybrid_malware_detection_framework
基于CAPEv2沙箱和机器学习的恶意软件动态行为分析与自动检测框架。
Stars: 0 | Forks: 0
## 📄 README.md
# AI 驱动的恶意软件行为分析
本项目使用 Cuckoo Sandbox (CAPEv2)、机器学习模型和数据可视化工具,构建了一个基于行为的恶意软件自动检测流水线。
## 🎯 项目目标
- 使用 CAPEv2 搭建安全环境,用于恶意软件动态分析。
- 自动提交、提取行为,并对恶意文件和良性文件进行标记。
- 训练并使用 Random Forest 模型来检测恶意行为。
- 可选的 Elasticsearch + Kibana 仪表板集成。
## 📁 项目结构
```
ai-malware-analysis/
├── CAPEv2/ # Cuckoo Sandbox fork for behavior logging
├── samples/
│ ├── malware/ # Place malware .exe samples
│ └── benign/ # Place benign .exe samples
├── scripts/
│ ├── run_batch_analysis.py
│ ├── data_extractor.py
│ ├── train_model.py
│ └── index.html # Simple UI (optional)
├── model/
│ └── model.pkl # Trained ML model
├── images/ # Screenshots for README or dashboard
├── requirements.txt
├── .gitignore
├── LICENSE
└── README.md
```
## ⚙️ 安装说明
1. **克隆仓库**
```
git clone git@github.com:ckvishwa/ai-malware-analysis.git
cd ai-malware-analysis
```
2. **设置虚拟环境**
```
python3 -m venv cuckoo-env
source cuckoo-env/bin/activate
pip install -r requirements.txt
```
3. **安装并配置 CAPEv2**
- 克隆 [https://github.com/kevoreilly/CAPEv2](https://github.com/kevoreilly/CAPEv2)
- 配置 `cuckoo.conf`、`virtualbox.conf`
- 使用 CAPE agent 设置虚拟机
4. **启动服务**
```
sudo systemctl start mongodb
sudo systemctl start elasticsearch
sudo systemctl start kibana
```
5. **运行 CAPEv2 API**
```
cd CAPEv2/
python3 utils/api.py
```
## 🚀 使用方法
1. **添加样本:** 将 `.exe` 文件放入 `samples/malware/` 和 `samples/benign/` 中
2. **运行批量分析**
```
python3 scripts/run_batch_analysis.py
```
3. **提取特征**
```
python3 scripts/data_extractor.py
```
4. **训练 ML 模型**
```
python3 scripts/train_model.py
```
5. **通过 UI 或 CLI 进行测试**
```
firefox scripts/index.html
```
## 🧠 学习成果
- 使用 CAPE 进行动态恶意软件分析
- Python 自动化流水线
- 特征提取和 ML 分类
- 使用 Kibana 进行数据可视化
## 📽️ 演示清单
- ✅ 实时 CAPE 提交
- ✅ 日志提取
- ✅ 模型训练和预测
- ✅ 仪表板与 UI(可选)
## ⚠️ 免责声明
**务必仅在隔离的虚拟机中运行恶意软件。切勿在生产系统中运行或连接到互联网。**
标签:AMSI绕过, Apex, CAPEv2, Cuckoo Sandbox, DAST, Elasticsearch, Python, VirtualBox, 二进制分析, 云安全运维, 人工智能, 可视化大屏, 威胁检测, 安全运营, 恶意样本, 恶意软件分析, 扫描框架, 数据提取, 无后门, 无线安全, 机器学习, 沙箱, 流量嗅探, 用户模式Hook绕过, 网络信息收集, 网络安全, 网络安全审计, 自动化管道, 越狱测试, 逆向工具, 随机森林, 隐私保护