Broken-Frog/Vigil-Core

# VigilCore 取证平台 **VigilCore** 是一个企业级、综合性的网络安全分析平台，具备高保真的网络和恶意软件取证管道。专为安全运营中心 (SOC) 和事件响应团队设计，提供实时威胁检测、高级遥测关联以及专业的情报驱动仪表板。 ## 🚀 核心特性 ### 1. 恶意软件取证管道 一个经过深度优化的多阶段静态和动态分析引擎，适用于二进制文件、脚本和内存转储。 * **智能域名信誉引擎**：提取网络 IOC，并在毫秒内使用启发式和熵分析对其进行评分。 * **集成威胁情报**：自动将可疑特征与 **AlienVault OTX**、**AbuseIPDB** 和 **MalwareBazaar** 进行交叉比对。 * **Redis 缓存层**：确保对先前分析过的 IP、哈希和域名进行 O(1) 瞬时查找，大幅减少 API 速率限制，并将扫描时间从几小时缩短到几分钟。 * **YARA 规则集成**：针对海量企业级 YARA 签名集，执行全文件验证和深度提取的 payload 扫描。 * **Payload 提取**：从较大的转储中动态提取隐藏的可执行文件、shellcode 存根和加密区域。 ### 2. 网络取证管道 一个大规模 PCAP 分析引擎，原生支持处理 20GB+ 的捕获文件。 * **深度包检测**：利用 Zeek 和 Suricata 规则集重建加密流量，识别 JA3 SSL/TLS 异常指纹，并检测多协议暴力破解。 * **SQLite 支持的状态管理**：使用分块生成器流式传输大规模数据，防止 RAM 溢出和系统崩溃。 * **攻击叙事生成**：将分散的网络事件关联成一个连贯的、人类可读的网络杀伤链 "攻击故事"。 ### 3. 统一 SOC 仪表板 (React + Flask) 一个专业设计的、高度响应的指挥中心。 * **双饼图分析**：实时可视化分布严重性级别和威胁分类。 * **实时进度可观察性**：绑定到 Python 后端流，直接在 UI 中显示 `tqdm` 日志。 * **哈希查询面板**：提供 SHA-256 和 MD5 指纹的即时概览。 * **响应式 React 架构**：使用 Axios 实现无缝后端同步，并使用健壮的 Error Boundaries 实现零崩溃 UI 处理。 ## 🛠️ 技术栈 * **前端**：React.js, Tailwind CSS, Recharts, Vite (动态 UI 路由和可视化)。 * **后端**：Python 3, Flask (REST API，子进程管理)。 * **取证引擎**：YARA, Volatility (内存提取), Zeek/Suricata (网络)。 * **状态与缓存**：Redis (威胁情报缓存), SQLite (大规模数据分块)。 ## ⚙️ 安装与执行计划 ### 前置条件 1. **Python 3.10+** (带有 `pip` 和 `venv`) 2. **Node.js 18+** (带有 `npm` 或 `yarn`) 3. **Redis Server** (在默认端口 `6379` 上本地运行) 4. **Git** ### 阶段 1：环境搭建 1. 克隆仓库： git clone https://github.com/yourusername/vigilcore-platform.git cd vigilcore-platform 2. 设置 Python 虚拟环境： python3 -m venv env source env/bin/activate pip install -r requirements.txt 3. 设置前端： cd frontend npm install cd .. 4. 验证 Redis 处于活动状态： sudo systemctl status redis-server ### 阶段 2：配置与 API 密钥 要在网络和恶意软件管道中启用完整的威胁情报链，请在您的终端环境中导出您的 API 密钥： ``` export VT_API_KEY="your_virustotal_key_here" export OTX_API_KEY="your_alienvault_key_here" export ABUSEIPDB_API_KEY="your_abuseipdb_key_here" ``` *(注意：MalwareBazaar 不需要密钥，可自动运行。VT_API_KEY 专门由网络取证管道使用。)* ### 阶段 3：启动平台 该平台使用统一启动器，可异步自动启动 React 开发服务器和 Flask 后端。 ``` python3 run_platform.py ``` * **前端**：`http://localhost:5173` * **后端**：`http://localhost:5000` ### 阶段 4：操作 1. 导航至 **Malware** 或 **Network** 取证选项卡。 2. 上传 `.mddramimage` 内存转储或 `.pcap` 捕获文件。 3. 平台将生成后端子进程，并动态将日志流式传输到 UI。 4. 完成后，高保真指标、图表以及 YARA/IOC 表格将自动填充。 ## 🛡️ 架构与数据流 1. **上传**：React 前端将 multipart 表单数据发送至 Flask `/api/upload`。 2. **编排**：`app.py` 通过异步子进程触发 `run_cyart_malware()` 或 `run_network_pipeline()`，跟踪 PID 并将进度记录到 SQLite (`instance/app.db`) 中。 3. **分析**： - *恶意软件*：`dump_validator.py` -> `region_scanner.py` -> `payload_extractor.py` -> `ioc_extractor.py` -> `report_generator.py` - *网络*：提取 PCAP，流式传输至 SQLite，通过 Suricata/Zeek 日志进行丰富，应用威胁模型。 4. **报告**：JSON 产物在 `./reports/` 中安全生成，并通过 API 获取以填充 React 可视化组件。 ## 📜 许可证 这是一个在 **MIT License** 下发布的开源项目。您可以自由地出于教育、研究和商业目的使用、修改和分发本软件。非常欢迎贡献和 Pull requests！

标签：AbuseIPDB, APT检测, AWS, Cyber Kill Chain, DAST, DNS信息、DNS暴力破解, DNS 反向解析, DPI, Flask, IP 地址批量处理, JA3指纹, MalwareBazaar, Metaprompt, PCAP分析, React, Redis, Rootkit, SecList, SOC平台, SQLite, Suricata, Syscalls, YARA规则, Zeek, 仪表盘, 企业级安全, 内存取证, 动态行为分析, 威胁情报, 安全运营中心, 库, 应急响应, 开发者工具, 恶意软件分析, 搜索引擎查询, 数字取证, 深度包检测, 现代安全运营, 网络IOC提取, 网络信息收集, 网络安全, 网络安全分析, 网络映射, 网络杀伤链, 网络流量分析, 自动化脚本, 逆向工具, 错误基检测, 隐私保护, 静态代码分析, 高级持续性威胁