LuthandoCandlovu/forensics-platform

GitHub: LuthandoCandlovu/forensics-platform

一个集成YARA、Windows事件日志和机器学习的AI自动化事件响应数字取证平台。

Stars: 0 | Forks: 0

Slice Banner

Typing SVG

Stars Forks PowerShell Python sklearn YARA License Status

Snake animation


## 🖼️ 平台预览

AI Forensics Platform Preview
📌 Platform preview — AI-generated forensic HTML report dashboard.
To activate: save your screenshot as images/preview.png and push it to your repo.

## 🧬 摘要 本平台是一个端到端的**自动化事件响应工具包**,它将经典的取证收集技术与**机器学习归因引擎**相结合。它编排基于 YARA 的恶意软件扫描、Windows 事件日志异常检测、电子邮件钓鱼分析和文件系统时间线重建——然后将所有证据输入一个 **RandomForest 机器学习模型**,该模型对威胁进行分类,输出置信分数,并生成包含可操作修复步骤的人类可读 HTML 报告。 无论你是**安全分析师**、**蓝队防御者**,还是**学习 DFIR 的学生**,这个平台都能让你在一个命令中获得生产级的调查流水线。

Cyber Analysis GIF
⚡ Automated forensic investigation — from raw evidence to AI report in seconds

## 🌐 背景 网络威胁的数量和复杂性正以前所未有的速度增长。传统的人工取证工作流无法跟上: - 🔺 每秒加密数千个文件的**勒索软件**活动 - 🔺 绕过传统垃圾邮件过滤器的**网络钓鱼邮件** - 🔺 利用合法系统工具的**Living-off-the-land** 攻击 - 🔺 埋没关键入侵指标的**日志噪声** 本项目旨在通过**模块化、AI 辅助的方法**正面应对这些挑战: | 挑战 | 我们的解决方案 | |-----------|-------------| | 人工恶意软件分类缓慢 | ⚡ 通过 `yara-python` 进行 YARA 规则扫描 | | 遗漏 Windows 安全事件 | 📋 自动检测 `4625` / `7045` 事件 | | 电子邮件钓鱼分析延迟 | 📧 解析 `.eml` 文件的头部、链接和附件 | | 没有统一的时间线 | 🕐 文件系统 + 进程事件关联 | | 威胁归因中的人为错误 | 🧠 带置信评分的 RandomForest 机器学习 | ## ✨ 功能

Scanning Radar GIF

| 模块 | 描述 | 输出 | |---|---|---| | 🛡️ **恶意软件扫描器** | 跨所有目录递归扫描文件的 YARA 规则 | `yara_scan_results.csv` | | 📋 **日志检测器** | 标记失败的登录 (`4625`) 和可疑的新服务 (`7045`) | `suspicious_logs.csv` | | 📧 **邮件分析器** | 从 `.eml` 文件中解析头部、嵌入式链接和附件 | `phishing_report.csv` | | 🕐 **时间线构建器** | 重建过去 7 天的文件系统 + 进程事件 | `forensic_timeline.csv` | | 🧠 **AI 归因器** | 带置信评分和修复步骤的机器学习威胁分类 | `AI_Report.html` | ## 📐 系统架构 ``` graph TD A[🖥️ PowerShell Orchestrator
Run-FullForensics_Fixed.ps1] --> B[🛡️ YARA Scanner
Invoke-YaraScan_Python.ps1] A --> C[📋 Log Detector
Detect-SuspiciousLogs_Fixed.ps1] A --> D[📧 Email Analyzer
Analyze-Email_Fixed.ps1] A --> E[🕐 Timeline Builder
Build-Timeline_Fixed.ps1] B --> F[yara-python + YARA rules] C --> G[Windows Event Logs
Security / System] D --> H[.eml evidence files] E --> I[FileSystem + Process Events] B & C & D & E --> J[(📁 CSV Evidence Store)] J --> K[🧠 AI Attribution Engine
ai_attribution.py] K --> L[📊 HTML Report
Threat · Confidence · Remediation] style A fill:#2c3e50,stroke:#1abc9c,color:white style K fill:#e74c3c,stroke:#c0392b,color:white style L fill:#27ae60,stroke:#2ecc71,color:white style J fill:#8e44ad,stroke:#9b59b6,color:white ``` ## 🚀 快速开始

Hacker Terminal GIF

### 1️⃣ 克隆并安装依赖项 ``` git clone https://github.com/LuthandoCandlovu/forensics-platform.git cd forensics-platform # 自动安装 yara-python、pandas、scikit-learn .\setup_forensics_fixed.ps1 ``` ### 2️⃣ 添加你的证据 ``` forensics-platform/ ├── suspicious_samples/ ← Drop malware samples here └── emails/ ← Drop .eml email files here ``` ### 3️⃣ 运行完整分析 ``` .\Run-FullForensics_Fixed.ps1 ``` ### 4️⃣ 查看 AI 报告 ``` # AI_Report.html 会在您的浏览器中自动打开 🌐 Threat: Ransomware Confidence: 87% Recommendations: Isolate host · Collect memory dump · Reset credentials ``` ## 🧠 AI 归因引擎

AI Neural Network GIF

当前模型使用的是基于合成样本训练的 **RandomForest 分类器**,用于演示流水线。请将 `ai_attribution.py` 替换为基于真实威胁情报源训练的生产级模型。 **计划升级:** - 🔬 基于真实 APT 数据集 (MITRE ATT&CK) 的 XGBoost / LightGBM - 🌐 集成实时威胁源的 FastAPI 后端 - 📊 带有深入查看证据功能的 React 仪表板 **AI 报告示例输出:** ``` { "threat_type": "Ransomware", "confidence": 0.87, "iocs_matched": 14, "recommendations": [ "Isolate affected host immediately", "Collect full memory dump (Volatility3)", "Reset all user credentials", "Notify incident response team" ] } ``` ## 📁 项目结构 ``` forensics-platform/ │ ├── 📜 Run-FullForensics_Fixed.ps1 # Main orchestrator ├── 📜 Invoke-YaraScan_Python.ps1 # YARA malware scanner ├── 📜 Detect-SuspiciousLogs_Fixed.ps1 # Windows Event Log detector ├── 📜 Analyze-Email_Fixed.ps1 # Phishing email analyzer ├── 📜 Build-Timeline_Fixed.ps1 # Forensic timeline builder ├── 🐍 ai_attribution.py # ML attribution engine ├── ⚙️ setup_forensics_fixed.ps1 # Dependency installer │ ├── 📂 images/ # Screenshots & preview images │ └── 🖼️ preview.png # ← your platform screenshot here ├── 📂 suspicious_samples/ # (user-added) malware samples ├── 📂 emails/ # (user-added) .eml files │ ├── 📊 *.csv # Generated evidence (gitignored) ├── 🌐 AI_Report.html # Generated AI report (gitignored) │ ├── 📄 README.md └── 🚫 .gitignore ``` ## 🛠️ 要求 | 要求 | 详情 | |---|---| | 🪟 Windows 操作系统 | 10 / 11 / Server 2016+ | | 💙 PowerShell | 5.1 或 7+ | | 🐍 Python | 3.8+ 且带 pip | | 🌐 互联网 | 仅首次安装依赖项时需要 | ## 🗺️ 发展路线图

GitHub Roadmap GIF

- [x] 🛡️ YARA 恶意软件扫描模块 - [x] 📋 Windows 事件日志检测 - [x] 📧 电子邮件钓鱼分析器 - [x] 🕐 取证时间线构建器 - [x] 🧠 带 HTML 报告的 AI 归因 - [ ] 🧩 Volatility3 内存取证集成 - [ ] 📈 真实的机器学习模型(基于 MITRE ATT&CK 数据集的 XGBoost) - [ ] 🌐 FastAPI 后端 REST API - [ ] ⚛️ 带有实时证据查看器的 React 仪表板 - [ ] 🐳 用于跨平台支持的 Docker 容器 ## ⚠️ 免责声明 (此处内容未提供,保持原样) ## 📄 许可证 本项目采用 **MIT 许可证**分发。更多信息请参见 [`许可证`](LICENSE)。 ## 👨‍💻 作者

Luthando Candlovu

   

Shark Footer

Footer Typing

标签:AI合规, Libemu, 逆向工具