sierengowskisierengowski-cpu/Bifrost

## Bifrost 目前的状态 Bifrost 是一个为 Linux 构建的开源 AI 驱动的端点检测与响应系统。它实时监控您的网络，使用本地 AI 推理对威胁进行分类，并且可以在您明确配置后采取自主防御行动。 这是一个**本地优先**的技术栈： - **分析无需依赖云** - **无需账户** - **无需外部 SaaS 来对事件进行分类** - **经过真实攻击者测试，而非模拟流量** Bifrost 将 Python Guardian 后端、原生 Tauri 桌面应用程序、本地 Ollama 推理、欺骗陷阱、事件追踪、攻击者指纹识别和多通道告警整合到一个 Linux 原生的防御平台中。 ## 真实世界验证 - 从真实攻击者处捕获了 **23,000 多个事件** - 追踪了 **64 多个唯一的攻击者 IP** - **Doppelgänger 检测**识别出使用 **30 多个 IP 掩码**的 **6 个行为者** - 捕获的真实恶意软件：**Redtail 加密挖矿机**、**mdrfckr SSH 后门僵尸网络**和 **DNS 隧道 C2** - **首要攻击者：** 伊朗 — `91.40.62.224`，命中 **3,964+ 次** ## 核心架构 ### Guardian Guardian 是 Bifrost 的 Python 后端和运营核心。 它从以下来源摄取遥测数据： - **Cowrie 蜜罐** - **auditd** - **进程监视器** 它使用 **Ollama** 和以下本地模型对每个事件进行分类： - `qwen2.5:1.5b-instruct` Guardian 作为 **systemd 服务**运行，并提供桌面应用程序所需的数据。 ### 桌面应用程序 桌面客户端使用以下技术构建： - **Tauri v2** - **React** - **TypeScript** - **Vite** 目前它被记录并打包为 **Arch Linux 原生**应用程序。 面向用户的安装路径优先级： 1. **AUR 包：** `bifrost-bin` 2. **从源码构建** ## 该应用程序目前包含的功能 ### 概览 概览页面提供： - 总事件数 - 事件数（安全事件） - 拦截百分比 - 唯一攻击者 - 活动时间线 - 近期事件 ### Heimdall 发言 一个自然语言 AI 安全态势摘要层，能够： - 用通俗易懂的语言描述安全态势 - 支持时间范围：**1H / 24H / 7D / 30D / ALL** - 包含一个 **Ask Heimdall** 面板，用于自然语言安全问答 ### 事件 完整的事件日志，包含： - 严重程度 - MITRE 技术 - 攻击者 IP - 已采取的行动 ### 攻击者 追踪 **64 多个攻击者**，并包含使用以下技术的 **Doppelgänger 检测**： - **HASSH** - **JA4** 这用于识别在多个 IP 地址间轮换的同一行为者。 ### 实时监控 安全事件的实时流。 ### 时间线 观察到的攻击活动的时间视图。 ### MITRE ATT&CK 完整的面向框架的检测视图，包含： - 映射的技术 - 简明易懂的解释 ### Gjallarhorn 用于严重告警的 Nine Realms 多通道广播器： - **Asgard** — journald - **Midgard** — 桌面通知 - **Vanaheim** — Discord / Slack webhook - **Muspelheim** — Twilio SMS - **Helheim** — 自定义 HTTP endpoint ### Mjolnir 用于高可信度检测的欺骗陷阱系统： - 伪造的 AWS 凭据 - 伪造的数据库配置 - 诱饵 SSH 密钥 - Canary 文档 对这些资产的任何访问都会触发高严重性警报。 ### Analyst Matrix 本地 AI 推理面板，显示： - 活动模型 - 响应时间 - 成功率 - 来自近期分析的 MITRE 标签 它还支持按需触发分析。 ### 设置 设置目前记录了对以下内容的支持： - Guardian 行为：**learning / dry run / autonomous** - 置信度阈值 - 控制面板偏好设置 - 安全控制，包括通过 **fprintd / Howdy** 支持的强密码和生物识别 - 个性化设置，包括操作员姓名和非正式的问候风格 - Guardian 状态卡 ### 屏幕保护程序 两种已记录的模式： - **Rainbow Bridge** — 动画模式 - **Ops Center** — 带有多个滚动流、实时统计、顶级对手和攻击类型跑马灯的全屏实时攻击数据显示 ### 跑马灯 一个平滑滚动的顶部栏，显示： - 模型 - RAM - CPU - 正常运行时间 - 活动攻击者 - 今日事件数 - 拦截 % ### 个性化问候 根据一天中的时间自动感知威胁等级，并提供可选的非正式问候。 示例： ### 隐藏的 BIFROST 终端 在终端中输入 `BIFROST` 可解锁隐藏的 ASCII 高级用户控制台，用于： - 高级配置 - 原始日志查看 - IP 封禁 / 解封 - 模式切换 ## 环境要求 - **Arch Linux** - **Python 3.11+** - **pnpm** - **Rust / Cargo** - **Ollama** - Ollama 模型：**`qwen2.5:1.5b-instruct`** ## 安装 ### AUR（推荐） ``` yay -S bifrost-bin ``` 以后使用以下命令更新： ``` yay -Syu ``` ### 从源码构建 ``` git clone https://github.com/sierengowskisierengowski-cpu/Bifrost cd Bifrost/app/bifrost-desktop pnpm install pnpm tauri build ``` ## 目前的运行方式 ### Guardian 运行时 Guardian 旨在作为后台 **systemd** 服务运行： ``` sudo systemctl enable --now bifrost-guardian.service ``` 当前的服务条目启动： ``` /usr/bin/bifrost-guardian --dashboard --dashboard-host 127.0.0.1 --dashboard-port 8766 ``` ### 桌面端运行时 桌面应用程序是一个基于 React 前端的 **Tauri v2** 外壳。 当前的构建/运行时特征： - `vite.config.ts` 使用 `base: "./"`，以便在 Tauri runtime 中正确加载资产 - `tauri.conf.json` 在开发环境中接入 `pnpm dev`，并在桌面打包前接入 `pnpm build` - 桌面包脚本目前包括： - `pnpm dev` - `pnpm build` - `pnpm desktop:dev` - `pnpm desktop:build` - `pnpm tauri` - 前端开发服务器端口为 **5173** - Guardian 控制面板/API 端口为 **8766** ### 桌面端构建说明 ``` cd app/bifrost-desktop pnpm install pnpm tauri build ``` 当前构建的重要说明： - **`vite.config.ts` 已经使用了正确的 `base: "./"` 修复** 用于 Tauri 资产加载 - 如果您的环境提示信任原生构建脚本，请在构建之前运行 **`pnpm approve-builds`** - 本代码库应被记录为 **Arch Linux 原生优先** ## 屏幕截图 屏幕截图位于 `docs/screenshots/` 中。 当前代码库的屏幕截图应被视为**用于验证的预发布捕获**，而不是通用的占位图。如果在这些捕获之后任何 UI 发生了更改，请在公开发布之前刷新它们。 ## 安全性与默认安全设置 Bifrost 应仅在授权的防御环境中运行。 在启用自主操作之前建议的姿态： - 验证您的遥测数据源 - 核实您的置信度阈值 - 审查告警路由目的地 - 验证欺骗资产是有意放置的 - 首先在 dry-run 模式下测试响应操作 ## 路线图 — v0.4.0 - **Hofund AI 助手** — 独立的、带有讽刺意味的北欧 AI，以其独特的声音进行监控和告警 - **WireGuard 远程访问集成** - **GNI T-800 颅骨硬件集成** - **提交至 Flathub** - **通过 AUR 自动更新** ## 许可证 MIT 许可证。详见 `LICENSE`。

标签：AI风险缓解, AMSI绕过, EDR, IP 地址批量处理, LLM评估, Ollama, Tauri, 可视化界面, 威胁检测, 本地AI推理, 端点检测与响应, 脆弱性评估, 脱壳工具, 蜜罐, 证书利用, 逆向工具