ahmedjordn/NeuroEML

# NeuroEML：高级电子邮件威胁情报平台 NeuroEML 是一个高性能、并发电子邮件安全分析平台，旨在检测复杂的钓鱼攻击、身份欺骗和恶意负载。它结合了确定性安全引擎、双遍历本地大型语言模型（LLM）推理和实时开源情报（OSINT）丰富化，为任何 `.eml` 文件提供全面的威胁概要。 ## 核心架构 该平台在六层分析管道上运行，使用 Python 的 `concurrent.futures.ThreadPoolExecutor` 优化速度。 ### 身份引擎 检测发件人伪装、显示名欺骗和高级 Punycode/homograph 攻击。 ### 标题引擎 验证 SPF、DKIM 和 DMARC 认证协议，同时将电子邮件跳转轨迹映射到识别原始 IP。 ### URL 引擎 并发提取、展开和评估所有嵌入链接的恶意模式和过多的重定向链。 ### OSINT 丰富化 并行查询 VirusTotal 和 AbuseIPDB，将提取的域名、IP 和文件哈希与全球威胁情报数据库进行交叉引用。 ### AI 概率器（心理） 利用本地 LLM 推理来识别社会工程学策略，包括紧迫性、恐惧诉求和虚假权威。 ### AI 审计员（技术） 通过 LLM 分析原始 HTML 主体，以检测技术混淆、隐藏跟踪像素、base64 负载和凭证收集表单。 ## 技术栈 * **前端:** Streamlit（自定义“Aurora”玻璃形态 UI） * **并发:** 原生 Python 线程（`ThreadPoolExecutor`）用于 I/O 绑定 API 和 URL 解析任务 * **AI 推理:** Ollama（本地 LLM 执行以保护数据隐私和零成本推理） * **威胁情报 API:** VirusTotal API v3，AbuseIPDB API v2 ## 先决条件 在安装 NeuroEML 之前，请确保您的系统已安装以下内容： * Python 3.9 或更高版本 * Ollama（本地运行） * VirusTotal 和 AbuseIPDB 的有效 API 密钥 ## 安装 ### 1. 克隆仓库 ``` git clone https://github.com/ahmedjordn/NeuroEML.git cd NeuroEML ``` ### 2. 创建并激活虚拟环境 ``` python -m venv venv # 在 Windows 上 venv\Scripts\activate # 在 macOS/Linux 上 source venv/bin/activate ``` ### 3. 安装依赖项 ``` pip install -r requirements.txt ``` ### 4. 通过 Ollama 拉取所需的 LLM 为了获得最佳速度和准确性，建议使用较小但功能强大的模型。 ``` ollama pull mistral ``` ## 配置 在项目的根目录中创建一个 `.env` 文件。不要使用 `.env.txt`。 应用程序依赖于 `python-dotenv` 在运行时之前安全地将凭据加载到环境中。 ``` VIRUSTOTAL_API_KEY=your_virustotal_api_key_here ABUSEIPDB_API_KEY=your_abuseipdb_api_key_here OLLAMA_HOST=http://localhost:11434 OLLAMA_MODEL=mistral OLLAMA_TIMEOUT=600 ``` ## 使用 ### 1. 确保 Ollama 正在运行 在后台启动 Ollama 服务。 ### 2. 启动仪表板 ``` streamlit run ui/streamlit_app.py ``` ### 3. 打开应用程序 导航到： ``` http://localhost:8501 ``` ### 4. 分析电子邮件 使用侧边栏界面上传 `.eml` 文件。 应用程序将立即处理文件，并在所有并发引擎中显示最终安全报告。 ## 导出功能 NeuroEML 支持全面的报告。 分析完成后，用户可以导出： ### JSON 报告 包含以下内容的完整、结构化输出： * 引擎发现 * AI 分析结果 * 风险评分 * OSINT 丰富化数据 ### IOCs CSV 包含所有高风险威胁指标（IOCs）的格式化列表，包括： * IP 地址 * URL * 文件哈希 由 OSINT 丰富化模块标记。 ## 免责声明 本工具仅设计用于授权安全测试、事件响应和教育目的。 用户负责确保符合适用的法律、法规、数据隐私要求和 API 使用限制。

标签：AI风险缓解, Kubernetes, 逆向工具