Ayan1324/AI-Powered-Malware-Behavior-Analysis-Sandbox

# 基于 AI 的恶意软件行为分析沙箱 一个基于 AI 的安全沙箱，它在隔离的 Docker 容器中执行可疑的 Python 脚本，监控运行时行为，提取遥测数据，并生成基于机器学习的风险评估。 ## 概述 该项目提供了一个用于分析未知脚本行为的安全环境。系统不依赖特征码，而是通过监控文件活动、进程创建、网络活动和资源消耗来进行行为分析。 收集到的遥测数据将被转换为机器学习特征，用于生成行为风险评分和分类。 ## 功能 ### 安全沙箱执行 * 基于 Docker 的隔离 * 资源限制（CPU 和内存） * 执行超时 * 自动清理容器 ### 行为监控 * 创建的文件 * 修改的文件 * 删除的文件 * 生成的进程 * 网络活动 * CPU 使用率 * 内存使用率 * 执行时间 ### 机器学习风险分析 * 特征提取 pipeline * 随机森林分类器 * 风险评分引擎 * 置信度得分生成 ### 仪表板 * 脚本上传界面 * 行为分析可视化 * 历史报告 * 风险评估结果 ## 架构 ``` User Upload │ ▼ FastAPI Backend │ ▼ Docker Sandbox │ ▼ Telemetry Collection │ ▼ Feature Engineering │ ▼ ML Risk Engine │ ▼ Report Generation │ ▼ React Dashboard ``` ## 技术栈 ### 前端 * React * Tailwind CSS ### 后端 * FastAPI * SQLAlchemy * Pydantic ### 沙箱 * Docker ### 机器学习 * Scikit-learn * Pandas * NumPy ### 数据库 * SQLite ## 项目结构 ``` ai-malware-sandbox/ │ ├── backend/ │ ├── routes/ │ ├── services/ │ ├── models/ │ ├── database.py │ └── main.py │ ├── frontend/ │ ├── sandbox/ │ ├── uploads/ │ ├── reports/ │ ├── dataset/ │ ├── model/ │ └── simulations/ ├── benign_tool.py ├── mass_file_creator.py ├── process_spawner.py └── network_activity.py ``` ## 模拟脚本 该代码库包含安全的行为模拟脚本，用于验证遥测和分析 pipeline。 | 脚本 | 用途 | | ------------------- | ---------------------------- | | benign_tool.py | 模拟正常的应用程序行为 | | mass_file_creator.py | 模拟海量文件创建 | | process_spawner.py | 模拟子进程创建 | | network_activity.py | 模拟出站网络活动 | 这些脚本是无恶意的，仅用于测试沙箱。 ## 遥测数据收集 沙箱会收集运行时遥测数据，例如： ``` { "files_created": 25, "files_modified": 4, "processes_spawned": 3, "network_requests": 5, "execution_time": 1.8 } ``` 这些遥测数据构成了机器学习特征向量的基础。 ## 特征工程 收集到的遥测数据将被转换为数值特征： ``` [ files_created, files_modified, files_deleted, processes_spawned, network_requests, cpu_usage, memory_usage, execution_time ] ``` ML 模型使用这些特征来评估行为风险。 ## 风险评估 系统会生成： ``` { "risk_score": 82, "risk_level": "High Risk", "confidence": 0.91 } ``` 其目的是进行行为风险评估，而不是明确的恶意软件检测。 ## 运行项目 ### 后端 ``` cd backend python -m venv .venv source .venv/bin/activate # Windows # .venv\Scripts\activate pip install -r requirements.txt uvicorn main:app --reload ``` 后端： ``` http://localhost:8000 ``` API 文档： ``` http://localhost:8000/docs ``` ### 前端 ``` cd frontend npm install npm run dev ``` 前端： ``` http://localhost:5173 ``` ## 未来改进 * 生成 PDF 报告 * 用户身份验证 * 高级遥测数据收集 * Docker Compose 部署 * 云部署 * 威胁情报集成 * 可解释的 AI 风险推理 * 开发了一个基于 Docker 的沙箱，用于隔离执行和监控可疑脚本。 * 构建了 FastAPI 后端 API 和 React dashboard，用于行为分析可视化。 * 利用运行时的文件、进程和网络活动日志，实现了基于机器学习的风险评分。 * 设计了自定义的遥测收集和特征工程 pipeline，用于行为风险评估。    ## 免责声明 本项目仅供教育和研究目的使用。本代码库不包含真实的恶意软件，也不应用于执行恶意软件。

标签：Apex, AV绕过, DAST, Docker, FastAPI, URL发现, 动态沙箱, 安全检测, 安全防御评估, 恶意软件分析, 机器学习, 网络信息收集, 请求拦截, 逆向工具