AnorialTheReal/otx-sec
GitHub: AnorialTheReal/otx-sec
OTX-Sec 是一个整合多源威胁情报的开源 Linux 防病毒平台,提供文件扫描、进程与网络监控、静态分析及 YARA 检测能力。
Stars: 0 | Forks: 0
# README.md
# OTX-Sec
许可证:AGPL-3.0-only
开源防病毒与威胁情报平台
由 **Anorial** 创建
OTX-Sec 是一个专注于 Linux 系统的开源防病毒与威胁情报平台。
OTX-Sec 的目标是将传统的恶意软件检测技术与来自多个提供商的现代威胁情报相结合,包括:
* AlienVault OTX
* VirusTotal
* MalwareBazaar
* URLHaus
OTX-Sec 的设计理念是透明、尊重隐私和社区驱动。
本项目采用 GNU Affero General Public License v3 (AGPLv3) 授权,并打算永久保持开源。
# 当前状态
版本:
0.1.0-alpha
状态:
早期 Alpha
OTX-Sec 目前已经能够:
* 监控文件
* 监控进程
* 监控网络活动
* 执行威胁情报查询
* 运行静态分析
* 运行可选的 YARA 扫描
* 生成安全事件
* 通过图形界面展示发现的问题
该软件仍处于实验阶段,不应用作保护生产系统的唯一安全解决方案。
# 功能
## 威胁情报
支持的提供商:
* AlienVault OTX
* VirusTotal
* MalwareBazaar
* URLHaus
支持的指标:
* SHA256 哈希值
* IP 地址
* 域名
* URL
## 检测
当前的检测方法:
* ClamAV 集成
* SHA256 哈希计算
* 威胁情报查询
* 静态文件分析
* 熵分析
* 可疑字符串检测
* 可选的 YARA 扫描
## 监控
可用的监控器:
* 文件扫描代理
* 进程监控器
* 网络监控器
* 持久化监控器
* 完整性检查器
* 审计导出器
## 事件处理
* 事件收集
* 事件引擎
* 风险评分
* 易读的摘要
* JSON 导出
* 隔离支持
## 图形界面
OTX-Sec 目前包含:
* 事件概览
* 安全事件概览
* 威胁情报设置
* 进程监控视图
* 网络监控视图
* 静态分析结果
* YARA 结果
# 项目结构
```
otx-sec/
├── app/
├── config/
├── db/
├── docs/
├── engines/
├── integrations/
├── monitors/
├── packaging/
├── rules/
├── tests/
├── tools/
└── exports/
```
目录概览:
app/
* GUI
* 后端桥接
engines/
* 威胁引擎
* 风险引擎
* 事件引擎
* 静态分析引擎
* YARA 引擎
integrations/
* OTX
* VirusTotal
* MalwareBazaar
* URLHaus
monitors/
* 网络监控器
* 进程监控器
* 持久化监控器
* 审计监控器
tools/
* 代理
* 基线生成
* 完整性检查
* 数据库写入
* 日志导入
# 安装说明
克隆仓库:
```
git clone https://github.com/AnorialTheReal/otx-sec.git
cd otx-sec
```
创建虚拟环境:
```
python -m venv venv
source venv/bin/activate
```
安装依赖:
```
pip install -r requirements.txt
```
复制配置:
```
cp config/settings.example.json config/settings.json
```
启动 GUI:
```
python app/frontend.py
```
# 威胁引擎 CLI
哈希查询:
```
python -m engines.threat_engine hash
```
IP 查询:
```
python -m engines.threat_engine ip 8.8.8.8
```
域名查询:
```
python -m engines.threat_engine domain example.com
```
URL 查询:
```
python -m engines.threat_engine url http://example.com/
```
# 静态分析
示例:
```
python -m engines.static_analysis /bin/ls
```
功能:
* 文件类型检测
* 熵值计算
* 加壳二进制文件检测
* 可疑字符串检测
# YARA
YARA 支持是可选的。
示例:
```
python -m engines.yara_engine /bin/ls
```
如果未安装 yara-python,OTX-Sec 将继续运行,不会崩溃。
# 安全原则
OTX-Sec 遵循以下原则:
* 开源优先
* 用户控制
* 本地优先
* 无隐藏遥测
* 无硬编码的 API 密钥
* 无硬编码的用户名
* 透明的检测逻辑
* 仅用于防御性安全
# 许可证
GNU Affero General Public License v3.0 (AGPLv3)
本项目将保持开源。
根据 AGPLv3 许可证,所有修改后的托管版本也必须提供源代码。
# 开发时间
| 贡献者 | 小时数 |
| ----------- | ----- |
| Anorial | 53 |
欢迎在参与贡献时添加您的姓名和耗时。
# 免责声明
OTX-Sec 是实验性软件。
可能会出现误报和漏报。
在删除或隔离文件之前,请务必验证检测结果。
**由 Anorial 满怀热情地制作。**
标签:YARA, 云资产可视化, 威胁情报, 安全工具, 开发者工具, 网页爬虫, 逆向工具, 防病毒软件