AyushaH2005/DRISHTI-Dynamic-Reasoning-Interrogation-System-for-Heuristic-Threat-Identification

# DRISHTI ## 用于启发式威胁识别的动态推理与询问系统 这是一个由 AI 驱动的 Android 恶意软件分析和威胁情报平台，结合了**静态分析**、**动态沙箱执行**、**大型语言模型 (LLM)**、**机器学习**、**图神经网络**和**威胁情报**，用于检测、调查和解释复杂的 Android 威胁。 ## 概述 DRISHTI 是一个下一代网络安全平台，旨在分析那些通过混淆、加壳、动态代码加载、环境感知执行和高级反分析技术来逃避传统防病毒解决方案的 Android APK。 与仅提供恶意/良性判断的传统恶意软件扫描程序不同，DRISHTI 可执行自动化逆向工程、行为分析、威胁归因、MITRE ATT&CK 映射、IOC 提取和可解释的威胁报告。 该平台集成了生成式 AI、动态分析和机器学习，将恶意软件调查时间从数小时缩短至数分钟，同时通过有证据支持的推理保持了透明度。 ## 核心功能 ### 静态分析 * AndroidManifest.xml 分析 * 权限风险评估 * 导出组件检测 * Deep Link 漏洞分析 * 证书与签名分析 * API 调用检查 * 调用图构建 * 混淆检测 ### 动态恶意软件分析 * Android 沙箱执行 * 运行时行为监控 * Frida 插桩 * 网络流量检查 * SSL Pinning 检测 * 动态代码加载分析 * 内存检查 * 反规避检测 ### AI 驱动的逆向工程 * 大型语言模型 (LLM) 分析 * 反编译代码解读 * 恶意软件意图重建 * 行为推理 * 可解释的 AI 安全报告 * 基于证据的分析 * 自动化威胁调查 ### 机器学习检测 * 恶意软件分类 * 图神经网络 (GNN) * XGBoost 与 LightGBM 模型 * 行为分析 * 异常检测 * 多标签分类 * Zero-Day 威胁检测 * 威胁评分校准 ### 威胁情报 * MITRE ATT&CK 映射 * 妥协指标 (IOC) 提取 * 恶意软件家族归因 * 威胁狩猎支持 * 活动聚类 * YARA 规则生成 * STIX/TAXII 导出 # 系统架构 ``` ┌─────────────────────────┐ │ M1: Ingestion & Triage │ │ APK Upload & Intel Feed │ └────────────┬────────────┘ │ ▼ ┌─────────────────────────┐ │ Evidence Ledger │ │ Hash-Chained Artifacts │ └──────┬─────────┬────────┘ │ │ ┌────────────────┘ └────────────────┐ ▼ ▼ ┌─────────────────────┐ ┌─────────────────────┐ │ M2: Static Analysis │◄──────────────►│ M3: Dynamic Sandbox │ │ APK Analysis │ Hypotheses │ Runtime Monitoring │ │ Permissions │ & Traces │ Frida Instrumentation│ │ Call Graphs │ │ Network Inspection │ └──────────┬──────────┘ └──────────┬──────────┘ │ │ └────────────────┬─────────────────────┘ ▼ ┌─────────────────────────┐ │ M4: GenAI Reasoning │ │ Reverse Engineering │ │ RAG + LLM Agents │ │ MITRE Mapping │ └────────────┬────────────┘ │ ▼ ┌─────────────────────────┐ │ M5: ML Classification │ │ XGBoost │ │ Graph Neural Networks │ │ Anomaly Detection │ └────────────┬────────────┘ │ ▼ ┌─────────────────────────┐ │ M6: Risk Scoring Engine │ │ Threat Score │ │ Confidence Estimation │ └────────────┬────────────┘ │ ▼ ┌─────────────────────────┐ │ M7: Reporting Layer │ │ MITRE ATT&CK Mapping │ │ IOC Extraction │ │ YARA Generation │ │ Threat Dashboard │ └─────────────────────────┘ ``` ## 工作流 1. APK 通过上传门户和威胁情报源进行收集。 2. 静态分析提取权限、API、证书和行为指标。 3. 动态沙箱在插桩的 Android 环境中执行应用程序。 4. 基于 LLM 的 agent 执行逆向工程和行为解释。 5. 机器学习模型对恶意软件进行分类并检测异常。 6. 复合风险引擎生成校准后的威胁评分。 7. 生成包含 MITRE ATT&CK 映射、IOC、YARA 规则和分析员建议的报告。 ## 技术栈 ### 网络安全工具 * MobSF * Androguard * JADX * APKTool * Quark Engine * Frida * mitmproxy * YARA ### 人工智能与机器学习 * Python * PyTorch * PyTorch Geometric * XGBoost * LightGBM * SHAP * Scikit-Learn * 图神经网络 (GNN) ### 生成式 AI 与 RAG * 大型语言模型 (LLM) * 检索增强生成 (RAG) * LangChain * LlamaIndex * ChromaDB * FAISS ### 后端 * FastAPI * PostgreSQL * Redis * Celery * Docker ### 前端 * React * Next.js * 威胁情报仪表板 ## 应用场景 * Android 恶意软件检测 * 移动银行木马检测 * 威胁情报自动化 * 安全运营中心 (SOC) * 数字取证 * 威胁狩猎 * 事件响应 * 恶意软件逆向工程 * 安全研究 * 网络欺诈调查 * 金融网络安全 * 移动安全分析 ## 研究领域 * 网络安全的人工智能 * Android 安全 * 移动恶意软件检测 * 逆向工程 * 威胁情报 * Agentic AI 系统 * 可解释 AI * 动态分析 * 静态分析 * 行为分析 * 安全自动化 * 数字取证 * 对抗性机器学习 * 网络威胁狩猎 * Zero-Day 检测 ## 未来增强功能 * 基于高级图分析的恶意软件分析 * 多 agent AI 安全工作流 * 自动化 IOC 共享 * 大规模威胁情报集成 * 实时恶意软件监控 * 高级行为画像 * 企业 SOC 集成 * 基于云的恶意软件分析基础设施

标签：Android安全, Apex, DAST, 云安全监控, 云资产清单, 凭据扫描, 威胁情报, 安全沙箱, 开发者工具, 恶意软件分析, 搜索引擎查询, 机器学习, 测试用例, 请求拦截, 逆向工具, 逆向工程, 静态分析