omaral-fayyadh/HydraNexus

# HydraNexus **专为需要直接答案而非更多仪表盘的 SOC 分析师打造的 AI 驱动的威胁检测与情报平台。** HydraNexus 会摄取安全事件，实时丰富指标，并通过一个六头 AI 共识引擎运行它们，以生成结构化的威胁评估——并完全透明地展示每个评分是如何得出的。 🔗 **在线平台：** [hydranexus.io](https://hydranexus.io) ## 问题背景 大多数 SIEM 平台只会告诉你某些事情*是*可疑的。它们很少告诉你*为什么*、*有多大把握*，或者*下一步该怎么做*。分析师只能自己去关联各个浏览器标签页，追逐误报，并从零开始编写补救步骤。 HydraNexus 的构建基于一个不同的前提：平台应该像高级分析师那样对威胁进行推理——同时从多个角度进行分析，使用明确的逻辑，并在最后输出可操作的结果。 ## 工作原理 ### 六头共识引擎 每个事件都会由六个专门的 AI 分析头进行评估，每个头都专注于一个独特的威胁维度： | 分析头 | 关注点 | |------|-------| | **PROT** | 协议和网络行为异常 | | **BEHV** | 行为模式和攻击者方法论 | | **TACT** | MITRE ATT&CK 战术和技术映射 | | **FORN** | 外部基础设施和地缘政治背景 | | **BIZL** | 业务逻辑和内部威胁指标 | | **INFR** | 基础设施暴露和资产风险 | 第七层——**仲裁器 (Arbiter)**——会权衡这六个分析头，并生成带有统一置信度评分的最终共识威胁评估。 ### 具有完全透明度的 IP 扩充 HydraNexus 通过 VirusTotal、AbuseIPDB、Shodan 和 Censys 对每个 IP 地址进行扩充——然后向分析师准确展示注入到每个分析头 prompt 中的数据。没有黑盒。 - 每个结果都会标明是实时数据还是缓存数据（VT/AbuseIPDB 的 TTL 为 24 小时，Shodan/Censys 为 72 小时） - 每个被扩充的 IP 都会显示其对最终威胁评分的贡献 - 速率限制保护可防止在高负载下耗尽 API 配额 ### 基于真实的蜜罐数据构建 HydraNexus 是通过 Cowrie SSH 蜜罐捕获的 2,700 多个真实蜜罐事件进行训练和测试的——而不是合成数据集。该平台已经处理过真实的 SSH 暴力破解活动、撞库攻击和横向移动尝试。 ## 平台概述 | 标签页 | 功能 | |-----|--------------| | **PRIMITIVES** | 原始事件摄取——粘贴 JSON 或上传批处理文件 | | **RELATED INCIDENTS** | 跨事件关联和聚类 | | **ANALYSIS** | 带有仲裁器裁定的六头共识输出 | | **ENRICH IP** | 具有评分透明度的实时 IP 扩充 | | **ACTIONS** | 分析师响应操作和建议 | | **REMEDIATION** | 针对每种威胁类型自动生成的补救步骤 | | **MITRE** | ATT&CK 战术和技术映射 | | **AUDIT** | 完全透明的评分公式——每个权重都清晰可见 | | **EVENT LOG** | 平台活动、速率警告、扩充历史记录 | ## 架构 ``` Honeypot / SIEM events │ ▼ FastAPI backend ←──────────────────────────────────┐ │ │ ├── Enrichment layer │ │ ├── L1: In-memory cache (15 min) │ │ ├── L2: PostgreSQL cache (24–72h TTL) │ │ └── APIs: VirusTotal · AbuseIPDB · Shodan · Censys │ │ ├── Six-head consensus engine │ │ └── Ollama · hydranexus-detector:7B │ │ running locally on RTX 2060 │ │ │ └── Arbiter (final verdict + confidence score) │ │ │ ▼ │ Cloudflare Pages frontend ─────────────────────────── (hydranexus.io) ``` **技术栈：** - Frontend：React · Cloudflare Pages - Backend：FastAPI · PostgreSQL · Render - AI 推理：Ollama · hydranexus-detector:7B · SimplyNuc (64GB RAM, RTX 2060) - 数据扩充：VirusTotal · AbuseIPDB · Shodan · Censys ## 当前状态 - ✅ v0.6 生产就绪 - ✅ 已处理 2,700+ 真实蜜罐事件 - ✅ 六头共识引擎已运行 - ✅ 扩充缓存 + 速率限制保护已上线 - ✅ 已集成 MITRE ATT&CK 映射 - ✅ 专利申请中（于 2026 年 6 月提交） - 🔄 大学 SOC 试点——进行中 - 🔄 付费层级——路线图中 ## 路线图 **阶段 1 — SOC 就绪** - 告警生命周期：分诊 → 分配 → 升级 → 解决 → 关闭 - SLA 强制执行（P1/15分钟，P2/1小时，P3/4小时） - RBAC 和用户角色 - 面向大学/企业部署的多租户隔离 **阶段 2 — 威胁情报平台** - IP 到 IP 的关联和关系分析 - 历史情报（首次出现 / 最后出现 / 复发） - 归因引擎——僵尸网络、恶意软件家族、活动映射 - IOC → TTP 映射 **阶段 3 — AI-SOC 层级** - AI 生成的跨事件调查摘要 - SOAR playbook 自动化 - 威胁图谱可视化 - STIX/TAXII 订阅源摄取 ## 关于 HydraNexus 由 **Omar Al-Fayyadh** 通过 [Telecom Design Solutions LLC](https://tdsllc.info) 构建和运营。 Omar 为平台的设计带来了 15 年以上的基础设施工程经验（OSP 光纤、ISP 运营、NOC）、信息保障与网络安全的理学硕士学位，以及实战型的 SOC 分析师培训。HydraNexus 不是一个研究项目——它是一个为了解决实际检测和分诊问题而构建的实用工具。 📧 联系方式：[tdsllc.info](https://tdsllc.info) 🔗 平台：[hydranexus.io](https://hydranexus.io) 💼 LinkedIn：[linkedin.com/in/omaralfayyadh](https://linkedin.com/in/omaralfayyadh) *此仓库包含 HydraNexus 的公开产品概述。源代码为专有资产。*

标签：AI安全分析, AI风险缓解, DLL 劫持, 人工智能, 大语言模型, 威胁情报, 安全告警分诊, 安全运营中心, 开发者工具, 测试用例, 用户模式Hook绕过, 网络映射, 逆向工具