Prasun0512/ai-malware-triage-lab

GitHub: Prasun0512/ai-malware-triage-lab

基于静态特征提取和可解释风险评分的防御性恶意软件分类工具,帮助安全分析师快速完成文件分流决策。

Stars: 0 | Forks: 0

# AI 恶意软件分类实验室 [![Python](https://img.shields.io/badge/Python-3.10%2B-blue)](https://www.python.org/) [![测试](https://img.shields.io/badge/tests-pytest-green)](./tests) [![Docker](https://img.shields.io/badge/docker-ready-blue)](./Dockerfile) [![许可证](https://img.shields.io/badge/license-MIT-lightgrey)](./LICENSE) AI 恶意软件分类实验室是一个防御性网络安全 + ML 作品集项目,用于静态恶意软件分类。它提取安全的文件/文本特征,使用可解释的轻量级模型评估风险,并将制品路由到允许、审查或升级决策,以支持 SOC 风格的工作流程。 ## 业务问题 安全团队经常收到大量的附件、脚本、归档和用户上报的文件。分析师需要快速的初步分类,以决定哪些可以关闭,哪些需要审查,哪些应该升级到更深度的沙箱测试或事件响应。该项目展示了 AI/ML 风格的特征评分如何支持该工作流程,同时保持人类分析师的掌控力。 ## 架构 ``` flowchart LR Intake["File / text artifact"] --> Extract["Static feature extraction"] Extract --> Model["Explainable risk model"] Model --> Decision{"Triage decision"} Decision -->|Low risk| Close["Close or monitor"] Decision -->|Medium risk| Review["Analyst review queue"] Decision -->|High risk| Escalate["Escalate to sandbox / IR"] Review --> Audit["Audit event + evidence"] Escalate --> Audit Close --> Audit ``` ## 功能 - 静态字节和字符串特征提取 - 熵、可打印比率、扩展名、MZ header、URL、宏、脚本和混淆指示器 - 可解释的逻辑风格风险评分 - 允许、审查和升级分类决策 - 供分析师审查的证据字符串 - CLI 和 FastAPI 接口 - 脱敏示例和单元测试 - Docker 和 GitHub Actions CI ## 技术栈 - Python 3.10+ - FastAPI 和 Pydantic - 带有可解释特征权重的确定性 ML 风格评分 - Pytest - Docker ## 快速开始 ``` python -m venv .venv .venv\Scripts\activate pip install -e ".[dev]" pytest ``` 运行本地扫描: ``` maltriage scan examples/sanitized_suspicious_script.txt --pretty ``` 运行 API: ``` uvicorn maltriage.api:app --reload ``` 通过 API 分析文本: ``` curl -X POST http://127.0.0.1:8000/analyze/text ^ -H "Content-Type: application/json" ^ -d "{\"name\":\"sample.txt\",\"content\":\"invoice reminder with normal business text\"}" ``` ## 示例输出 ``` { "name": "sanitized_suspicious_script.txt", "decision": "escalate", "risk_score": 0.82, "top_indicators": [ "Detected encoded PowerShell pattern", "Detected network callback indicator", "High script keyword density" ] } ``` ## 设计说明 - 此项目不执行文件。它仅使用静态分类。 - 评分模型特意设计得透明,以便在分析师审查期间可以对每个决策进行解释。 - 在生产环境中,高风险制品应发送到受控的沙箱或企业级恶意软件分析平台。 - 模型权重是作品集安全的演示值,而非专有的检测特征码。 ## 仓库结构 ``` src/maltriage/ Core feature extraction, scoring, API, and CLI tests/ Unit tests examples/ Sanitized benign and suspicious samples docs/ Architecture, security, and production notes .github/workflows/ CI validation ``` ## 路线图 - 添加对历史分类报告的向量搜索 - 添加 SOC 告警丰富化与分析师反馈捕获 - 添加针对脱敏基准集的模型校准报告 - 添加 OpenTelemetry 链路和结构化审计事件 - 添加用于 SIEM/SOAR 工单创建的集成模式
标签:Apex, AV绕过, DAST, FastAPI, PB级数据处理, Python, SOC分诊, 云安全监控, 安全运维, 恶意软件分析, 无后门, 机器学习, 请求拦截, 逆向工具, 静态分析