Prasun0512/ai-malware-triage-lab
GitHub: Prasun0512/ai-malware-triage-lab
基于静态特征提取和可解释风险评分的防御性恶意软件分类工具,帮助安全分析师快速完成文件分流决策。
Stars: 0 | Forks: 0
# AI 恶意软件分类实验室
[](https://www.python.org/)
[](./tests)
[](./Dockerfile)
[](./LICENSE)
AI 恶意软件分类实验室是一个防御性网络安全 + ML 作品集项目,用于静态恶意软件分类。它提取安全的文件/文本特征,使用可解释的轻量级模型评估风险,并将制品路由到允许、审查或升级决策,以支持 SOC 风格的工作流程。
## 业务问题
安全团队经常收到大量的附件、脚本、归档和用户上报的文件。分析师需要快速的初步分类,以决定哪些可以关闭,哪些需要审查,哪些应该升级到更深度的沙箱测试或事件响应。该项目展示了 AI/ML 风格的特征评分如何支持该工作流程,同时保持人类分析师的掌控力。
## 架构
```
flowchart LR
Intake["File / text artifact"] --> Extract["Static feature extraction"]
Extract --> Model["Explainable risk model"]
Model --> Decision{"Triage decision"}
Decision -->|Low risk| Close["Close or monitor"]
Decision -->|Medium risk| Review["Analyst review queue"]
Decision -->|High risk| Escalate["Escalate to sandbox / IR"]
Review --> Audit["Audit event + evidence"]
Escalate --> Audit
Close --> Audit
```
## 功能
- 静态字节和字符串特征提取
- 熵、可打印比率、扩展名、MZ header、URL、宏、脚本和混淆指示器
- 可解释的逻辑风格风险评分
- 允许、审查和升级分类决策
- 供分析师审查的证据字符串
- CLI 和 FastAPI 接口
- 脱敏示例和单元测试
- Docker 和 GitHub Actions CI
## 技术栈
- Python 3.10+
- FastAPI 和 Pydantic
- 带有可解释特征权重的确定性 ML 风格评分
- Pytest
- Docker
## 快速开始
```
python -m venv .venv
.venv\Scripts\activate
pip install -e ".[dev]"
pytest
```
运行本地扫描:
```
maltriage scan examples/sanitized_suspicious_script.txt --pretty
```
运行 API:
```
uvicorn maltriage.api:app --reload
```
通过 API 分析文本:
```
curl -X POST http://127.0.0.1:8000/analyze/text ^
-H "Content-Type: application/json" ^
-d "{\"name\":\"sample.txt\",\"content\":\"invoice reminder with normal business text\"}"
```
## 示例输出
```
{
"name": "sanitized_suspicious_script.txt",
"decision": "escalate",
"risk_score": 0.82,
"top_indicators": [
"Detected encoded PowerShell pattern",
"Detected network callback indicator",
"High script keyword density"
]
}
```
## 设计说明
- 此项目不执行文件。它仅使用静态分类。
- 评分模型特意设计得透明,以便在分析师审查期间可以对每个决策进行解释。
- 在生产环境中,高风险制品应发送到受控的沙箱或企业级恶意软件分析平台。
- 模型权重是作品集安全的演示值,而非专有的检测特征码。
## 仓库结构
```
src/maltriage/ Core feature extraction, scoring, API, and CLI
tests/ Unit tests
examples/ Sanitized benign and suspicious samples
docs/ Architecture, security, and production notes
.github/workflows/ CI validation
```
## 路线图
- 添加对历史分类报告的向量搜索
- 添加 SOC 告警丰富化与分析师反馈捕获
- 添加针对脱敏基准集的模型校准报告
- 添加 OpenTelemetry 链路和结构化审计事件
- 添加用于 SIEM/SOAR 工单创建的集成模式
标签:Apex, AV绕过, DAST, FastAPI, PB级数据处理, Python, SOC分诊, 云安全监控, 安全运维, 恶意软件分析, 无后门, 机器学习, 请求拦截, 逆向工具, 静态分析