ines231/lynx
GitHub: ines231/lynx
基于概率与风险量化的 AI 威胁狩猎平台,将传统告警评分升级为异常概率评估、业务损失估算与处置建议。
Stars: 0 | Forks: 0
# 概率性威胁狩猎平台
本项目是一个专注于风险概率的威胁狩猎平台,而非简单的告警标签。
它不再仅仅展示低、中或高风险,而是致力于评估:
- 事件与正常行为相比的异常程度
- 其为恶意行为的可能性
- 可能造成的业务风险
- 该风险是否应被修复、接受、转移,或通过补偿性控制措施来处理
本平台结合了统计分析、机器学习、威胁情报、杀伤链关联以及基于 FAIR 的风险思维。
## 核心理念
传统的 SOC 工具通常这样运作:
```
event -> rule -> score -> severity badge
```
本平台的设计旨在实现如下运作方式:
```
event -> baseline comparison -> anomaly probability -> risk estimate -> treatment recommendation
```
示例:
- **异常概率:** 68%
- **预计年度损失敞口:** $22,650
- **建议操作:** 48 小时内修复
## 功能简介
- 为用户、系统、进程、端口和活动时间构建行为基线。
- 使用统计和 ML 模型检测异常活动。
- 使用概率替代仅依赖固定规则的评分。
- 跨攻击阶段(如侦察、持久化、横向移动和数据泄露)关联事件。
- 使用威胁情报丰富 IP、域名和哈希值。
- 使用基于 FAIR 的概念和蒙特卡洛模拟来估算风险。
- 生成调查摘要、IOC、MITRE ATT&CK 上下文以及建议操作。
## 核心结构
```
services/
ai_service/
app/
enrichment/ threat intelligence
features/ event feature extraction
models/ anomaly detection
correlation/ kill chain logic
reports/ investigation reports
llm/ optional Ollama narrative layer
```
Ollama **不是**检测引擎。它仅在最后阶段用于协助从结构化证据中撰写调查报告。
## 风险引擎方向
风险引擎正围绕以下方面进行设计:
- 正态分布和 z-score 分析
- 用于行为变化的卡方检验
- 用于多变量异常检测的 Isolation Forest
- 用于时序行为的 LSTM 模型
- 用于基于 FAIR 的风险量化的蒙特卡洛模拟
预期成果是量化的风险视图,而非模糊的严重性标签。
## 仪表板目标
仪表板应能帮助分析师快速回答:
- 发生了什么?
- 异常程度如何?
- 存在恶意行为的概率是多少?
- 涉及哪些攻击阶段?
- 预计的业务风险是多少?
- 接下来我们该怎么做?
规划视图:
- 异常概率实时流
- 杀伤链时间线
- 威胁情报查询
- 风险模拟面板
- 调查报告预览
- 处置建议视图
## 当前状态
本项目正在积极开发中。
当前重点:
- AI 服务基础设施
- 概率风险引擎
- 威胁情报接口
- 杀伤链关联
- 仪表板可视化
**下一个主要里程碑:** 围绕概率、基于 FAIR 的风险和调查工作流构建仪表板。
标签:AI风险缓解, Apex, 威胁情报, 安全运营, 开发者工具, 异常检测, 扫描框架, 插件系统, 机器学习, 逆向工具