ines231/lynx

GitHub: ines231/lynx

基于概率与风险量化的 AI 威胁狩猎平台,将传统告警评分升级为异常概率评估、业务损失估算与处置建议。

Stars: 0 | Forks: 0

# 概率性威胁狩猎平台 本项目是一个专注于风险概率的威胁狩猎平台,而非简单的告警标签。 它不再仅仅展示低、中或高风险,而是致力于评估: - 事件与正常行为相比的异常程度 - 其为恶意行为的可能性 - 可能造成的业务风险 - 该风险是否应被修复、接受、转移,或通过补偿性控制措施来处理 本平台结合了统计分析、机器学习、威胁情报、杀伤链关联以及基于 FAIR 的风险思维。 ## 核心理念 传统的 SOC 工具通常这样运作: ``` event -> rule -> score -> severity badge ``` 本平台的设计旨在实现如下运作方式: ``` event -> baseline comparison -> anomaly probability -> risk estimate -> treatment recommendation ``` 示例: - **异常概率:** 68% - **预计年度损失敞口:** $22,650 - **建议操作:** 48 小时内修复 ## 功能简介 - 为用户、系统、进程、端口和活动时间构建行为基线。 - 使用统计和 ML 模型检测异常活动。 - 使用概率替代仅依赖固定规则的评分。 - 跨攻击阶段(如侦察、持久化、横向移动和数据泄露)关联事件。 - 使用威胁情报丰富 IP、域名和哈希值。 - 使用基于 FAIR 的概念和蒙特卡洛模拟来估算风险。 - 生成调查摘要、IOC、MITRE ATT&CK 上下文以及建议操作。 ## 核心结构 ``` services/ ai_service/ app/ enrichment/ threat intelligence features/ event feature extraction models/ anomaly detection correlation/ kill chain logic reports/ investigation reports llm/ optional Ollama narrative layer ``` Ollama **不是**检测引擎。它仅在最后阶段用于协助从结构化证据中撰写调查报告。 ## 风险引擎方向 风险引擎正围绕以下方面进行设计: - 正态分布和 z-score 分析 - 用于行为变化的卡方检验 - 用于多变量异常检测的 Isolation Forest - 用于时序行为的 LSTM 模型 - 用于基于 FAIR 的风险量化的蒙特卡洛模拟 预期成果是量化的风险视图,而非模糊的严重性标签。 ## 仪表板目标 仪表板应能帮助分析师快速回答: - 发生了什么? - 异常程度如何? - 存在恶意行为的概率是多少? - 涉及哪些攻击阶段? - 预计的业务风险是多少? - 接下来我们该怎么做? 规划视图: - 异常概率实时流 - 杀伤链时间线 - 威胁情报查询 - 风险模拟面板 - 调查报告预览 - 处置建议视图 ## 当前状态 本项目正在积极开发中。 当前重点: - AI 服务基础设施 - 概率风险引擎 - 威胁情报接口 - 杀伤链关联 - 仪表板可视化 **下一个主要里程碑:** 围绕概率、基于 FAIR 的风险和调查工作流构建仪表板。
标签:AI风险缓解, Apex, 威胁情报, 安全运营, 开发者工具, 异常检测, 扫描框架, 插件系统, 机器学习, 逆向工具