babo0221/YARAI
GitHub: babo0221/YARAI
基于 AI 的恶意软件静态与动态分析平台,自动生成 YARA 和 Suricata 检测规则并产出交互式可视化报告。
Stars: 0 | Forks: 0
# YARAAI_Web
## 功能
- **文件上传与分析**
- 通过 Web 界面上传 PE 文件(`.exe`、`.dll`)
- 自动化的静态与动态分析 pipeline
- **YARA 规则生成**
- 从分析结果中提取关键 artifacts
- 根据 JSON 输出自动生成 YARA 规则
- **Suricata 规则转换**
- 将生成的 YARA 规则转换为 Suricata 特征签名以用于网络检测
- **交互式可视化**
- Function Call Graph 可视化 (PyVis)
- CAPA 规则命中、MITRE ATT&CK 映射、CWE 映射
- **报告生成**
- 基于 HTML 的交互式报告
## 技术栈
### 后端
- **FastAPI** – 用于文件分析和规则生成的 REST API 服务器
- **Python 3.10+** – 用于数据处理和自动化的主要语言
- **CAPA** – 基于能力的恶意软件分析
- **Suricata** – 网络 IDS 集成
### 前端
- **React + TypeScript** – 用户界面
- **Vite** – 用于快速开发的构建工具
### 分析工具
- **Cuckoo Sandbox** – 动态恶意软件分析
- **YARA** – 基于特征签名的检测
- **VirusTotal API** – 威胁情报扩充
## 项目结构
```
YARAAI_Web/
├── backend/ # API 서버 (FastAPI)
├── public/ # 정적 리소스
├── src/ # React 소스 코드
│ ├── components/ # UI 컴포넌트
│ ├── pages/ # 페이지 단위
│ ├── hooks/ # 커스텀 훅
│ ├── services/ # API 연동 로직
│ └── utils/ # 공용 유틸
├── tailwind.config.js # Tailwind 설정
├── vite.config.ts # Vite 빌드 설정
└── package.json
```
## 安装与设置
### 1. 克隆仓库
- git clone https://github.com/YARAAI-Web/YARAAI_Web.git
- cd YARAAI_Web
### 2. 后端设置
- cd backend
- python -m venv venv
- source venv/bin/activate # Windows: venv\Scripts\activate
- pip install -r requirements.txt
### 3. 前端设置
- npm install
- npm run dev
### 使用方法
启动后端
uvicorn main:app --reload --port 8000
启动前端
npm run dev
访问 Web UI
在浏览器中打开 http://localhost:5173。
### 2. 工作流
静态分析 – 提取 sections、imports、strings
动态分析 – 在 Cuckoo Sandbox 中执行并捕获行为
YARA 规则生成 – 提取 IoC 并创建检测规则
可视化 – Call graph、MITRE ATT&CK 映射、CWE 映射
报告 – 生成 HTML 报告,并可选择导出 Suricata 规则
```
## Example 生成的 YARA Rule
rule AutoGen_1234abcd
{
meta:
description = "Auto-generated rule from sample analysis"
author = "YARAAI_Web"
strings:
$s1 = "VirtualAllocEx"
$s2 = "CreateRemoteThread"
condition:
all of them
}
```
许可证
本项目基于 MIT 许可证授权。
```
Author: YARAAI_Web Development Team
Email: malyaraai72@gmail.com
```
标签:AV绕过, DAST, FastAPI, Metaprompt, React, Syscalls, YARA规则生成, 只读文件系统, 后端开发, 恶意软件分析, 自动化分析平台, 逆向工具, 静态与动态分析