--- title: Overview tags: - 第一組 --- # 惡意程式特徵分析與樣本情資整合系統 ## 一、專題動機 本專題起源於參與產學合作案期間，實際從事惡意程式樣本分析的經驗。在分析過程中，只要遇到從未見過的惡意行為特徵，就必須投入大量時間查閱文獻、比對既有分析報告與觀察程式行為，導致分析效率大幅下降。 後來接觸到 Maldev Academy 開發的 **Code Database**，他們將常見惡意程式碼模組化，並依據功能加上標籤分類，使開發者能更快速地理解與套用各種技術手法。此設計啟發了我們：是否也能將惡意程式的**分析成果模組化與標準化儲存**，建立一套屬於分析人員的知識系統？ 因此，我們提出一套以「Function 或明顯特徵區塊」為單位的分析平台，結合原始 Binary（可反組譯為 Assembly）、IDA Pseudo C Code、通訊封包與人工分析筆記，並輔以大型語言模型（LLM）協助理解與比對，期望能： - 加速惡意樣本的鑑識與關聯分析； - 重複使用分析成果，累積可查詢的知識庫； - 降低新人分析門檻，提升整體資安團隊效率。 ## 二、專題簡介 本專題旨在開發一套針對資安分析人員設計的「惡意程式特徵與情資分析平台」，以**手動歸納與標記**為核心機制，建立可擴充的特徵資料庫。平台將整合樣本管理、行為分析、資料視覺化與情資比對功能，協助分析人員在龐大的惡意樣本中高效提取資訊、辨識樣本演化趨勢，並累積可重用的分析成果。 ### 系統特色： - **惡意特徵歸納**：整理常見惡意 API 呼叫、異常行為模式、字串等特徵。 - **原始樣本資料保留**：包含反組譯 Assembly、pseudo C code、通訊封包（如 PCAP）等資料。 - **特徵資料庫建構**：建立結構化資料庫，支援樣本特徵與情資的查詢、比對與關聯分析。 - **視覺化分析工具**：呈現樣本之間的演化脈絡與行為差異，協助識別家族關係與攻擊趨勢。 ## 三、系統技術架構 本系統採用現代化 Web 技術與容器化架構，分為前端、後端與資料庫三大模組： ### 1\. 前端模組 使用 React + Next.js 建構單頁應用（SPA），搭配 Tailwind CSS 與 shadcn/ui 打造簡潔、一致的使用者介面，並整合視覺化套件提供互動功能。 - **主要技術**： - React + Next.js（支援 SSR 與靜態生成） - Tailwind CSS（原子化樣式系統） - shadcn/ui（一致性元件庫） - pnpm（高效依賴管理） - **資料視覺化**： - Cytoscape.js：樣本特徵關聯與演化結構視覺化 - D3.js：統計圖表、趨勢分析視覺化 ### 2\. 後端模組 以 Python 為核心技術棧，負責資料處理與 API 提供，支援非同步請求與安全存取控管。 - **核心架構**： - FastAPI：高效能非同步 Web 框架 - uv：管理虛擬環境與套件依賴 - **資料處理**： - SQLModel：Python ORM，連接 PostgreSQL - PostgreSQL：儲存樣本特徵、原始資料與分析紀錄 - **身分驗證**： - OAuth2 + pyJWT：提供安全的 API 存取與登入管理 ### 3\. 開發與部署環境 - **Docker**：前後端與資料庫容器化部署，確保環境一致性與可擴充性 - **版本控管**：Git + GitHub 管理協作與程式碼版本追蹤 ## 研究方法與步驟 ## 四、預計成果與貢獻 - 基本會員系統（註冊 / 登入 / 權限管理） - 特徵資料管理介面（標記 / 編輯 / 查詢 / 搜尋） - 樣本上傳與歸檔模組（支援 Binary / pseudo code / pcap） - 串接 LLM + MCP 模組進行樣本語意理解與模糊比對