nagarjungowdakn13/CyberShieldNet
GitHub: nagarjungowdakn13/CyberShieldNet
CyberShieldNet 是一个多模态预测性网络威胁情报研究框架,通过融合图、时序、行为和上下文四种安全模态来提升威胁检测准确率并降低误报。
Stars: 0 | Forks: 0
# CyberShieldNet: 多模态预测性网络威胁情报与动态风险评估
[](https://opensource.org/licenses/MIT)
[](https://www.python.org/)
CyberShieldNet 是一个可复现的、面向研究的原型,用于预测性网络威胁情报 (CTI) 和动态风险优先级排序。它作为一个研究项目,旨在探讨融合异构安全模体以增强威胁检测准确性、最小化误报并改善防御性决策支持的有效性。
## 📖 研究框架与概述
现代安全运营中心 (SOC) 正被大量分散的警报所淹没。CyberShieldNet 探索了将网络拓扑、时序行为、主机活动和业务关键性整合到统一的风险评分框架中,是否能改善早期预警指标和风险优先级排序指标。
### ❓ 研究问题
### 🧪 假设
* **$H_1$ (融合优越性):** 与任何单独运行的单一模态相比,融合所有四种异构安全模体可以提高 $F_1$-score 和 ROC-AUC 指标。
* **$H_2$ (模体贡献):** 移除任何单一模体(图表、时序、行为或上下文)都会降低性能,这表明每种模体都携带着非冗余的信号。
* **$H_3$ (鲁棒性与稳定性):** 在有限的特征扰动/遥测噪声下,融合后的预测分数能够保持稳定并实现优雅降级。
## 🛠️ 数据模态与特征 Schema
该框架利用四种核心安全模态:
| 模态 | 特征 | 描述 |
| :--- | :--- | :--- |
| **Graph Exposure (图暴露)** | `exposed_degree`, `privilege_bridge`, `external_reachability` | 资产的连通性、拓扑风险和特权访问级别。 |
| **Temporal Anomaly (时序异常)** | `failed_login_burst`, `off_hours_activity`, `traffic_spike` | 异常的基于时间的身份验证模式和网络流量的激增。 |
| **Behavioral Drift (行为漂移)** | `command_entropy`, `process_rarity`, `auth_geo_velocity` | 执行语法的漂移、罕见进程的执行以及物理移动速度。 |
| **Asset Context (资产上下文)** | `business_criticality`, `patch_lag`, `data_sensitivity` | 资产的战略关键性、漏洞暴露和数据分类。 |
## 🧮 数学模型与融合引擎
### 1. 潜在风险公式 (CTI 基准生成器)
基准生成器通过逻辑函数将特征向量映射到概率分布,从而对潜在风险进行建模:
$$\text{latent} = 1.35 \cdot x_{\text{exposed\_degree}} + 1.10 \cdot x_{\text{external\_reachability}} + 1.55 \cdot x_{\text{failed\_login\_burst}} + 1.25 \cdot x_{\text{traffic\_spike}} + 1.65 \cdot x_{\text{command\_entropy}} + 1.45 \cdot x_{\text{process\_rarity}} + 1.10 \cdot x_{\text{business\_criticality}} + 1.40 \cdot x_{\text{patch\_lag}} + 0.80 \cdot x_{\text{data\_sensitivity}} + 0.90 \cdot (x_{\text{external\_reachability}} \cdot x_{\text{patch\_lag}}) + 0.75 \cdot (x_{\text{privilege\_bridge}} \cdot x_{\text{command\_entropy}}) - 4.20$$
$$P(\text{Threat}) = \sigma(\text{latent}) = \frac{1}{1 + e^{-\text{latent}}}$$
### 2. 多模态融合评分
对于选定的模态集合 $M$,融合引擎使用带有交互项的加权和来聚合特征:
$$\text{total} = -4.0 + \sum_{m \in M} \sum_{i} w_{m, i} \cdot v_{m, i}$$
其中权重 $w_{m,i}$ 定义为:
* **Graph:** $[1.2, 0.5, 1.1]$
* **Temporal:** $[1.4, 0.6, 1.2]$
* **Behavioral:** $[1.6, 1.3, 0.7]$
* **Context:** $[1.1, 1.3, 0.9]$
#### 交互项
* 如果 **Graph** 和 **Context** 同时存在:
$$\text{total} \mathrel{+}= 0.8 \cdot v_{\text{external\_reachability}} \cdot v_{\text{patch\_lag}}$$
* 如果 **Graph** 和 **Behavioral** 同时存在:
$$\text{total} \mathrel{+}= 0.6 \cdot v_{\text{privilege\_bridge}} \cdot v_{\text{command\_entropy}}$$
#### 归一化与 Sigmoid 映射
汇总后的总和将根据活动特征的数量进行归一化,并映射为最终的风险概率:
$$\text{Score} = \sigma\left(\text{total} \cdot \frac{12.0}{\max(1, N_{\text{features}})}\right)$$
## 📊 评估结果
在确定性 CTI 基准上运行评估脚本会生成以下指标:
### 1. 基线比较
融合所有模态 ($H_1$) 的性能大幅优于单一模态模型:
| 模型 | 准确率 | 精确率 | 召回率 | $F_1$-Score | ROC-AUC | FPR |
| :--- | :---: | :---: | :---: | :---: | :---: | :---: |
| **仅 Graph** | 0.703 | 0.575 | 0.575 | 0.575 | 0.744 | 0.228 |
| **仅 Temporal** | 0.609 | 0.441 | 0.441 | 0.441 | 0.603 | 0.300 |
| **仅 Behavioral** | 0.703 | 0.575 | 0.575 | 0.575 | 0.752 | 0.228 |
| **仅 Context** | 0.691 | 0.559 | 0.559 | 0.559 | 0.725 | 0.237 |
| **所有模态 (融合)** | **0.836** | **0.765** | **0.765** | **0.765** | **0.920** | **0.126** |
### 2. 留一模态消融实验
消融单个模态 ($H_2$) 表明,移除任何信息片段都会降低模型的分类能力:
| 模型 | 准确率 | 精确率 | 召回率 | $F_1$-Score | ROC-AUC | FPR |
| :--- | :---: | :---: | :---: | :---: | :---: | :---: |
| **移除 Graph** | 0.777 | 0.682 | 0.682 | 0.682 | 0.850 | 0.171 |
| **移除 Temporal** | 0.824 | 0.749 | 0.749 | 0.749 | 0.898 | 0.135 |
| **移除 Behavioral** | 0.785 | 0.693 | 0.693 | 0.693 | 0.846 | 0.165 |
| **移除 Context** | 0.766 | 0.665 | 0.665 | 0.665 | 0.841 | 0.180 |
### 3. 噪声鲁棒性分析
针对有限特征扰动 ($\epsilon = 0.08$) 评估融合基线 ($H_3$):
* **无噪声 $F_1$:** 0.765
* **有噪声 $F_1$:** 0.732
* **鲁棒性差距:** 0.034 (降级幅度极小,证实了稳定性)
## ⚡ 可复现协议
请按照以下命令复现研究结果:
### 1. 安装
以可编辑模式安装项目:
```
pip install -e .
```
### 2. 运行评估与生成报告
使用发布协议中使用的确定性随机种子执行评估脚本:
```
python experiments/run_evaluation.py --results-out data/results/metrics.json --report-out data/results/research_report.md --n-samples 512 --seed 42
```
这将更新:
* `data/results/metrics.json`: 原始指标 JSON 数据。
* `data/results/research_report.md`: 人类可读的研究报告摘要。
### 3. 运行测试套件
验证基准生成器和评估流水线的正确性:
```
pytest tests/test_research_evaluation.py
```
## 💻 API 服务与操作模式
CyberShieldNet 包含一个服务层,用于通过 FastAPI 端点公开威胁风险评估。
### 模式 A: Python 3.14 纯 API 模式 (轻量级)
如果您在 Python 3.14 上遇到依赖问题,请运行轻量级的 Starlette 服务器,该服务器仅需标准库和轻量级路由:
```
python -m pip install uvicorn starlette
python -m uvicorn tools.starlette_server:app --host 127.0.0.1 --port 8000
```
* `GET /health`: 返回服务健康状态。
* `GET /`: 返回基本系统元数据。
* `POST /predict`: 评估传入的轻量级演示风险评分。
### 模式 B: 完整 ML 模式 (FastAPI)
运行包含高级深度模型的完整技术栈:
```
python -m pip install -r ml-requirements.txt
python -m uvicorn src.cybershieldnet.api.fastapi:app --host 127.0.0.1 --port 8000
```
交互式 API 文档将在 `http://127.0.0.1:8000/docs` 提供。
## 📂 项目结构
```
├── config/ # Deployment and model configurations
├── data/
│ └── results/ # Research metrics and reports
├── docs/ # Supporting research documentation
│ ├── methodology.md # Detailed hypotheses and experimental design
│ ├── threat_model.md # Attacking surface and assumptions
│ ├── model_card.md # Model limitations and intended use
│ └── research_plan.md # Future publication roadmap
├── experiments/ # Reproducibility evaluation runners
├── src/
│ └── cybershieldnet/
│ ├── api/ # API serving layers (FastAPI)
│ ├── core/ # Security configuration utilities
│ ├── fusion_engine/ # Fusion networks and models
│ ├── research/ # Benchmark generator and evaluators
│ └── risk_assessment/# Threat score classifiers
├── tests/ # Integrity and regression test suites
└── tools/ # Script utilities (e.g., Starlette server)
```
## 📄 许可证与引用
此研究代码库采用 MIT 许可证授权。
如需学术引用,您可以参考:
标签:Apex, Python, 威胁情报, 开发者工具, 异常检测, 无后门, 机器学习, 网络安全, 隐私保护