nagarjungowdakn13/CyberShieldNet

GitHub: nagarjungowdakn13/CyberShieldNet

CyberShieldNet 是一个多模态预测性网络威胁情报研究框架,通过融合图、时序、行为和上下文四种安全模态来提升威胁检测准确率并降低误报。

Stars: 0 | Forks: 0

# CyberShieldNet: 多模态预测性网络威胁情报与动态风险评估 [![License: MIT](https://img.shields.io/badge/License-MIT-yellow.svg)](https://opensource.org/licenses/MIT) [![Python Version](https://img.shields.io/badge/python-3.10%2B-blue.svg)](https://www.python.org/) CyberShieldNet 是一个可复现的、面向研究的原型,用于预测性网络威胁情报 (CTI) 和动态风险优先级排序。它作为一个研究项目,旨在探讨融合异构安全模体以增强威胁检测准确性、最小化误报并改善防御性决策支持的有效性。 ## 📖 研究框架与概述 现代安全运营中心 (SOC) 正被大量分散的警报所淹没。CyberShieldNet 探索了将网络拓扑、时序行为、主机活动和业务关键性整合到统一的风险评分框架中,是否能改善早期预警指标和风险优先级排序指标。 ### ❓ 研究问题 ### 🧪 假设 * **$H_1$ (融合优越性):** 与任何单独运行的单一模态相比,融合所有四种异构安全模体可以提高 $F_1$-score 和 ROC-AUC 指标。 * **$H_2$ (模体贡献):** 移除任何单一模体(图表、时序、行为或上下文)都会降低性能,这表明每种模体都携带着非冗余的信号。 * **$H_3$ (鲁棒性与稳定性):** 在有限的特征扰动/遥测噪声下,融合后的预测分数能够保持稳定并实现优雅降级。 ## 🛠️ 数据模态与特征 Schema 该框架利用四种核心安全模态: | 模态 | 特征 | 描述 | | :--- | :--- | :--- | | **Graph Exposure (图暴露)** | `exposed_degree`, `privilege_bridge`, `external_reachability` | 资产的连通性、拓扑风险和特权访问级别。 | | **Temporal Anomaly (时序异常)** | `failed_login_burst`, `off_hours_activity`, `traffic_spike` | 异常的基于时间的身份验证模式和网络流量的激增。 | | **Behavioral Drift (行为漂移)** | `command_entropy`, `process_rarity`, `auth_geo_velocity` | 执行语法的漂移、罕见进程的执行以及物理移动速度。 | | **Asset Context (资产上下文)** | `business_criticality`, `patch_lag`, `data_sensitivity` | 资产的战略关键性、漏洞暴露和数据分类。 | ## 🧮 数学模型与融合引擎 ### 1. 潜在风险公式 (CTI 基准生成器) 基准生成器通过逻辑函数将特征向量映射到概率分布,从而对潜在风险进行建模: $$\text{latent} = 1.35 \cdot x_{\text{exposed\_degree}} + 1.10 \cdot x_{\text{external\_reachability}} + 1.55 \cdot x_{\text{failed\_login\_burst}} + 1.25 \cdot x_{\text{traffic\_spike}} + 1.65 \cdot x_{\text{command\_entropy}} + 1.45 \cdot x_{\text{process\_rarity}} + 1.10 \cdot x_{\text{business\_criticality}} + 1.40 \cdot x_{\text{patch\_lag}} + 0.80 \cdot x_{\text{data\_sensitivity}} + 0.90 \cdot (x_{\text{external\_reachability}} \cdot x_{\text{patch\_lag}}) + 0.75 \cdot (x_{\text{privilege\_bridge}} \cdot x_{\text{command\_entropy}}) - 4.20$$ $$P(\text{Threat}) = \sigma(\text{latent}) = \frac{1}{1 + e^{-\text{latent}}}$$ ### 2. 多模态融合评分 对于选定的模态集合 $M$,融合引擎使用带有交互项的加权和来聚合特征: $$\text{total} = -4.0 + \sum_{m \in M} \sum_{i} w_{m, i} \cdot v_{m, i}$$ 其中权重 $w_{m,i}$ 定义为: * **Graph:** $[1.2, 0.5, 1.1]$ * **Temporal:** $[1.4, 0.6, 1.2]$ * **Behavioral:** $[1.6, 1.3, 0.7]$ * **Context:** $[1.1, 1.3, 0.9]$ #### 交互项 * 如果 **Graph** 和 **Context** 同时存在: $$\text{total} \mathrel{+}= 0.8 \cdot v_{\text{external\_reachability}} \cdot v_{\text{patch\_lag}}$$ * 如果 **Graph** 和 **Behavioral** 同时存在: $$\text{total} \mathrel{+}= 0.6 \cdot v_{\text{privilege\_bridge}} \cdot v_{\text{command\_entropy}}$$ #### 归一化与 Sigmoid 映射 汇总后的总和将根据活动特征的数量进行归一化,并映射为最终的风险概率: $$\text{Score} = \sigma\left(\text{total} \cdot \frac{12.0}{\max(1, N_{\text{features}})}\right)$$ ## 📊 评估结果 在确定性 CTI 基准上运行评估脚本会生成以下指标: ### 1. 基线比较 融合所有模态 ($H_1$) 的性能大幅优于单一模态模型: | 模型 | 准确率 | 精确率 | 召回率 | $F_1$-Score | ROC-AUC | FPR | | :--- | :---: | :---: | :---: | :---: | :---: | :---: | | **仅 Graph** | 0.703 | 0.575 | 0.575 | 0.575 | 0.744 | 0.228 | | **仅 Temporal** | 0.609 | 0.441 | 0.441 | 0.441 | 0.603 | 0.300 | | **仅 Behavioral** | 0.703 | 0.575 | 0.575 | 0.575 | 0.752 | 0.228 | | **仅 Context** | 0.691 | 0.559 | 0.559 | 0.559 | 0.725 | 0.237 | | **所有模态 (融合)** | **0.836** | **0.765** | **0.765** | **0.765** | **0.920** | **0.126** | ### 2. 留一模态消融实验 消融单个模态 ($H_2$) 表明,移除任何信息片段都会降低模型的分类能力: | 模型 | 准确率 | 精确率 | 召回率 | $F_1$-Score | ROC-AUC | FPR | | :--- | :---: | :---: | :---: | :---: | :---: | :---: | | **移除 Graph** | 0.777 | 0.682 | 0.682 | 0.682 | 0.850 | 0.171 | | **移除 Temporal** | 0.824 | 0.749 | 0.749 | 0.749 | 0.898 | 0.135 | | **移除 Behavioral** | 0.785 | 0.693 | 0.693 | 0.693 | 0.846 | 0.165 | | **移除 Context** | 0.766 | 0.665 | 0.665 | 0.665 | 0.841 | 0.180 | ### 3. 噪声鲁棒性分析 针对有限特征扰动 ($\epsilon = 0.08$) 评估融合基线 ($H_3$): * **无噪声 $F_1$:** 0.765 * **有噪声 $F_1$:** 0.732 * **鲁棒性差距:** 0.034 (降级幅度极小,证实了稳定性) ## ⚡ 可复现协议 请按照以下命令复现研究结果: ### 1. 安装 以可编辑模式安装项目: ``` pip install -e . ``` ### 2. 运行评估与生成报告 使用发布协议中使用的确定性随机种子执行评估脚本: ``` python experiments/run_evaluation.py --results-out data/results/metrics.json --report-out data/results/research_report.md --n-samples 512 --seed 42 ``` 这将更新: * `data/results/metrics.json`: 原始指标 JSON 数据。 * `data/results/research_report.md`: 人类可读的研究报告摘要。 ### 3. 运行测试套件 验证基准生成器和评估流水线的正确性: ``` pytest tests/test_research_evaluation.py ``` ## 💻 API 服务与操作模式 CyberShieldNet 包含一个服务层,用于通过 FastAPI 端点公开威胁风险评估。 ### 模式 A: Python 3.14 纯 API 模式 (轻量级) 如果您在 Python 3.14 上遇到依赖问题,请运行轻量级的 Starlette 服务器,该服务器仅需标准库和轻量级路由: ``` python -m pip install uvicorn starlette python -m uvicorn tools.starlette_server:app --host 127.0.0.1 --port 8000 ``` * `GET /health`: 返回服务健康状态。 * `GET /`: 返回基本系统元数据。 * `POST /predict`: 评估传入的轻量级演示风险评分。 ### 模式 B: 完整 ML 模式 (FastAPI) 运行包含高级深度模型的完整技术栈: ``` python -m pip install -r ml-requirements.txt python -m uvicorn src.cybershieldnet.api.fastapi:app --host 127.0.0.1 --port 8000 ``` 交互式 API 文档将在 `http://127.0.0.1:8000/docs` 提供。 ## 📂 项目结构 ``` ├── config/ # Deployment and model configurations ├── data/ │ └── results/ # Research metrics and reports ├── docs/ # Supporting research documentation │ ├── methodology.md # Detailed hypotheses and experimental design │ ├── threat_model.md # Attacking surface and assumptions │ ├── model_card.md # Model limitations and intended use │ └── research_plan.md # Future publication roadmap ├── experiments/ # Reproducibility evaluation runners ├── src/ │ └── cybershieldnet/ │ ├── api/ # API serving layers (FastAPI) │ ├── core/ # Security configuration utilities │ ├── fusion_engine/ # Fusion networks and models │ ├── research/ # Benchmark generator and evaluators │ └── risk_assessment/# Threat score classifiers ├── tests/ # Integrity and regression test suites └── tools/ # Script utilities (e.g., Starlette server) ``` ## 📄 许可证与引用 此研究代码库采用 MIT 许可证授权。 如需学术引用,您可以参考:
标签:Apex, Python, 威胁情报, 开发者工具, 异常检测, 无后门, 机器学习, 网络安全, 隐私保护