arapgechina24-lgtm/NCTIRS.

GitHub: arapgechina24-lgtm/NCTIRS.

国家网络威胁情报与响应系统,为保护关键基础设施提供实时威胁分析、SOAR自动化响应和Zero-Trust架构的AI驱动主权防御平台。

Stars: 1 | Forks: 0

# 国家网络威胁情报与响应系统 (NCTIRS) ![NCTIRS Logo](https://raw.githubusercontent.com/arapgechina24-lgtm/NCTIRS./main/public/shield-logo.png) **肯尼亚共和国的主权 AI 驱动网络防御矩阵** [![构建状态](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/85c37b725a095036.svg)](https://github.com/arapgechina24-lgtm/NCTIRS./actions/workflows/ci.yml) [![Scorecard 供应链安全](https://github.com/ossf/scorecard-action/actions/workflows/scorecard.yml/badge.svg)](https://github.com/ossf/scorecard-action/actions/workflows/scorecard.yml) [![CodeQL](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/c1d1159877095037.svg)](https://github.com/arapgechina24-lgtm/NCTIRS./actions/workflows/codeql.yml) [![许可证](https://img.shields.io/badge/License-Apache_2.0-blue.svg)](https://opensource.org/licenses/Apache-2.0) ## 🛡️ 战略必要性 **NCTIRS** 是一个精英级的主权网络防御平台,专为保护肯尼亚的国家关键基础设施 (CNI) 而构建。与将敏感的国家遥测数据传输到外国数据中心的进口 SIEM/SOAR 解决方案不同,NCTIRS 保证 **100% 的数据驻留**,同时部署专门针对区域威胁向量训练的本地化 AI 模型。 该项目是为 **国家情报与研究大学 (NIRU) AI 黑客马拉松** 开发的,严格符合《国家网络安全战略》(2022-2017)、《计算机滥用和网络犯罪法》(2018) 以及《数据保护法》(2019)。 ## 🏛️ 系统架构 NCTIRS 建立在三方 Zero-Trust 架构之上,将摄取、情报和执行分离为独立的加固层。 ``` graph TD %% Define Styling classDef layerFill fill:#001a00,stroke:#00ff41,stroke-width:2px,color:#00ff41; classDef nodeFill fill:#000000,stroke:#008f11,stroke-width:1px,color:#00fa00; classDef cniFill fill:#1a0000,stroke:#ff0000,stroke-width:1px,color:#ff0000; subgraph Perception ["1. Perception Layer (Data Ingestion)"] A1[IFMIS Sensors]:::cniFill A2[eCitizen Logs]:::cniFill A3[KRA Telemetry]:::cniFill A4[ISP Border Gateway]:::cniFill DL[(Sovereign Data Lake\nTurso / SQLite at Edge)]:::nodeFill A1 --> DL A2 --> DL A3 --> DL A4 --> DL end subgraph Cognition ["2. Cognition Layer (AI Analysis - ATAE)"] B1[Z-Score Anomaly Engine\n(Payload/Frequency)]:::nodeFill B2[Federated Behavioral AI\n(APT Kill-Chain Math)]:::nodeFill B3[Predictive Forecaster\n(Exponential Smoothing)]:::nodeFill B4[Swahili NLP Engine\n(Threat Intel Parsing)]:::nodeFill DL --> B1 DL --> B2 DL --> B3 DL --> B4 end subgraph Execution ["3. Integrity Layer (Response - ARCM)"] C1{AI Decision Matrix\nConfidence > 85%}:::nodeFill C2[Kinetic IP Blocking\n(iptables/BGP)]:::nodeFill C3[Network Isolation\n(Air-Gap/VLAN)]:::nodeFill C4[Immutable Audit\n(Blockchain SHA-256)]:::nodeFill C5[NC4 Compliance\n(CMCA 2018 Specs)]:::nodeFill B1 --> C1 B2 --> C1 B3 --> C1 B4 -.-> C1 C1 -- Autoblock --> C2 C1 -- Quarantine --> C3 C2 --> C4 C3 --> C4 C1 --> C5 end class Perception layerFill; class Cognition layerFill; class Execution layerFill; ``` ## 🚀 核心架构能力 ### 1. 人工智能威胁分析引擎 (ATAE) NCTIRS 摒弃了缓慢的、基于规则的启发式方法,转而采用四个直接在情报数据湖上运行的实时机器学习推理引擎: - **Z-Score 异常检测:** 识别 IFMIS、eCitizen 和 KRA 系统中网络负载和协议行为的统计显著偏差。 - **联邦行为分析:** 映射复杂的时间突发、地理聚类和目标锁定,以重建多向量 APT 杀伤链。 - **预测趋势预报:** 利用指数平滑和线性回归预测 7 天的威胁范围。 - **斯瓦希里语感知 NLP 引擎:** 从非结构化威胁情报源中提取 IOC (失陷指标)、威胁行为者签名和紧急语义。 ### 2. 自主响应与封控模块 (ARCM) 系统执行 **200 毫秒以内的自主威胁中和**,极大地缩短了检测与封控之间的延迟: - **动态 IP 封锁:** 动态生成 `iptables` 规则并在 ISP 级别启动 BGP 黑洞路由,以切断攻击者连接。 - **主权网络隔离:** 根据目标 CNI 资产的关键性,自动触发物理隔离、VLAN 隔离或微分段。 - **取证保管链:** 触发自动内存转储,轮换受损凭证,并将所有封控操作记录到不可变的区块链账本 (SHA-256) 中。 ### 3. 法律合规与 NC4 集成 对于每一次封控操作,NCTIRS 都会自动生成一份标准化的 **NC4 (国家 KE-CIRT/CC) 合规报告**,确保所有自动防御措施均符合法庭采信要求,并严格遵守 CMCA 2018 起诉标准。 ## 💻 技术栈与工程严谨性 NCTIRS 为速度、规模和毫不妥协的安全性而构建。 - **框架:** Next.js 15 (React 19) — Edge 优化的服务器组件 - **数据库:** libSQL / Turso — Edge 端高可用分布式 SQLite - **ORM:** Prisma — 类型安全的数据库访问 - **认证:** NextAuth.js (v5) — 加固的会话管理 - **机器学习:** 原生 TypeScript 自定义统计推理模型 (零 Python 开销) - **CI/CD:** GitHub Actions — 83 个自动化测试,强制要求每次提交 100% 通过率 - **样式:** Tailwind CSS v4 — 高性能、零运行时 CSS,配备专用的 `lg:grid-cols-3` 响应式仪表板。 ## 🛠️ 本地部署指南 在本地部署 NCTIRS 以体验实时威胁源和自主 SOAR 执行。 ### 前置条件 - Node.js `v20.x` 或更高版本 - Git ### 安装步骤 1. **克隆仓库** git clone https://github.com/arapgechina24-lgtm/NCTIRS.git cd NCTIRS. 2. **安装依赖** npm ci 3. **配置环境** 复制 `.env.example` 并设置您的 Turso 数据库连接: cp .env.example .env.local # 确保 DATABASE_URL 和 TURSO_AUTH_TOKEN 已设置。 # 如果留空,系统将优雅降级为本地 SQLite 文件 (ci-test.db)。 4. **初始化数据库** npx prisma generate npx prisma db push 5. **启动指挥中心** npm run dev 导航至 `http://localhost:3000`。 *注意:黑客马拉松演示模式允许通过 `admin@nis.go.ke` 一键访问。* ## 🧪 测试与验证 该平台依赖 `vitest` 和 `@testing-library/react` 进行全面的单元和 DOM 测试。 ``` # 运行全部 83 个 test suites npm run test # 运行 code linting npm run lint ``` ## 🔐 安全与漏洞披露 NCTIRS 实施严格的 **Shield-Core** Zero-Trust 架构。这包括: - 严格的 `Content-Security-Policy` 和 `Strict-Transport-Security` 标头。 - 对所有 `/api/ml/` 和 `/api/soar/` 端点进行基于 Next.js Edge 的速率限制。 - 防止 SQL 注入的只读执行模式。 *如果您发现漏洞,请勿公开提交 issue。请发送邮件至 `security@nctirs.go.ke` (模拟)。* ## 📜 许可证 本项目采用 **Apache License 2.0** 授权。有关详细信息,请参阅 `LICENSE` 文件。 *"预测。隔离。防御。"* **为 NIRU AI 黑客马拉松 2026 开发**
标签:AI驱动安全, CISA项目, DNS 反向解析, FTP漏洞扫描, HTTP/HTTPS抓包, HTTP工具, IP 地址批量处理, SOAR自动化, 主权云, 国家安全, 国家网络安全, 威胁情报, 安全编排, 实时威胁分析, 密码管理, 开发者工具, 态势感知, 插件系统, 数据主权, 智慧警务, 深度学习安全, 网络威胁狩猎, 网络安全审计, 肯尼亚, 自动化攻击, 零信任架构