scripticyber/ATTACK-Inference-Engine

# ATT&CK 推理引擎 (AIE) **基于主机和网络遥测数据的实时概率性 MITRE ATT&CK 技术推断** 本项目旨在构建一个取证引擎，具备以下功能： - 采集 Sysmon、Zeek (conn.log, dns.log 等)、ETW、Windows Event Logs - 将数据标准化为通用 Schema - 提取行为特征 - 利用贝叶斯网络 + ML 分类器为 ATT&CK 技术分配动态概率评分 - 提供可解释性 (SHAP, 证据路径) - 输出到 Elasticsearch + 基础仪表盘视图 **状态**: 早期 MVP – 仅支持本地基于文件的处理 (目前尚无 Kafka/Flink)。设计上注重可扩展性。 ## 功能 (计划中 / 部分实现) - 动态 (非特征签名) 技术归因 - 随新事件更新概率置信度评分 - 可解释的归因 - 本地优先 (可在笔记本电脑上运行)，未来支持可扩展 ## 快速开始 (本地) ``` git clone https://github.com/scripticyber/ATTACK-Inference-Engine.git cd ATTACK-Inference-Engine # 选项 1：pip python3 -m venv .venv source .venv/bin/activate # or .venv\Scripts\activate on Windows pip install -r requirements.txt # 选项 2：poetry（推荐） # poetry install # 在样本数据上运行基本 pipeline python3 src/main.py --input data/samples/ ```

标签：AMSI绕过, Apex, Cloudflare, EDR概念, Elasticsearch, ETW, FTP漏洞扫描, HTTP/HTTPS抓包, MITRE ATT&CK, Python安全工具, Rootkit, SHAP, Sysmon, Windows事件日志, Zeek, 可解释AI, 威胁检测, 安全编排, 实时分析, 异常检测, 态势感知, 数字取证, 数据规范化, 机器学习, 概率推断, 网络安全, 网络遥测, 自动化脚本, 贝叶斯网络, 逆向工具, 隐私保护, 集成学习