veerasagar/ACTIS-MCE442P
GitHub: veerasagar/ACTIS-MCE442P
ACTIS是一个基于联邦学习的隐私保护入侵检测系统,允许多个组织协同训练模型而不共享原始数据,以检测网络威胁。
Stars: 0 | Forks: 0
# ACTIS — 自适应网络威胁情报系统
一种隐私保护的联邦入侵检测系统,结合了**联邦学习**、**检索增强生成(RAG)**、**零日攻击检测**和**跨组织网络的实时部署**。
## 概述
ACTIS 使多个组织能够在**不共享原始网络数据**的情况下协同训练共享的入侵检测模型。每个组织完全控制其流量——只有经过清理的威胁情报和添加了差分隐私噪声的模型权重会离开本地节点。
该系统可检测企业及物联网网络中的**9类攻击**,生成映射到 MITRE ATT&CK 框架的威胁报告,并作为实时监控管道进行部署。
## 核心特性
- **4节点联邦学习** — 跨企业 (CIC-IDS2018) 和物联网 (BoT-IoT) 流量数据集的联邦学习
- **零日攻击检测** — 基于协议的自编码器 (TCP/UDP/ICMP),DDoS 检测率达 99.5%
- **带弃权的 RAG** — 交叉编码器重排序 + 通过置信度阈值防止幻觉
- **隐私保护栈** — PII 清洗 (0% 泄漏) + 模型梯度的 (ε, δ) 差分隐私
- **66维特征工程** — 25个派生特征,包括 TCP 标志分解和窗口比率分析
- **LLM增强报告** — Gemini 驱动的高危事件威胁摘要
- **实时部署** — 支持实时 CSV、日志尾随和 nfdump 管道输入
## 快速开始
### 前置条件
- Python 3.9+
- pip
- Kaggle API 凭证 (用于下载数据集)
### 安装
```
git clone https://github.com/your-username/MCE442P.git
cd MCE442P
bash scripts/setup.sh
```
此命令将安装所有依赖项并下载两个数据集 (约 3 GB)。
### 运行验证
```
# 运行所有 9 个验证阶段
bash scripts/run.sh
# 运行特定阶段(例如,FL 训练 + zero-day + ReGAIN 基准测试)
bash scripts/run.sh 3 5 8
```
| 阶段 | 验证内容 | 命令 |
| :---: | :--- | :--- |
| 1 | 数据管道 + 特征工程 | `bash scripts/run.sh 1` |
| 2 | 本地 IDS (无联邦) | `bash scripts/run.sh 2` |
| 3 | 联邦学习 (4 节点) | `bash scripts/run.sh 3` |
| 4 | PII 清洗 + 差分隐私噪声 | `bash scripts/run.sh 4` |
| 5 | 零日 DDoS 检测 | `bash scripts/run.sh 5` |
| 6 | RAG + 跨组织情报 | `bash scripts/run.sh 6` |
| 7 | BERTScore 报告质量 | `bash scripts/run.sh 7` |
| 8 | ReGAIN 基准复现 | `bash scripts/run.sh 8` |
| 9 | 完整评估套件 | `bash scripts/run.sh 9` |
### 实时监控
```
# 处理一个 CSV 文件
python3 -m src.live_monitor --input flows.csv --company A
# 跟踪一个增长中的日志
python3 -m src.live_monitor --tail /var/log/netflows.csv
# 从 nfdump 进行管道传输
nfdump -r capture.nfcapd -o csv | python3 -m src.live_monitor --stdin
```
## 结果
### 与基准论文对比
| 指标 | ReGAIN | Tri-LLM | CyberRAG | **ACTIS** |
| :--- | :---: | :---: | :---: | :---: |
| TCP SYN Flood 准确率 | 98.82% | — | — | **100.00%** |
| ICMP/UDP Flood 准确率 | 95.95% | — | — | **99.45%** |
| 联邦学习准确率 (non-IID) | — | 85.6% | — | **98.4%** |
| 零日 DDoS | ~60% | 68% | — | **99.5%** |
| BERTScore F1 | — | — | 0.94 | 0.919 |
| PII 保护 | ❌ | ❌ | ❌ | **✅ 0%** |
| 实时部署 | ❌ | ❌ | ❌ | **✅** |
### 联邦学习 (4 节点, 5 轮次)
| 节点 | 数据集 | 准确率 | F1 |
| :--- | :--- | :---: | :---: |
| A | CIC-IDS2018 | 76.1% | 0.8205 |
| B | CIC-IDS2018 | 70.8% | 0.7867 |
| C | BoT-IoT | 94.9% | 0.9560 |
| D | BoT-IoT | 94.9% | 0.9580 |
标签:AI驱动安全, Apex, Cloudflare, DLL 劫持, MITRE ATT&CK, Python, PyTorch, 企业安全, 信任感知, 入侵检测系统, 凭据扫描, 协作学习, 多组织合作, 大语言模型, 威胁情报, 威胁报告, 安全数据湖, 差分隐私, 开发者工具, 异常检测, 数据去标识化, 无后门, 机器学习, 检索增强生成, 深度学习, 物联网安全, 特征工程, 网络安全, 网络安全, 网络流量分析, 网络资产管理, 联邦学习, 自动化威胁情报, 逆向工具, 隐私保护, 隐私保护, 零日攻击检测