ssadik11/Network-and-Identity-Centric-Forensics

GitHub: ssadik11/Network-and-Identity-Centric-Forensics

基于零信任架构的内部威胁检测与取证重建框架，通过多源日志关联和混合异常检测实现攻击时间线的自动重构与可解释报告。

Stars: 0 | Forks: 0

# 零信任取证 — 内部威胁检测与重构 [![Python 3.11](https://img.shields.io/badge/python-3.11-blue.svg)](https://python.org) [![Docker](https://img.shields.io/badge/docker-ready-blue.svg)](https://docker.com) [![License: MIT](https://img.shields.io/badge/License-MIT-yellow.svg)](LICENSE) ## 架构概述 ``` ┌─────────────────────────────────────────────────────────────────────┐ │ ZERO TRUST FORENSIC PIPELINE │ │ │ │ ┌──────────────┐ ┌──────────────┐ ┌───────────────────────┐ │ │ │ Scenario │ │ ZT Arch │ │ Raw Log Streams │ │ │ │ Generator │───▶│ Emulator │───▶│ IAM | Net | EDR | Pol│ │ │ └──────────────┘ └──────────────┘ └───────────┬───────────┘ │ │ │ │ │ ┌────────────▼──────────┐ │ │ │ Data Normalizer │ │ │ │ (Unified Event Schema│ │ │ └────────────┬──────────┘ │ │ │ │ │ ┌────────────────────────▼──────────┐ │ │ │ Timeline Reconstructor │ │ │ │ Session Grouping | Kill-Chain │ │ │ │ Annotation | Graph Construction │ │ │ └────────────┬──────────────────────┘ │ │ │ │ │ ┌───────────────────────────▼─────────────────────┐ │ │ │ Anomaly Detection Ensemble │ │ │ │ Isolation Forest | Autoencoder | Graph-GNN │ │ │ └───────────────────────────┬─────────────────────┘ │ │ │ │ │ ┌────────────────▼──────────────────────┐ │ │ │ Evaluator & Reporting Engine │ │ │ │ Metrics | Timelines | Narratives │ │ │ └───────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────────┘ ``` ## 快速开始 (Docker) ``` git clone https://github.com/yourorg/zt-forensics.git cd zt-forensics # 构建并运行 full pipeline docker compose up --build # 查看结果 cat reports/evaluation_report.txt ``` ## 快速开始 (本地) ``` pip install -r requirements.txt python main.py --days 30 --users 10 --output reports/ ``` ## 项目结构 ``` zt-forensics/ ├── src/ │ ├── emulator/ # Zero Trust architecture emulator (PDP/PEP) │ ├── generator/ # Synthetic scenario generator │ ├── normalizer/ # Log ingestion & unified schema │ ├── reconstructor/ # Timeline & kill-chain reconstruction │ ├── detector/ # Anomaly detection ensemble │ └── evaluator/ # Metrics, reporting, visualization ├── config/ # YAML policies and schema definitions ├── diagrams/ # Architecture & flow diagrams (PNG/SVG) ├── tests/ # Unit and integration tests ├── data/ # Generated logs (gitignored except samples) ├── reports/ # Output reports ├── main.py # Pipeline entry point ├── Dockerfile ├── docker-compose.yml └── requirements.txt ``` ## 研究贡献 1. **结构化 ZT 取证方法** — 将 IAM + 策略 + 网络 + EDR 关联到杀伤链时间线中 2. **混合检测流水线** — 基于规则的关联 + Isolation Forest + Autoencoder + 图异常评分 3. **合成测试平台** — 包含基本真值标签的逼真良性/恶意场景 4. **可解释性** — 带有阶段注释的人类可读取证叙述 ## 引用 ``` @inproceedings{ztforensics2025, title={Network and Identity-Centric Forensics for Insider Threat Detection and Reconstruction in Zero-Trust Architectures}, booktitle={IEEE Conference}, year={2025} } ```

标签：API调用分析, Cloudflare, Docker, EDR, FTP漏洞扫描, IAM, MITRE ATT&CK, PE 加载器, Python, XAI, ZT架构仿真, 内部威胁检测, 可解释推理, 场景生成器, 威胁情报, 安全编排, 安全防御评估, 开发者工具, 无后门, 日志流处理, 混合架构, 终端安全, 网络安全, 网络流量分析, 脆弱性评估, 请求拦截, 隐私保护, 零信任取证