dudyalagurusreekar/-Incident-Response-Simulator

## title: 事件响应 MVP emoji: 🛡️ colorFrom: blue colorTo: red sdk: docker pinned: false # 🛡️ Cloud Incident Response Environment (OpenEnv) 一个基于 OpenEnv 的强化学习环境，其中 AI agent 担任一级安全运营中心 (SOC) 分析师... # README.md 占位符 # 🛡️ Cloud Incident Response Environment (OpenEnv) 一个基于 OpenEnv 的强化学习环境，其中 AI agent 担任一级安全运营中心 (SOC) 分析师。Agent 必须调查警报，识别活跃的网络威胁，并在严格的时间限制内缓解威胁，且不能对健康的基础设施造成附带损害。 ## 🌟 现实世界的问题 云成本优化和通用路由是常见的玩具问题。此环境模拟**自动化事件响应**。现实世界的 SOC agent 面临着： - **嘈杂的警报：** 区分误报和真实攻击。 - **时间限制：** 如果不停止，恶意软件会按顺序传播。 - **权衡：** 隔离关键数据库可以阻止攻击，但会导致严重的业务停机（在奖励函数中会受到重罚）。 ## ⚙️ 环境规格 - **Action Space:** `read_logs `, `block_ip `, `isolate_server ` - **Observation Space:** 当前 Tick (时间)、系统状态图以及基于文本的日志输出。 - **Grader:** 严格的 `0.0` 到 `1.0` 评分，基于威胁消除 (+0.6)、速度/效率 (+0.4) 以及附带损害惩罚 (每个被隔离的健康服务器 -0.3)。 ## 🎯 3 个任务 (难度等级) 1. **简单 (`easy`):** 单个嘈杂 IP 对 Web 服务器进行暴力破解。Agent 只需读取日志，找到该 IP，并在 Tick 6 之前将其阻止。 2. **中等 (`medium`):** 诱饵警报。数据库上的高内存使用分散了注意力，忽略了 Web 服务器上真正的 CPU 峰值。Agent 必须读取多个日志才能找到真正的来源。 3. **困难 (`hard`):** 传播速度快两倍的多阶段攻击。需要精确、立即采取行动以防止全网数据渗出。 ## 🚀 运行基线 此环境已完全容器化，并包含标准的 OpenAI 兼容推理脚本。 ``` # 1. 构建 Docker 镜像 docker build -t incident-response-env . # 2. 运行环境服务器 docker run -p 8000:8000 incident-response-env # 3. 运行基线 Agent（在单独的终端中） export API_KEY="your_api_key_here" python inference.py ```

标签：AMSI绕过, DNS 反向解析, IP封禁, L1 分析师, OPA, OpenAI Gym, Petitpotam, PE 加载器, SOAR, 业务连续性, 仿真环境, 决策系统, 威胁检测, 安全运营中心, 强化学习, 恶意软件防御, 无线安全, 服务器隔离, 深度强化学习, 网络安全, 网络映射, 自动化事件响应, 误报处理, 请求拦截, 逆向工具, 配置错误, 隐私保护, 靶场, 风险权衡