marjatmm-sec/qute

## 什么是 Qute？ Qute 通过 syslog (TCP/UDP) 接收安全遥测数据，将其与包含 40 条 Sigma 检测规则的语料库进行评估，并**在经典电路和量子电路中运行相同的检测问题** —— 在准确率、F1、误报率和延迟方面进行并排比较。 量子层使用 [NVIDIA CUDA-Q](https://developer.nvidia.com/cuda-q) 进行 GPU 加速的电路模拟。真实的噪声建模和纠错由 [NVIDIA Ising](https://developer.nvidia.com/ising) 解码模型提供。不需要 QPU。 Qute 是一个**研究和基准测试平台** —— 而不是生产环境的 SIEM 替代品。它旨在回答这个问题：*量子优势在什么阶段、以及在什么检测场景下会变为现实？* ## 主要结果 (v0.2) | 指标 | 经典 | 量子 (6-qubit VQC) | |---|---|---| | 有效性 (0–100) | 98.95 | **99.55** | | 准确率 | 99% | **100%** | | F1 | 0.989 | **1.000** | | 漏报 | 0 | 0 | | 误报 | 1 | 0 | | Windows 检测 | ✅ | ✅ | | 端口扫描检测 | ✅ | ✅ | **量子在结合 v2 特征的 6 比特下胜出。** VQC 在 100 个事件的演示数据集上实现了完美分类 —— 包括在 4 比特下无法检测到的 Windows 执行威胁 (Rundll32、PowerShell、PsExec、mshta)。 **量子异常检测：** 没有匹配规则但 VQC 置信度高 (≥0.80) 的事件会以 `quantum_anomaly` 形式呈现 —— 标记出规则语料库尚未涵盖的威胁。 **量子纠错：** NVIDIA Ising 预解码器在 p=0.003–0.005 (D=7, N=100k shots) 下将表面码逻辑错误率降低了 **26–30%**。 ## 架构 ``` Syslog (port 5514 TCP/UDP) │ ECS Normaliser (24-dim feature vector v2) │ ┌─────┴──────────────────────────────────────┐ │ │ Classical Head Quantum Head (weighted linear classifier) (6-qubit VQC, CUDA-Q) threshold = 4.974 threshold = 0.80 F1 = 0.989 F1 = 1.000 │ │ └─────────────────┬──────────────────────────┘ │ Detector (background thread) Verdicts: confirmed / rule_match / quantum_anomaly / benign │ DuckDB Store │ Streamlit Dashboard (8 tabs) Ingest → Rules → Detections → Quantum → Visualise → Benchmark → Report → Settings ``` ## 特征向量 v2 (24 维) | 维度 | 特征组 | 信号 | |---|---|---| | 0–3 | IP 信号 | 私有/外部，八位组，熵 | | 4–5 | 严重性 | 归一化严重性，高严重性标志 | | 6–8 | 进程类 | 风险评分，认证进程，网络进程 | | 9–12 | 消息模式 | 失败、认证、利用、扫描关键词 | | 13–15 | 上下文 | 重复来源，小时，非工作时间标志 | | 16–17 | Windows 进程 | 高风险可执行文件，依赖现有工具的二进制文件 | | 18–19 | 命令编码 | 编码命令模式，命令熵 | | 20–23 | 执行威胁 | 横向移动，持久化，AV 篡改，路径异常 | 量子电路在编码为 Ry 旋转角度之前，将 24 个特征压缩为 6 个量子比特复合特征 (网络、严重性、进程、消息、Windows、时间)。 ## 快速入门 **要求：** Docker，NVIDIA Container Toolkit (用于 GPU)，Ollama ``` git clone https://github.com/marjatmm-sec/qute.git cd qute git checkout dev # active development branch cp .env.example .env # 编辑 .env — 至少设置 QUTE_OLLAMA_HOST # CPU build (无需 GPU) docker compose build qute-app docker compose up -d qute-app # GPU build (推荐 RTX 2080+) # 编辑 docker-compose.yml: target: gpu，取消 deploy block 的注释 docker compose build qute-app docker compose up -d qute-app ``` UI 可通过 `http://localhost:8503` 访问 ### Ising 模型权重 ``` python3 scripts/download_ising_models.py ``` ## 检测判定结果 | 判定 | 含义 | |---|---| | `confirmed` | 规则匹配 **且** VQC 置信度 ≥ 0.80 —— 双方一致 | | `rule_match` | 规则匹配，VQC 低于阈值 —— 仅经典检测 | | `quantum_anomaly` | 无规则匹配，VQC 置信度 ≥ 0.80 —— 新型威胁模式 | | `benign` | 无规则匹配，VQC 低于阈值 | `quantum_anomaly` 呈现的事件在量子电路看来具有统计异常性，但目前尚未有对应的覆盖规则。 ## 演示模式 Benchmark 标签页包含一个内置的 100 事件合成数据集，具有已验证的基准真值标签。启动后立即运行 —— 无需接收数据。 **数据集 (100 个事件)：** 40 个良性例行事件，15 个良性认证事件，15 个 SSH 暴力破解，10 个权限提升，10 个端口扫描，10 个横向移动。 **实时基准测试：** 切换到 Live 模式并选择 **Rule-based (from detections)** 基准真值，以针对您实际接收的事件流进行基准测试。 ## Sigma 规则语料库 (40 条规则) | 平台 | 规则 | |---|---| | Linux | 24 — SSH 暴力破解，权限提升，防火墙丢弃，横向移动，凭证访问 | | Windows | 13 — Rundll32，PowerShell，mshta，PsExec，LSASS 转储，AV 篡改，计划任务 | | Network | 3 — 端口扫描，C2 信标，大量连接 | ``` python3 scripts/import_sigma_corpus.py --platform all ``` ## 重放生成器 生成逼真的多平台威胁流以进行流水线测试： ``` python3 scripts/replay_generator.py --platform all --rate 2 --anomaly-ratio 0.3 --duration 60 ``` 或者使用 UI 中的 Settings 标签页。Campaign 模式以正弦波方式改变异常比例，模拟攻击活动的爆发与平息。 ## VQC 参数优化 在特征向量更改后重新优化 VQC 参数： ``` python3 scripts/optimise_vqc_params.py --trials 8 --maxiter 2000 ``` 使用向量化的 numpy 模拟，大约 2 分钟内完成。保存至 `data/vqc_params_v2.json`。 ## 配置 | 变量 | 默认值 | 描述 | |---|---|---| | `QUTE_OLLAMA_HOST` | 自动检测 | Ollama 主机 IP | | `QUTE_OLLAMA_MODEL` | `qwen2.5:latest` | LLM 模型 | | `QUTE_QUANTUM_BACKEND` | `nvidia` | `cpu` 或 `nvidia` | | `QUTE_QUANTUM_SHOTS` | `1024` | 每个电路的 Shots 数 | | `QUTE_ISING_NOISE_ENABLED` | `true` | 启用噪声模型 | | `QUTE_ISING_NOISE_DEPOLAR_PROB` | `0.001` | 退极化概率 | | `QUTE_DB_PATH` | `~/.qute/data.db` | DuckDB 路径 | ## GPU 与 CPU 性能 | 后端 | 延迟 (6 量子比特) | 备注 | |---|---|---| | CPU (numpy，精确概率) | ~15ms | 通过向量化状态向量实现快速计算 | | GPU (CUDA-Q，RTX 2080 Ti) | ~180ms | 推荐用于实时检测 | ## 项目结构 ``` qute/ ├── src/ │ ├── ingestion/ # Syslog parsers, normaliser, live listener, replay generator │ ├── classical/ # LLM rule generation, Sigma rule store │ ├── quantum/ # CUDA-Q circuits (VQC/QSVM), Ising noise, runner │ ├── detection/ # Live detector thread, verdict engine │ ├── benchmark/ # Comparator, metrics, ground truth modes │ ├── store/ # DuckDB schema, queries, migrations, settings │ └── ui/ # Streamlit dashboard (8 tabs) ├── data/ │ ├── samples/ # Demo dataset │ ├── vqc_params_v2.json │ └── ising_models/ # Downloaded separately ├── scripts/ │ ├── import_sigma_corpus.py │ ├── optimise_vqc_params.py │ ├── recompute_feature_vectors.py │ └── replay_generator.py ├── vendor/ │ └── ising_decoding_code/ ├── config.py ├── Dockerfile └── docker-compose.yml ``` ## Ising QEC 集成 Quantum 标签页包含一个表面码 QEC 基准测试： ``` Stim surface code circuit (distance D, error rate p) │ NVIDIA Ising CNN pre-decoder │ PyMatching (residual syndrome correction) │ Logical error rate: baseline vs Ising-corrected ``` **已验证 (D=7, p=0.005, N=100k)：** LER 提升 26.6%，综合征密度降低 27.1×。 ## 相关项目 - [SecGraph-AI](https://github.com/marjatmm-sec/SecGraph-AI) — 基于 Neo4j、Ollama 和 MITRE ATT&CK 构建的本地优先 AI 安全咨询服务。Qute 旨在作为量子检测层接入其中。 ## 贡献 请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)。欢迎提交 Issues 和 PR —— 请针对 `dev` 分支进行提交。 ## 许可证 MIT — 详见 [LICENSE](LICENSE)。

标签：AI风险缓解, Kubernetes, NVIDIA CUDA-Q, NVIDIA Ising, OpenCanary, Python, Sigma规则, Syslog, Vectored Exception Handling, VQC, 假阳性率, 变分量子电路, 威胁情报, 安全遥测, 开发者工具, 开源, 异常检测, 插件系统, 无后门, 目标导入, 经典量子对比, 网络安全, 请求拦截, 逆向工具, 量子模拟, 量子计算, 隐私保护