Ajayduddu/Cyber-Intelligence-Wing

# 网络情报中心：AI 驱动的 MITRE ATT&CK 映射 ## ** 实时仪表盘** 实时取证仪表盘可通过以下地址访问： **[http://20.48.224.119:5000](http://20.48.224.119:5000)** ## **项目概述** **网络情报中心** 是一个先进的网络安全基础设施，旨在填补原始蜜罐数据与可操作威胁情报之间的空白。该系统托管在 **Azure VM** 上，利用定制的 **SciBERT-BiLSTM** 神经网络，将传入的威胁以高精度自动归类到 **MITRE ATT&CK** 框架中。 ## **主要功能** * **AI 驱动的映射**：利用 SciBERT-BiLSTM 模型分析原始日志（例如 Log4Shell、SSH Brute Force）的语义，并将其映射到具体的 MITRE 技术。 * **Azure 原生部署**：完全部署在 Azure VM 上，以确保公开的可访问性和专业的可靠性。 * **双源架构**：配备高速推理引擎，能够处理通过 **T-Pot** 收集的 **1000 万条警报**。 * **取证验证**：集成了交叉比对逻辑，将识别出的漏洞利用与实时网络情报进行对照，以进行经过验证的威胁分析。 ## **仓库结构与逻辑** 本仓库包含完整的研究、开发和生产流水线： * **`app.py`**：基于 Flask 的核心程序，在 **Port 5000** 上提供仪表盘服务并处理实时 API 请求。 * **`model.py`**：定义了定制的 **SciBERT-BiLSTM** 神经网络架构。 * **`retrain_model.py`**：用于使用实时 T-Pot 日志上下文更新模型权重的生产脚本，以防止“模型漂移”。 * **`training exploitation.py`**：在开发阶段使用的研究型脚本，用于模拟和分析特定的漏洞利用行为，以优化检测引擎。 * **`mitre_scraper.py`**：一个动态爬虫，确保系统与官方 MITRE ATT&CK 矩阵中的最新 TTP 保持同步。 * **`google_search.py`**：一个自动化验证脚本，提取实时安全通报以交叉验证模型预测。 * **`bilstm_model_full.pth`**：由训练过程生成的序列化模型权重（即“大脑”）。 ## **技术架构** * **数据接入**：通过 **T-Pot** 蜜罐节点跨多个模拟的易受攻击服务端口收集原始日志。 * **处理**：Flask 后端通过涉及 **Python** 和 **Pandas** 的 ML 流水线处理传入的数据。 * **可视化**：交互式前端显示 MITRE 技术 ID、描述和模型置信度得分。 ## **网络与安全** * **Web 访问**：仪表盘托管在 **Port 5000** 上，可通过 Azure VM 的公共 IP 进行访问。 * **安全认证**：基础设施和后端访问使用 **Fortinet** 身份验证令牌和安全码进行保护。 * **数据源**：真实取证数据存储在 `labeled_tpot_data.csv` 中，该数据源自 1000 万条警报的数据集。 ## **技术栈** * **语言**：Python (数据科学/后端)、SQL (数据库)、C、Lex。 * **云与 DevOps**：Azure Cloud、Git/GitHub、Fortinet。 * **数据科学**：Pandas、SciBERT-BiLSTM、PyTorch (用于 `.pth` 模型权重)。 ## **安装与部署** 1. **克隆仓库**： git clone [https://github.com/Ajayduddu/Cyber-Intelligence-Wing.git](https://github.com/Ajayduddu/Cyber-Intelligence-Wing.git) 2. **设置环境**： ``` source ~/ml_env/bin/activate pip install -r requirements.txt ``` 3. **Launch the Application**: ```bash python app.py ``` ## **路线图与未来工作** * **Sentinel API Integration**: Automating the generation of **Suricata rules** based on predicted threats. * **Real-Time Autonomous Response (RTAR)**: Transitioning from passive forensic detection to active network mitigation. * **Elasticsearch Integration**: Full live-streaming of the 10M alert backend into the inference engine. --- ### **作者** **Ajay Kumar Duddu** *Master's in Cybersecurity , NYIT. ```

标签：AI安全, Apex, Azure, BiLSTM, Chat Copilot, CISA项目, Cloudflare, Flask, Log4Shell, MITRE ATT&CK, PoC, Python, SciBERT, TTP映射, 云部署, 仪表盘, 凭据扫描, 可扩展性, 多线程, 大数据处理, 威胁情报, 开发者工具, 数据清洗, 无后门, 暴力破解, 机器学习, 模型重训, 深度学习, 网络安全, 自动化分类, 蜜罐, 证书利用, 逆向工具, 隐私保护