ains-lab/ti-brain

# TI-Brain **CTI Ontology 기반 보안 위협 분석·예측 엔진** Cyber Threat Intelligence(CTI) 데이터를 온톨로지로 구조화하고, Knowledge Graph 기반 AI로 **Mythos 등 AI 공격자의 공격 행위와 Malicious Behavior를 빠르게 탐지 및 예측**하는 엔진입니다. ## 프로젝트 목표 - 위협 행위자(Threat Actor), 공격 기법(TTP), IoC, 캠페인, 취약점(CVE/CWE), 공격 시나리오를 **온톨로지(Ontology)** 형태로 구조화 - **위협 연관성 분석** — Actor ↔ TTP ↔ IoC ↔ Campaign 간 관계 추론 - **공격 경로 추론** — 초기 접근부터 데이터 유출까지 공격 체인 예측 - **AI 기반 위협 예측** — GNN + Temporal Modeling으로 공격 진화 패턴 분석 - **지식 그래프 기반 CTI 탐지 및 대응** — Explainable Reasoning으로 근거 제공 ## 아키텍처 CTI Feed → Parsing → Entity Extraction → Ontology Mapping → Knowledge Graph │ ┌───────────────────────┤ │ │ GNN Analyzer LLM+RAG Engine │ │ └───────────┬───────────┘ │ Threat Prediction & Reasoning Engine │ SOC Integration (SIEM/SOAR/EDR) ## 개발 로드맵 | 단계 | 기간 | 핵심 목표 | | --- | --- | --- | | Phase 1 | 1~2개월 | CTI 데이터 소스 선정 및 요구사항 정의 | | Phase 2 | 2~4개월 | CTI 온톨로지 설계 (OWL/RDF) | | Phase 3 | 4~6개월 | Knowledge Graph 구축 및 Graph API 개발 | | Phase 4 | 6~8개월 | AI 기반 위협 분석 모델 개발 (GNN, LLM+RAG) | | Phase 5 | 8~10개월 | 위협 예측 및 추론 엔진 개발 | | Phase 6 | 10~12개월 | 실증/평가 및 운영 플랫폼 구축 | ## 기술 스택 | 영역 | 기술 | | --- | --- | | Ontology | OWL, RDF, Protégé | | Graph DB | Neo4j, Stardog | | CTI Standard | STIX/TAXII | | AI / GNN | PyTorch Geometric, DGL | | LLM | Llama3, Mistral | | Vector DB | Milvus, Weaviate | | Streaming | Kafka | | Reasoning | Apache Jena, RDFox | ## CTI 데이터 소스 - MITRE ATT&CK - STIX/TAXII - MISP - OpenCTI - VirusTotal - AlienVault OTX - CISA KEV - CVE/NVD - Malware Bazaar - Darkweb CTI ## 핵심 온톨로지 개체 | Entity | 설명 | | --- | --- | | Threat Actor | 공격 그룹 | | Malware | 악성코드 | | Campaign | 공격 캠페인 | | TTP | 공격 기법 | | Vulnerability | CVE/CWE | | IOC | IP/Domain/Hash | | Tool | 공격 도구 | | Asset | 보호 대상 | ### 주요 관계(Relationship) `uses` · `exploits` · `targets` · `attributedTo` · `communicatesWith` · `drops` · `indicates` ## 차별화 포인트 1. **CTI + Ontology + GNN 융합** — 단순 IOC 탐지를 넘어 관계 기반 추론과 공격 흐름 예측 2. **Explainable Threat Intelligence** — KG 기반 reasoning으로 LLM hallucination 최소화, provenance 제공 3. **Dynamic Threat Evolution Modeling** — 정적 ATT&CK 매핑이 아닌 시간축 기반 공격 진화 분석 4. **Autonomous CTI Agent 확장** — AI Security Agent, Autonomous SOC, Multi-Agent CTI Collaboration으로 확장 가능 ## 목표 KPI | KPI | 목표 | | --- | --- | | CTI Entity Precision | >95% | | Threat Prediction Accuracy | >85% | | Graph Query Latency | <1 sec | | Explainability Coverage | >90% | | IOC Correlation Accuracy | >88% | ## 문서 - [마일스톤 상세](docs/milestone.md) ## License TBD