Bhuvanesh3602/APTGuard-AI

## 问题所在 印度的国家关键基础设施正遭受持续且不断升级的攻击。 | 事件 | 年份 | 影响 | |---|---|---| | AIIMS Delhi 勒索软件 | 2022 | 瘫痪超过 2 周；患者记录被加密，手术被推迟 | | CBSE 数据泄露 | 2024 | 数百万人的考试记录被泄露 | | CBSE APT 协同攻击 | 2026 年 1 月 | 在董事会考试前，多个邦实施紧急关停；学生数据被窃取 | | CERT-In 事件总数 | 2023 | 处理了 **159 万起**网络安全事件 — 并且还在持续增加 | **根本原因不在于攻击本身，而在于检测速度。** - 政府网络中 APT 的平均驻留时间：**207 天** - 印度公共部门：**超过 70% 的系统运行在已停止维护的 IT 基础设施上**（《2020 年国家网络安全战略》） - 当前的检测方法：**基于特征** — 对零日漏洞和自定义 APT 恶意软件毫无用处 - 当针对某种攻击的特征码出现时，它早已在*某处*得手了 印度的 CNI 需要一个**行为智能层**，它通过*系统正常运行的方式*来检测异常，而不是看它们是否匹配已知的特征码。并且当确认存在威胁时，它需要在几秒钟内**自主响应**，而不是等上几天。 ## 我们构建了什么 这是一个专为印度国家关键基础设施领域（医疗、教育、电网、金融、政府 IT）量身定制的端到端 **AI 驱动的网络韧性平台**，它将从初始攻陷到检测和响应的时间**从几周压缩到了几小时**。 ### 五大能力 | 能力 | 作用 | |---|---| | **行为异常检测** | 为用户、设备和 OT 节点构建基线配置；持续对日志、网络流和端点遥测数据的偏差进行评分 — 无需特征码 | | **印度 APT 归因与预测** | 将观察到的攻击模式映射到已知的针对印度的 APT 活动；在 **下一个可能的 ATT&CK 动作**执行前进行预测 | | **自主事件响应** | 在高置信度检测后的几秒钟内执行特定行业的 SOAR 剧本；对超过定义阈值的爆炸半径决策设置人工审核门禁 | | **政府漏洞优先级排序** | 根据生命周期终止 (EoL) 资产的上下文放大 CVE 严重程度 — Windows XP 系统上的一个中等 CVE 实际上是严重的 | | **网络韧性数字孪生** | 在克隆的网络图上进行攻击路径模拟 — 无需触碰实际的生产系统即可测试红队场景 | ## 相比通用 AiSOC 的创新 该平台建立在开源的 [AiSOC](https://github.com/beenuar/AiSOC) 基础之上。以下是为此次黑客马拉松构建的**全新补充功能**： ### 1. 印度 APT 情报引擎 - **CERT-In + NCIIPC RAG**：将所有 CERT-In 通告和 NCIIPC 公报索引到 Qdrant 向量数据库中；Agent 在调查期间实时检索相关情报 - **针对印度的 APT 组织画像**：包含 SideCopy、APT36 (Transparent Tribe)、Lazarus Group (印度行动) 和 Volt Typhoon 的结构化 TTP 数据库 — 以及它们用于攻击印度政府、教育和医疗目标的特定技术 - **下一步预测器**：当观察到攻击模式 `T1566.001 → T1059.001` 时，Agent 会预测 `T1003.001 (LSASS dump)` 是下一个可能的动作，并预先部署凭据监控警报 - **输出示例**：*"高置信度匹配：SideCopy 阶段 2 横向移动 (T1021.002)。该行为者通常在 4-6 小时内随之使用 T1078 (有效账户)。建议的先发制人行动：强制受影响子网中的域账户重新进行身份验证。"* ### 2. OT/ICS 融合层 - **Modbus + DNP3 连接器**：读取工业控制系统的遥测数据；将其规范化为与 IT 日志相同的 OCSF 事件 schema - **OT UEBA**：为 PLC 命令序列和 SCADA 过程值构建行为基线；通过与基线的偏差来检测异常命令注入 - **IT→OT 枢纽检测**：专门检测 Stuxnet 级别的攻击模式，即攻击者攻陷 IT 工作站后，通过 USB、共享驱动器或历史记录软件枢轴进入隔离的 OT 网络 - **安全第一的响应**：OT 剧本在执行前始终会检查隔离是否会触发安全联锁 — 这是通用 SOAR 平台忽略的一项约束 ### 3. 生命周期终止 (EoL) 资产风险放大器 - **EoL 系数**：CVE 基础 CVSS × EoL 乘数（当前为 1.0× → 没有补偿控制的 EoL 为 3.0×） - **示例**：在已修补的 Windows 11 系统上被评为 6.5（中等）的 CVE-2024-1234 → 在没有补偿控制的 Windows Server 2008 R2 上则被评为 9.75（严重） — 这正是大多数政府网络的真实写照 - **动态修复队列**：随着新 CVE 的发布和资产 EoL 状态的变化，不断对漏洞积压进行重新排序 - **契合政府场景的实际情况**：承认修补所有漏洞是不可能的；在考虑实际资产状态的前提下，优先处理*真正重要*的漏洞 ### 4. 网络韧性数字孪生 - **零生产风险**：在从实时资产清单克隆的 Neo4j 子图上模拟攻击路径 — 绝不会触及生产系统 - **攻击路径查询**：*"如果攻击者攻陷了我们的 DMZ Web 服务器 (Apache 2.4.49, CVE-2021-41773)，那么在 3 次横向移动内可触及的最高价值资产是什么？"* - **爆炸半径可视化**：每一个拟议的自动化动作都会首先在数字孪生上运行；在任何动作在生产环境中执行之前，都会先计算其爆炸半径 - **投资影响建模**：*"如果我们将 OT 网络与 IT 网络分段，当前的高风险攻击路径有多少比例会被消除？"* ### 5. CERT-In 6 小时合规自动化工具 - **监管背景**：CERT-In 2022 年 4 月的指令要求在检测到网络安全事件后的 **6 小时内**进行报告。大多数组织目前都会错过这个时间窗口。 - **自动生成报告**：LLM 在确认事件后的几分钟内，根据调查账本产出的证据（事件时间线、受影响的系统、威胁指标、已采取的初步响应）生成结构化的 CERT-In 报告 - **格式合规**：字段映射到 CERT-In 规定的事件报告格式 - **审计追踪**：每份自动生成的报告都包含其生成所依据证据的加密哈希值 ## 架构 ``` ┌──────────────────────────────────────────────────────────────────────┐ │ DATA SOURCES (India CNI) │ │ │ │ IT Logs OT/ICS Network Cloud │ │ (Windows/Linux) (Modbus/DNP3/ (NetFlow/PCAP/ (AWS/Azure │ │ SCADA/PLCs) Firewall) GovCloud) │ │ │ │ Endpoint Identity SaaS Threat Intel │ │ (osquery/EDR) (LDAP/AD/ (M365/GWS) (CERT-In/ │ │ NIC eSign) NCIIPC/MISP) │ └────────────────────────────┬─────────────────────────────────────────┘ │ ▼ ┌──────────────────────────────────────────────────────────────────────┐ │ INGEST & NORMALISE (Go · OCSF) │ │ │ │ OT/ICS Connector (NEW) │ IT Connectors │ IOC Enrichment │ │ Modbus/DNP3 → OCSF │ 50 vendor taps │ (VT/AbuseIPDB/ │ │ │ │ GreyNoise) │ └────────────────────────────┬─────────────────────────────────────────┘ │ ▼ Apache Kafka Spine ┌──────────────────────────────────────────────────────────────────────┐ │ DETECT & CORRELATE │ │ │ │ ┌──────────────────────┐ ┌─────────────────────────────────┐ │ │ │ UEBA Engine │ │ Fusion Engine │ │ │ │ • User baselines │ │ • LightGBM + Isolation Forest │ │ │ │ • Device baselines │ │ • Dedup (Bloom filter) │ │ │ │ • OT node baselines │◄──►│ • Per-alert confidence score │ │ │ │ (NEW) │ │ • Risk-Based Alerting (RBA) │ │ │ │ • Z-score anomaly │ │ • Sector-aware weighting (NEW) │ │ │ └──────────────────────┘ └─────────────────────────────────┘ │ │ │ │ │ ┌──────────▼──────────┐ │ │ │ Sigma/YARA/KQL │ │ │ │ Rule Engine │ │ │ │ + OT rules (NEW) │ │ │ │ + India APT rules │ │ │ │ (NEW) │ │ │ └──────────┬──────────┘ │ └─────────────────────────────────────────┼────────────────────────────┘ │ Confirmed Alert ▼ ┌──────────────────────────────────────────────────────────────────────┐ │ AI MULTI-AGENT INVESTIGATION (LangGraph) │ │ │ │ ┌──────────────────────────────────────────────────────────────┐ │ │ │ RouterOrchestrator │ │ │ │ │ │ │ │ ┌──────────────┐ ┌──────────────┐ ┌──────────────────┐ │ │ │ │ │ DetectAgent │ │ TriageAgent │ │ HuntAgent │ │ │ │ │ └──────────────┘ └──────────────┘ └──────────────────┘ │ │ │ │ │ │ │ │ ┌────────────────────────────────────────────────────┐ │ │ │ │ │ India APT Attribution Agent (NEW) │ │ │ │ │ │ RAG over CERT-In + NCIIPC + ATT&CK ICS │ │ │ │ │ │ → Actor match + next-move prediction │ │ │ │ │ └────────────────────────────────────────────────────┘ │ │ │ │ │ │ │ │ ┌────────────────────────────────────────────────────┐ │ │ │ │ │ APT Next-Move Predictor Agent (NEW) │ │ │ │ │ │ Observed kill chain → predicted T-codes │ │ │ │ │ └────────────────────────────────────────────────────┘ │ │ │ │ │ │ │ │ ┌─────────────────────┐ ┌──────────────────────────┐ │ │ │ │ │ OT Risk Agent (NEW)│ │ EoL Vuln Agent (NEW) │ │ │ │ │ │ IT→OT pivot detect │ │ CVE × EoL amplification│ │ │ │ │ └─────────────────────┘ └──────────────────────────┘ │ │ │ │ │ │ │ │ ┌─────────────────────────────────────────────────┐ │ │ │ │ │ CERT-In Compliance Agent (NEW) │ │ │ │ │ │ Auto-generate 6-hour mandatory report │ │ │ │ │ └─────────────────────────────────────────────────┘ │ │ │ │ │ │ │ │ ┌──────────────┐ │ │ │ │ │ RespondAgent │ ─────► Sector Playbooks (NEW) │ │ │ │ └──────────────┘ Healthcare / Education / │ │ │ │ Power Grid / Govt IT │ │ │ └──────────────────────────────────────────────────────────────┘ │ │ │ │ Knowledge Stores: │ │ Neo4j (attack graph + Digital Twin) │ Qdrant (CERT-In RAG) │ │ PostgreSQL (cases + ledger) │ Redis (cache + bloom) │ └──────────────────────────────────────────────────────────────────────┘ │ ▼ ┌──────────────────────────────────────────────────────────────────────┐ │ RESPOND & REPORT │ │ │ │ ┌────────────────────┐ ┌──────────────────┐ ┌─────────────────┐ │ │ │ Sector SOAR │ │ Digital Twin │ │ CERT-In │ │ │ │ Playbooks (NEW) │ │ Simulation(NEW) │ │ Auto-Report │ │ │ │ │ │ │ │ (NEW) — 6-hr │ │ │ │ • Healthcare │ │ Attack path │ │ compliance │ │ │ │ • Education │ │ modelling on │ │ window auto- │ │ │ │ • Power Grid │ │ cloned graph. │ │ generated │ │ │ │ • Govt IT │ │ No prod touch. │ │ │ │ │ └────────────────────┘ └──────────────────┘ └─────────────────┘ │ └──────────────────────────────────────────────────────────────────────┘ │ ▼ ┌──────────────────────────────────────────────────────────────────────┐ │ SOC CONSOLE (Next.js 14) │ │ │ │ Investigation Rail │ Attack Graph │ Digital Twin │ OT Topology │ │ CERT-In Compliance │ APT Timeline │ EoL Risk Map │ Anomaly Feed │ └──────────────────────────────────────────────────────────────────────┘ ``` ### 服务映射 | 服务 | 语言 | 端口 | 角色 | |---|---|---|---| | `web` | Next.js 14 | 3000 | SOC 控制台 + 数字孪生 UI + CERT-In 仪表板 | | `api` | Python · FastAPI | 8000 | 核心 REST API + 新的 CNI 端点 | | `agents` | Python · LangGraph | 8001 | 多 Agent 推理，包含 5 个新的印度 CNI Agent | | `fusion` | Python | 8003 | ML 评分 (LightGBM + IsoForest) + 行业感知权重 | | `ueba` | Python | 8007 | 用户 + OT 设备行为分析 | | `actions` | Python | 8002 | 包含 CNI 行业剧本的 SOAR + 爆炸半径数字孪生检查 | | `threatintel` | Python | 8005 | CERT-In + NCIIPC + TAXII / MISP / ATT&CK ICS | | `ingest` | Go | 8081 | OCSF 规范化 (IT + OT) | | `enrichment` | Go | 8080 | IOC 富化 (VT, AbuseIPDB, GreyNoise) | | `realtime` | Node.js | 8086 | WebSocket 控制台推送 | | `ot-connector` | Python | 8092 | **新增** — Modbus/DNP3/SCADA → OCSF | | `digital-twin` | Python | 8093 | **新增** — 基于 Neo4j 克隆的攻击路径模拟 | | `certin-reporter` | Python | 8094 | **新增** — 6 小时 CERT-In 强制报告生成器 | | `eol-prioritiser` | Python | 8095 | **新增** — CVE × EoL 资产放大评分 | ## 从 AiSOC 中移除的内容（及原因） | 移除的组件 | 原因 | |---|---| | `services/honeytokens/` | 不在 CNI 评估标准中；增加了部署负担 | | `services/purple-team/` | 被数字孪生取代 — 相同的模拟目标，采用集成方法 | | `services/slack-bot/` | 演示不需要；增加了配置复杂性 | | `services/teams-bot/` | 同上 | | `services/mcp/` | MCP 集成不是黑客马拉松交付成果的一部分 | | `services/osquery-extensions/` | 被 OT/ICS 连接器取代 | | `infra/fly/`, `infra/railway/`, `infra/render/`, `infra/coolify/` | 保留了单一的 Docker Compose 演示路径 | | 50 多个不相关的 SaaS 连接器 (Salesforce, Jira, Tines 等) | 替换为 CNI 相关的连接器 | | 营销落地页 | 采用控制台优先的体验 | | `apps/docs/` Docusaurus 站点 | 架构文档保留为 markdown 格式；移除了站点本身 | | `scripts/wet_eval*` | 黑客马拉松不需要外部云评估 | | `marketplace/` 和插件注册表 | 与威胁检测演示无关 | ## 构建了什么（新文件） ### 新服务 ``` services/ ├── ot-connector/ # Modbus/DNP3/SCADA → OCSF normaliser │ ├── app/main.py │ ├── app/protocols/ │ │ ├── modbus.py # Modbus TCP packet parser │ │ ├── dnp3.py # DNP3 application layer parser │ │ └── scada.py # Generic SCADA telemetry normaliser │ └── app/ocsf/ # OT → OCSF event mapper │ ├── digital-twin/ # Attack path simulation │ ├── app/main.py │ ├── app/graph/ │ │ ├── clone.py # Clones live Neo4j asset graph into isolated subgraph │ │ ├── paths.py # Cypher-based lateral movement path finder │ │ └── blast.py # Blast radius calculator per proposed action │ └── app/api/ # REST endpoints for twin queries │ ├── certin-reporter/ # CERT-In 6-hour compliance report generator │ ├── app/main.py │ ├── app/templates/ # CERT-In prescribed report format fields │ ├── app/generator.py # LLM-structured report from Investigation Ledger │ └── app/hash.py # Evidence hash-chain for report integrity │ └── eol-prioritiser/ # CVE × EoL amplification scoring ├── app/main.py ├── app/eol_db.py # EoL dates for OS versions / software (offline DB) ├── app/amplifier.py # CVSS × EoL factor calculator (1.0–3.0×) └── app/queue.py # Dynamic risk-ranked remediation queue generator ``` ### 新 AI Agent ``` services/agents/app/agents/ ├── india_apt_agent.py # APT actor attribution via CERT-In RAG ├── apt_prediction_agent.py # Next ATT&CK technique prediction from observed chain ├── ot_risk_agent.py # IT→OT pivot risk assessment ├── eol_vuln_agent.py # EoL-amplified vulnerability triage └── certin_agent.py # CERT-In report drafting from ledger artifacts ``` ### 新检测规则集 ``` detections/ ├── ot/ # OT/ICS Sigma rules │ ├── modbus-replay.yaml # Modbus packet replay attack │ ├── plc-command-inject.yaml │ ├── scada-anomaly-process-value.yaml │ └── it-to-ot-pivot.yaml # Engineering workstation → PLC access │ ├── india-apt/ # India-targeting APT TTPs │ ├── sidecopy-lnk-dropper.yaml │ ├── apt36-spearphish-macro.yaml │ ├── lazarus-swift-targeting.yaml │ └── volttyphoon-living-off-land.yaml │ ├── eol-exploitation/ # CVEs commonly exploited on EoL govt systems │ ├── eternalblue-ms17-010.yaml │ ├── printnightmare-cve-2021-34527.yaml │ └── log4shell-cve-2021-44228.yaml │ └── cnf-ransomware/ # CNI-sector ransomware indicators ├── lockbit-healthcare.yaml ├── education-data-staging.yaml └── ot-ransomware-wannacry-variant.yaml ``` ### 新行业剧本 ``` playbooks/cni/ ├── healthcare-ransomware.yaml # AIIMS-class: isolate non-critical, preserve ICU nets ├── education-databreach.yaml # CBSE-class: freeze exam data, notify board, preserve evidence ├── powergrid-ot-incident.yaml # Safety-first OT isolation + manual override enable └── govt-credential-compromise.yaml # AD quarantine + session revocation + lateral containment ``` ### 新威胁情报源 ``` threat-intel/ ├── india-apt-profiles/ │ ├── sidecopy.json # TTP profile: targets Indian defence/education │ ├── apt36.json # TTP profile: Transparent Tribe, Pakistan-nexus │ ├── lazarus-india.json # TTP profile: DPRK ops targeting Indian finance │ └── volttyphoon-india.json # TTP profile: China-nexus CNI targeting │ ├── certin-advisories/ # CERT-In advisories (RAG-indexed) │ └── [PDF/HTML corpus] # Indexed into Qdrant at startup │ └── nciipc-bulletins/ # NCIIPC threat bulletins └── [structured JSON] ``` ### 新 API 端点 | 方法 | 端点 | 服务 | 用途 | |---|---|---|---| | `POST` | `/api/v1/certin/report/{case_id}` | certin-reporter | 为案件生成 CERT-In 报告 | | `GET` | `/api/v1/certin/report/{case_id}` | certin-reporter | 获取生成的报告 (PDF/JSON) | | `POST` | `/api/v1/digital-twin/simulate` | digital-twin | 运行攻击路径模拟 | | `GET` | `/api/v1/digital-twin/paths/{asset_id}` | digital-twin | 获取从被攻陷节点可到达的资产 | | `POST` | `/api/v1/digital-twin/blast-radius` | digital-twin | 计算拟议 SOAR 操作的爆炸半径 | | `GET` | `/api/v1/eol-risk/queue` | eol-prioritiser | 获取动态 EoL 放大的修复队列 | | `GET` | `/api/v1/eol-risk/asset/{asset_id}` | eol-prioritiser | 获取特定资产的 EoL 风险评分 | | `GET` | `/api/v1/apt/attribution/{case_id}` | agents | 获取案件的 APT 行为者归因 | | `GET` | `/api/v1/apt/prediction/{case_id}` | agents | 获取预测的下一步 ATT&CK 动作 | ### 新控制台页面 | 页面 | 路由 | 内容 | |---|---|---| | Digital Twin | `/digital-twin` | 交互式攻击路径图 + 模拟运行器 | | OT Topology | `/ot-topology` | 带有异常覆盖层的实时 OT 网络图 | | CERT-In Compliance | `/compliance/certin` | 报告状态、自动生成、下载 | | APT Intelligence | `/threat-intel/apt` | 印度 APT 组织画像 + 活跃活动追踪 | |oL Risk Map | `/vulnerability/eol` | 带有 EoL 放大风险评分的资产清单 | ## 评估标准 — 我们的得分情况 | 标准 | 实现 | 目标指标 | |---|---|---| | **异常检测率** | 在 CIC-IDS-2017 上使用 UEBA Z-score + LightGBM | DR > 95%, FPR < 2% | | **误报率** | 对所有 816+ 条检测规则进行交叉联锁误报拦截 | 每条规则 FPR < 5% | | **APT 归因准确性** | 印度 APT Agent + CERT-In RAG + MITRE 映射 | T-code（技术层面）精确度 | | **事件响应自动化** | 包含 SOAR 执行器 + 数字孪生爆炸半径检查的行业剧本 | 超过 80% 的剧本步骤实现自主 | | **MTTD 改善** | UEBA 基线检测 vs. 仅基于特征的基线 (CIC-IDS-2017) | 几小时 vs. 几周 | | **MTTR 改善** | SOAR 自动遏制 vs. 手动响应模拟 | 几分钟 vs. 几天 | | **全面的可审计性** | 调查账本：每一个 prompt、工具调用、证据和推论 | 100% 步骤可追溯性 | ## 运行基准测试 本项目针对 **CIC-IDS-2017** 网络入侵检测数据集（加拿大新不伦瑞克大学）进行评估 — 这是网络异常检测研究的标准基准。 ``` # 下载数据集 (已编写脚本) python scripts/datasets/download_cicids.py # 运行异常检测评估 python scripts/run_evals.py --suite anomaly_detection --out eval_report.json # 运行 APT 归因准确率测试 pytest services/agents/tests/test_india_apt_accuracy.py -v # 运行 SOAR 自动化覆盖率测试 pytest services/agents/tests/test_playbook_automation.py -v # 运行完整评估 harness (所有 suites) python scripts/run_evals.py --out eval_report.json ``` ## 快速开始（演示） ### 前置条件 - Docker 24+ 及 Compose v2 - 至少为 Docker 分配 8 GB 内存 - 一个 Anthropic 或 OpenAI API 密钥（用于 LLM 推理） ### 1. 配置 ``` cp .env.example .env ``` `.env` 中的最低要求： ``` ANTHROPIC_API_KEY=sk-ant-... # or OPENAI_API_KEY=sk-... AISOC_DEV_MODE=true ``` ### 2. 启动 ``` docker compose up -d --build pnpm seed:demo pnpm aisoc:doctor # health check before logging in ``` ### 3. 打开控制台 ``` http://localhost:3000/dashboard Login: admin@aisoc.local / changeme ``` ### 4. 演示场景 种子数据会加载三个基于印度真实事件构建的 CNI 攻击场景： | ID | 基于 | 攻击 | 行业 | 起始 URL | |---|---|---|---|---| | `CNI-001` | AIIMS Delhi 2022 | 通过钓鱼邮件传播的 LockBit 3.0 勒索软件 → 横向移动 → 加密 | 医疗 | `/cases/CNI-001?tab=ledger` | | `CNI-002` | CBSE 2026 泄露 | APT36 鱼叉式钓鱼宏 → 凭据窃取 → 考试数据库外发 | 教育 | `/cases/CNI-002?tab=ledger` | | `CNI-003` | 印度电网探测 | IT 工作站被攻陷 → 历史记录软件 → PLC 命令注入 | 电力/OT | `/cases/CNI-003?tab=graph` | ``` # 直接跳转至正在进行的调查： open http://localhost:3000/cases/CNI-001?tab=ledger # Healthcare ransomware open http://localhost:3000/cases/CNI-002?tab=ledger # Education APT breach open http://localhost:3000/cases/CNI-003?tab=graph # Power grid attack path open http://localhost:3000/digital-twin # Digital Twin simulator open http://localhost:3000/compliance/certin # CERT-In report dashboard ``` ### 5. 关键服务 URL | 表面 | URL | |---|---| | SOC 控制台 | http://localhost:3000/dashboard | | Digital Twin | http://localhost:3000/digital-twin | | OT Topology | http://localhost:3000/ot-topology | | CERT-In 报告 | http://localhost:3000/compliance/certin | | APT 情报 | http://localhost:3000/threat-intel/apt | | API 文档 (Swagger) | http://localhost:8000/docs | | Agents API | http://localhost:8001/docs | | Digital Twin API | http://localhost:8093/docs | | Neo4j 浏览器 | http://localhost:7474 (neo4j / neo4j_dev_secret) | | Kafka UI | http://localhost:8090 | ## 完整项目布局（清理后） ``` AiSOC-CNI/ │ ├── apps/ │ └── web/ # SOC Console (Next.js 14) │ └── src/app/ │ ├── (app)/dashboard/ # Main SOC console │ ├── (app)/alerts/ # Alert queue + Investigation Rail │ ├── (app)/cases/ # Case management + Ledger replay │ ├── (app)/digital-twin/ # NEW: Digital Twin visualisation │ ├── (app)/ot-topology/ # NEW: OT network map │ ├── (app)/compliance/ │ │ └── certin/ # NEW: CERT-In report dashboard │ └── (app)/threat-intel/ │ └── apt/ # NEW: India APT profiles + campaigns │ ├── services/ │ ├── api/ # Core REST API (FastAPI) │ ├── agents/ # LangGraph multi-agent system │ │ └── app/agents/ │ │ ├── detect_agent.py │ │ ├── triage_agent.py │ │ ├── hunt_agent.py │ │ ├── respond_agent.py │ │ ├── india_apt_agent.py # NEW │ │ ├── apt_prediction_agent.py # NEW │ │ ├── ot_risk_agent.py # NEW │ │ ├── eol_vuln_agent.py # NEW │ │ └── certin_agent.py # NEW │ ├── fusion/ # ML scoring engine │ ├── ueba/ # Behavioural analytics (IT + OT) │ ├── actions/ # SOAR + sector playbooks │ ├── threatintel/ # CERT-In + NCIIPC + MITRE ATT&CK ICS │ ├── ingest/ # Go OCSF normaliser │ ├── enrichment/ # IOC enrichment │ ├── realtime/ # WebSocket feed │ ├── ot-connector/ # NEW: Modbus/DNP3/SCADA → OCSF │ ├── digital-twin/ # NEW: Attack path simulation │ ├── certin-reporter/ # NEW: 6-hour compliance report │ └── eol-prioritiser/ # NEW: CVE × EoL amplification │ ├── detections/ │ ├── endpoint/ # Existing endpoint Sigma rules │ ├── network/ # Existing network rules │ ├── cloud/ # Existing cloud rules │ ├── ot/ # NEW: OT/ICS/SCADA detection rules │ ├── india-apt/ # NEW: SideCopy, APT36, Lazarus TTPs │ ├── eol-exploitation/ # NEW: EoL-targeted CVE detection │ └── cnf-ransomware/ # NEW: CNI-sector ransomware indicators │ ├── playbooks/ │ ├── community/ # Existing community playbooks │ └── cni/ # NEW: Sector-specific CNI playbooks │ ├── healthcare-ransomware.yaml │ ├── education-databreach.yaml │ ├── powergrid-ot-incident.yaml │ └── govt-credential-compromise.yaml │ ├── threat-intel/ │ ├── india-apt-profiles/ # NEW: SideCopy, APT36, Lazarus, Volt Typhoon TTPs │ ├── certin-advisories/ # NEW: CERT-In advisory corpus (RAG-indexed) │ └── nciipc-bulletins/ # NEW: NCIIPC threat bulletins │ ├── scripts/ │ ├── datasets/ # CIC-IDS-2017 download + preprocessing │ │ └── download_cicids.py │ ├── run_evals.py # Evaluation harness │ ├── seed_cnf_demo.py # NEW: Seeds CNI-001/002/003 scenarios │ └── generate_certin_report.py # NEW: CERT-In report CLI │ ├── docker-compose.yml # Full stack ├── docker-compose.demo.yml # NEW: Slim demo (no heavy stores) ├── .env.example └── README.md # This file ``` ## 移除的基础设施（演示不需要） 为了使项目专注于演示，移除了以下部署目标： - `infra/fly/` — Fly.io 多应用部署 - `infra/railway/` — Railway PaaS 配置 - `infra/render/` — Render 蓝图 - `infra/coolify/` — Coolify 自托管 PaaS - `infra/terraform/` — AWS/GCP/Azure Terraform 骨架 - `infra/cloudflare/` — Cloudflare 隧道脚本 对于生产环境部署，原始的 `infra/helm/` (Kubernetes) chart 保持不变。 ## 团队与归属 **ET 黑客马拉松 2026 — 网络安全 / 工业智能 / 国家安全** 团队成员：Bhuvanesh (GitHub: [Bhuvanesh3602](https://github.com/Bhuvanesh3602)) 基于 [AiSOC](https://github.com/beenuar/AiSOC) 开源平台（MIT 许可证）构建。 为本次黑客马拉松编写的新组件： - 印度 APT 情报引擎（CERT-In RAG + 归因 + 预测 Agent） - OT/ICS 融合层（Modbus/DNP3 连接器 + OT UEBA 基线） - 生命周期终止 (EoL) 资产风险放大器 - 网络韧性数字孪生 - CERT-In 6 小时合规自动化工具 - 特定行业的 CNI 剧本（医疗、教育、电网、政府 IT） - CIC-IDS-2017 基准评估 pipeline ## 参考文献 - CERT-In 2023 年度报告 - NCIIPC 关键信息基础设施保护指南 - MITRE ATT&CK v14 — Enterprise Matrix + ICS Matrix - 《印度国家网络安全战略 2020》 - CIC-IDS-2017 数据集 — 加拿大新不伦瑞克大学（基准评估） - Cisco Talos / Seqrite Labs — SideCopy 和 APT36 针对印度目标的研究 - CERT-In 通告 CIAD-2022-0047 — AIIMS Delhi 事件 - CERT-In 2022 年指令 — 6 小时强制事件报告要求 ## 许可证 [MIT](LICENSE) — AiSOC 基础平台 © 2024–至今 AiSOC 贡献者。 黑客马拉松扩展功能 © 2026 Bhuvanesh。 # APTGuard-AI

标签：PB级数据处理, PKINIT, 人工智能, 威胁情报, 安全信息与事件管理(SIEM), 安全运维, 工控安全, 开发者工具, 异常检测, 日志审计, 用户模式Hook绕过, 自动化响应, 软件成分分析