Amu612/DigiTwin

# DigiTwin Secure：身份自适应防御生态系统 ### 毕业设计项目：第五及第六学期 #### GLS 大学工程与技术学院 **B.Tech (CS&E)** **项目指导：** * **Prof. Shivangi Gandhi** (指导教师) **开发小组 22：** * **Amulya Anamdasu** (学号：202302626010004) * **Zurin Jariwala** (学号：202302626010029) * **Dhiptanshu Malik** (学号：202302626010036) * **Khush Purohit** (学号：202302626010061) ## 1. 项目概述 DigiTwin Secure 是一个端到端的网络安全生态系统，它利用自适应数字孪生架构，通过行为身份监控来保护企业资产。与传统静态防御系统不同，DigiTwin Secure 为组织内的每个用户构建实时的行为基线。该系统分为三个主要功能层： * **自适应分析核心：** 一个专门的检测层，用于监控时间模式、数据量和访问速度。 * **威胁情报中心：** 一个本地化的 ML 引擎，对暴力破解、密码喷洒和地理上不可能的速度进行深度分析。 * **企业 ERP 集成：** 一个生产级全栈 ERP 平台，作为这些安全控制的实际实施层。 ## 2. 全局系统架构 该生态系统依赖于一个互联互通的多节点架构，每个模块都在专用端口上运行，以将安全功能与业务运营隔离。 ### 部署矩阵 * **端口 5000 (Universal Orchestrator)：** 控制 root 专家和身份基线监控器。 * **端口 5001 (Business Operations)：** 托管高保真 ERP 平台（HR、销售、工程、管理）。 * **端口 8000 (Threat Intelligence)：** 执行专门的 ML 检测脚本并提供行为图谱。 ### 核心技术栈 * **后端：** Python 3.x、Flask、SQLAlchemy。 * **分析：** Pandas、Scikit-Learn（启发式与统计偏差）。 * **前端：** HTML5、CSS3（明亮/暗黑模式变量）、Chart.js（实时遥测可视化工具）。 * **存储：** SQLite（身份数据）和 CSV（行为模式记录）。 ## 3. 完整项目结构 ``` DIGITWIN_SECURE_ROOT/ ├── app.py # Root Orchestrator (Port 5000) ├── security_engine.py # Unified threat logic for 7-vector detection ├── advanced_threats.py # Specialist monitors (Velocity, Brute Force, Time) ├── data_action_specialist.py # Training logic for behavioral baselines ├── simulate_threats.py # Global CLI for threat injection tests │ ├── Enterprise_ERP_Platform/ # Business Integration Node (Port 5001) │ ├── app.py # ERP Controller │ ├── models.py # Enterprise SQL Schemas │ └── templates/ # Role-Based workspaces (HR, Sales, Dev, SOC) │ ├── ThreatDetectModel/ # Specialized ML Defense Node (Port 8000) │ ├── app.py # ML Analytics Controller │ ├── detect_ps.py # Password Spraying Detector │ ├── detect_velocity.py # Impossible Velocity Analysis │ ├── detect_time.py # Time Anomaly Engine (Offline hours detection) │ └── geovelocity_map.png # Visual threat heatmaps │ └── templates/ # Root Dashboard and specialized visualizations ├── workflow_dashboard.html # State transition monitor ├── velocity_dashboard.html # Temporal gap analayis └── brute_dashboard.html # Authentication anomaly feed ``` ## 4. 企业资源计划 (ERP) 集成 ### ERP 概念简介 企业资源计划 (ERP) 系统是一个集中式的业务应用套件，旨在将组织的核心运营功能整合到一个统一的数据架构中。通过将人力资源、销售和工程等工作流整合到一个平台中，ERP 消除了碎片化的数据孤岛，并确保每个部门都基于统一的真相来源进行运作。 ### 实施架构 DigiTwin Secure ERP 作为生产级全栈应用程序实施。 * **后端逻辑：** 使用 Python 和 Flask 开发，实现本地化、高性能的路由和遥测拦截。 * **关系持久化：** 利用 SQLAlchemy ORM 和 SQLite 来维护员工身份、财务线索和安全审计日志之间的复杂关系。 * **访问纪律：** 通过 `@role_required` 装饰器实现自定义的基于角色的访问控制 (RBAC) 中间件，确保在 endpoint 级别严格执行边界。 ### 功能能力 ERP 模块提供针对特定企业角色定制的隔离工作区： * **人力资本管理 (HR)：** 编排劳动力管理，具有活动目录、自动化请假处理流水线，以及使用 ReportLab 库动态生成 PDF 工资单的功能。 * **销售与 CRM 中心：** 通过线索跟踪 (CRUD)、收入预测以及针对加密货币和汇率的实时市场情报轮询，促进客户生命周期管理。 * **工程中心：** 提供模拟的开发工作流，包括代码摄入暂存区、CI/CD 流水线编排以及字节级的源代码控制遥测。 * **管理矩阵：** 一个集中式的治理节点，用于身份配置、权限管理以及实时的薪资/角色覆盖。 ### 与威胁检测的集成 ERP 充当自适应数字孪生生态系统的主要传感器网络。它通过遥测中间件与安全层进行了精准的集成： * **遥测入口：** 每次交互（例如，销售用户查看 HR 仪表板或开发人员推送 500KB 的代码）都会被拦截并记录到模式数据库中。 * **启发式同步：** 这些日志会实时传递给 `security_engine.py，该脚本会将当前操作与用户身份的历史基线进行比较。 * **操作阻断：** 如果触发了威胁向量（如不可能的速度或工作流序列异常），ERP 会立即停止操作，并促进向 SOC 分析师自动升级以进行缓解。 ## 5. 联合身份监控（7 个向量） 该生态系统旨在防范组织网络结构中七个特定的网络安全威胁向量。 1. **异常数据量：** 使用 Z-score 统计分析监控字节级的传输偏差。 2. **角色偏差：** 执行严格的 RBAC 边界，记录并阻止横向权限扩展的尝试。 3. **内部侦察：** 检测工作站级别的连续账户探测和登录失败。 4. **密码喷洒：** 检测针对多个不同身份的协同、横向暴力破解尝试。 5. **不可能的速度：** 分析事务之间的时间间隔，以检测地理上不可能的移动。 6. **时间异常：** 监控预定义的企业离线时间（特别是 IST 时间 00:00 至 05:00）内的系统活动。 7. **工作流序列异常：** 识别非法的状态转换或无序的操作步骤。 ## 6. 专门的 SOC (安全运营中心) 指挥 SOC 仪表板（端口 5001）充当安全分析师的主要网关。 * **统一摄取流：** 生态系统中每次交互的实时信息流。 * **XAI 情报报告：** 自动化的可解释 AI 模态，提供威胁指纹、偏差分析和可下载的缓解报告 (.txt)。 * **可视化分析：** 基于 Chart.js 的热力图，实时显示向量频率和系统速度。 ## 6. 多节点安装与设置 要运行完整的生态系统，请确保您有三个可用的独立终端实例。 ### 依赖项初始化 1. **虚拟环境：** python -m venv venv venv\Scripts\activate 2. **安装：** pip install -r requirements.txt ### 并发执行策略 **终端 1：编排节点** ``` python app.py ``` **终端 2：业务运营节点** ``` cd Enterprise_ERP_Platform python app.py ``` **终端 3：ML 情报节点** ``` cd ThreatDetectModel python app.py ``` ## 7. 操作验证 要验证系统，请使用专家模块内的 **威胁模拟沙盒** 或运行根目录下的 `simulate_threats.py` 脚本。系统将检测微小的偏差（为了保证基线稳定性，10KB 以下的偏差将被忽略），并通过高对比度的 Toast 通知和实时遥测日志向 SOC 发出警报。 ## 8. 数据行动专家与威胁模拟沙盒 **数据行动专家面板** 是一个高保真环境，专为安全研究人员对组织的防御姿态进行压力测试而设计，且不会影响生产数据。 ### 统一的 7 向量注入库 该平台允许对以下威胁向量进行受控注入： - **[向量 1] 数据量：** 为基线活动较低的账户触发 850KB+ 的批量导出日志（异常外泄）。 - **[向量 2] 角色偏差：** 模拟用户执行超出其定义的 IAM 组策略的操作（横向提权）。 - **[向量 3] 内部侦察：** 针对单个目标账户生成快速、连续的身份验证失败。 - **[向量 4] 密码喷洒：** 模拟来自单个对抗节点跨多个不同身份的低频慢速身份验证尝试。 - **[向量 5] 不可能的速度：** 在违反物理移动限制的时间窗口内，注入来自相距甚远的地理区域的日志。 - **[向量 6] 时间异常：** 在预定义的企业离线时间（IST 时间 00:00 - 05:00）内触发高权限操作。 - **[向量 7] 工作流异常：** 以违反逻辑业务状态转换的顺序执行操作。 ### 专家工具 - **目标身份欺骗：** 更改“目标身份配置”以跨部门模拟凭据接管。 - **治理矩阵：** 在注入威胁时实时监控 **检测延迟 (ms)**、**缓解准确性** 和 **误报** 率。 - **平台响应日志：** 一个实时的、控制台风格的遥测源，准确展示 `security_engine.py` 如何拦截和分类每个注入的异常。

标签：Flask, HTTP/HTTPS抓包, Python, 人工智能, 后端开发, 威胁情报, 开发者工具, 态势感知, 无后门, 用户模式Hook绕过, 网络安全, 逆向工具, 隐私保护