saisreenath13/HinCTI-A-Cyber-Threat-Intelligence-Modeling-and-Identification-System

Hin-CTI 一种基于异构信息网络 (HIN) 的网络威胁情报建模与识别系统 📌 概述 Hin-CTI 是一个网络威胁情报 (CTI) 建模和威胁识别系统，它利用异构信息网络 (HIN) 对复杂的网络威胁基础设施关系进行建模，并使用异构图卷积网络 (GCN) 识别威胁类型。 该系统集成了多种网络威胁指标，例如： IP 地址 域名 恶意软件哈希 电子邮件地址 URL 通过建模它们的语义关系，Hin-CTI 提高了威胁检测的准确性并支持早期威胁预警。 🚀 问题陈述 传统的 CTI 系统面临两大主要挑战： 由于高昂的人工标注成本，导致已标注的威胁数据有限。 无法建模不同网络实体之间的高层语义关系。 大多数现有系统依赖于： 同构网络 简单的关联方法 基于指纹的相似性 这些方法无法捕捉网络威胁实体之间的深层结构关系。 💡 提出的解决方案 Hin-CTI 通过以下方式应对这些挑战： 使用异构信息网络 (HIN) 建模网络威胁情报 引入一种基于元路径和元图实例的威胁基础设施相似性 (MIIS) 度量 应用异构图卷积网络 (GCN) 进行威胁类型分类 使用分层正则化 以减少过拟合 这使得即使标签数据部分缺失或不完整，也能进行准确的威胁分类。 🏗 系统架构 该系统由以下模块组成： 1️⃣ 数据收集 威胁情报源 IDS 日志 恶意软件数据库 网络日志 2️⃣ 数据预处理 数据清洗 归一化 构建威胁指标 3️⃣ HIN 构建 节点类型：IP、Domain、URL、Hash、Email 关系建模（resolves-to、communicates-with 等） 4️⃣ 元路径与元图提取 高层语义模式发现 结构相似性计算 (MIIS) 5️⃣ 基于 GCN 的威胁分类 图卷积网络训练 威胁类型预测 置信度分数生成 6️⃣ 威胁分析界面 可视化 基于查询的分析 威胁类型结果显示 🛠️ 技术栈 后端 Java (J2EE – JSP & Servlets) JDBC Apache Tomcat 前端 HTML CSS JavaScript 数据库 MySQL 架构 Client-Server 模型 三层架构 (Three-Tier Architecture) 异构信息网络 (HIN) 📊 核心功能 基于 HIN 的 CTI 建模 MIIS 相似性计算 基于异构 GCN 的威胁分类 管理员与用户认证系统 数据集上传与威胁检测 威胁类型可视化 支持有限的标签数据 🧠 识别的威胁类型 系统可以将基础设施节点分类为以下类别： 恶意软件活动 垃圾 URL 暴力破解登录攻击 僵尸网络节点活动 良性实体 🔐 优势 捕捉复杂的语义关系 适用于不完整的标签数据 减少分析师的工作量 相比传统方法提高了分类性能 可扩展和可延伸的架构 💻 硬件与软件要求 硬件 Intel i3/i5/i7 处理器 4GB RAM (最低) 256GB 存储空间 软件 Windows 7/8/10/11 Apache Tomcat MySQL JDK Web 浏览器 📈 结果 在真实世界数据集上的实验结果表明： 提高了威胁分类的准确性 与基线模型相比性能更佳 通过分层正则化减少了过拟合 📚 学术背景 本项目是作为以下专业的毕业设计 (Major Project) 开发的： 工学学士 计算机科学与工程 (AI & ML) 👥 贡献者 T. Sai Sreenath 📌 未来改进方向 实时流式威胁分析 与 SIEM 平台集成 基于深度学习的威胁行为建模 云部署 📜 许可证 本项目专为学术和研究目的而开发。

标签：AMSI绕过, DAST, GCN, GNN, HIN, HTTP/HTTPS抓包, IoC, IP地址分析, JS文件枚举, NLP, Sigma 规则, STIX, TAXII, 关系抽取, 关联分析, 图卷积网络, 图神经网络, 域名分析, 多模态安全, 威胁建模, 威胁情报, 威胁检测, 安全大数据, 实体识别, 开发者工具, 异构信息网络, 态势感知, 恶意软件分析, 指标提取, 数据可视化, 深度学习, 网络威胁情报, 网络安全, 自定义DNS解析器, 隐私保护