---
## üì¶ Krok 0: Import bibliotek

In [None]:
# Importy systemowe
import os
import warnings
warnings.filterwarnings('ignore')

# Upewnij siƒô ≈ºe katalogi istniejƒÖ
os.makedirs("data", exist_ok=True)
os.makedirs("output", exist_ok=True)
os.makedirs("output/visualizations", exist_ok=True)

print("‚úÖ Katalogi przygotowane")

---
## üéØ Krok 1: Generowanie danych testowych (PCAP)

Generujemy realistyczny ruch sieciowy zawierajƒÖcy:
- Normalny ruch HTTP/HTTPS/DNS
- Scenariusze atak√≥w (port scan, C2, ransomware, exfiltration)

In [None]:
from simulate_traffic import create_demo_pcap_with_alerts, create_apt_scenario_pcap, create_normal_traffic_pcap

# Generowanie plik√≥w PCAP
create_demo_pcap_with_alerts("data/demo_traffic.pcap")
create_normal_traffic_pcap("data/normal_traffic.pcap")
create_apt_scenario_pcap("data/apt_attack.pcap")

print("\n‚úÖ Pliki PCAP wygenerowane!")

---
## üìä Krok 2: Analiza przep≈Çyw√≥w sieciowych

Wczytujemy plik PCAP i ekstrahujemy przep≈Çywy sieciowe (5-tuple).

In [None]:
from flow_analyzer import FlowAnalyzer

# Wczytanie przep≈Çyw√≥w
analyzer = FlowAnalyzer("data/demo_traffic.pcap")
flows = analyzer.load_flows()
stats = analyzer.get_flow_statistics()

# Wy≈õwietlenie statystyk
print("=" * 50)
print("üìà STATYSTYKI PRZEP≈ÅYW√ìW")
print("=" * 50)
print(f"Ca≈Çkowita liczba przep≈Çyw√≥w: {stats['total_flows']}")
print(f"Unikalne IP ≈∫r√≥d≈Çowe:        {stats['unique_src_ips']}")
print(f"Unikalne IP docelowe:        {stats['unique_dst_ips']}")
print(f"Ca≈Çkowita liczba pakiet√≥w:   {stats['total_packets']:,}")
print(f"Ca≈Çkowita liczba bajt√≥w:     {stats['total_bytes']:,}")
print(f"≈örednia pakiet√≥w/przep≈Çyw:   {stats['avg_packets_per_flow']:.2f}")

In [None]:
# PodglƒÖd danych
print("\nüìã Przyk≈Çadowe przep≈Çywy:")
flows.head(10)

---
## üö® Krok 3: Detekcja zagro≈ºe≈Ñ

Uruchamiamy silnik detekcji z regu≈Çami:
- **Python rules**: Port scan, Large transfer, Suspicious ports, DNS tunneling
- **Sigma rules**: Format YAML zgodny ze standardem Sigma

In [None]:
from detection_rules.detection_rules import create_default_detection_engine

# Inicjalizacja silnika detekcji
engine = create_default_detection_engine()

# Uruchomienie detekcji
alerts = engine.run_detection(flows)
alerts_df = engine.get_alerts_dataframe()

print("=" * 50)
print("üö® WYNIKI DETEKCJI")
print("=" * 50)
print(f"Wykryto alert√≥w: {len(alerts)}")

if not alerts_df.empty and 'severity' in alerts_df.columns:
    print("\nRozk≈Çad wed≈Çug severity:")
    print(alerts_df['severity'].value_counts().to_string())

In [None]:
# Lista alert√≥w
if not alerts_df.empty:
    print("\nüìã Lista wykrytych alert√≥w:")
    display(alerts_df[['rule', 'severity', 'message']].head(15))
else:
    print("Brak alert√≥w")

---
## ü§ñ Krok 4: Klasyfikacja Machine Learning

Trenujemy model ML do klasyfikacji przep≈Çyw√≥w jako normalne/podejrzane.

In [None]:
from models.ml_classifier import NetworkMLClassifier

# Inicjalizacja i trenowanie modelu
classifier = NetworkMLClassifier()
ml_metrics = classifier.train(flows, tune_hyperparameters=False)

print("=" * 50)
print("ü§ñ METRYKI MODELU ML")
print("=" * 50)
print(f"Accuracy:  {ml_metrics['accuracy']:.4f}  ({ml_metrics['accuracy']:.2%})")
print(f"Precision: {ml_metrics['precision']:.4f}")
print(f"Recall:    {ml_metrics['recall']:.4f}")
print(f"F1 Score:  {ml_metrics['f1_score']:.4f}")
print(f"\n‚ö†Ô∏è  FPR (False Positive Rate): {ml_metrics['fpr']:.4f}")
print(f"‚úÖ TPR (True Positive Rate):  {ml_metrics['tpr']:.4f}")

In [None]:
# Macierz konfuzji
import numpy as np

cm = ml_metrics['confusion_matrix']
print("\nüìä Macierz konfuzji:")
print(f"                  Predicted")
print(f"                  Normal  Suspicious")
print(f"Actual Normal     {cm[0][0]:5d}   {cm[0][1]:5d}")
print(f"       Suspicious {cm[1][0]:5d}   {cm[1][1]:5d}")

---
## üåç Krok 5: Threat Intelligence Enrichment

Wzbogacamy przep≈Çywy o dane geolokalizacyjne (kraj, miasto, ISP).

In [None]:
from threat_intel import ThreatIntelligenceEnricher

# Inicjalizacja enrichera
enricher = ThreatIntelligenceEnricher(rate_limit_delay=0.3)

# Wzbogacenie danych (tylko publiczne IP docelowe)
print("üåç Wzbogacanie danych o geolokalizacjƒô...")
print("(To mo≈ºe potrwaƒá chwilƒô ze wzglƒôdu na limity API)\n")

enriched_flows = enricher.enrich_flows(
    flows, 
    enrich_src=False,  # Pomijamy prywatne IP ≈∫r√≥d≈Çowe
    enrich_dst=True    # Wzbogacamy publiczne IP docelowe
)

print("\n‚úÖ Wzbogacanie zako≈Ñczone!")

In [None]:
# PodglƒÖd wzbogaconych danych
geo_columns = ['dst_ip', 'dst_country', 'dst_city', 'dst_isp']
available_cols = [c for c in geo_columns if c in enriched_flows.columns]

if available_cols:
    print("\nüó∫Ô∏è Przyk≈Çadowe dane geolokalizacyjne:")
    display(enriched_flows[available_cols].dropna().drop_duplicates().head(10))
else:
    print("Brak danych geolokalizacyjnych (sprawd≈∫ po≈ÇƒÖczenie z API)")

---
## üìà Krok 6: Wizualizacje

Generujemy wykresy i mapƒô Threat Intelligence.

In [None]:
from visualizations import NetworkVisualizer
import matplotlib.pyplot as plt

# Inicjalizacja wizualizera
viz = NetworkVisualizer(output_dir="./output/visualizations")

# S≈Çownik na ≈õcie≈ºki do wizualizacji
viz_paths = {}

In [None]:
# Wykres rozk≈Çadu protoko≈Ç√≥w
viz_paths['protocols'] = viz.plot_protocol_distribution(flows)

# Wy≈õwietl inline
from IPython.display import Image, display
display(Image(filename=viz_paths['protocols']))

In [None]:
# Wykres alert√≥w wed≈Çug severity
if not alerts_df.empty:
    viz_paths['severity'] = viz.plot_severity_distribution(alerts_df)
    display(Image(filename=viz_paths['severity']))
else:
    print("Brak alert√≥w do wizualizacji")

In [None]:
# Wykres alert√≥w timeline
if not alerts_df.empty:
    viz_paths['alerts'] = viz.plot_alerts_timeline(alerts_df)
    display(Image(filename=viz_paths['alerts']))
else:
    print("Brak alert√≥w do wizualizacji")

In [None]:
# Macierz konfuzji
viz_paths['confusion'] = viz.plot_confusion_matrix(ml_metrics['confusion_matrix'])
display(Image(filename=viz_paths['confusion']))

In [None]:
# Top IP
viz_paths['top_ips'] = viz.plot_top_ips(flows, ip_column='dst_ip', top_n=10)
display(Image(filename=viz_paths['top_ips']))

### üó∫Ô∏è Mapa Threat Intelligence

Interaktywna mapa pokazujƒÖca po≈ÇƒÖczenia sieciowe z podzia≈Çem na normalne/podejrzane.

In [None]:
# Mapa Threat Intelligence
map_path = viz.create_threat_intel_map(enriched_flows, alerts_df)

if map_path:
    print(f"‚úÖ Mapa zapisana: {map_path}")
    print("\nüîó Otw√≥rz plik HTML w przeglƒÖdarce aby zobaczyƒá interaktywnƒÖ mapƒô")
    
    # Pr√≥ba wy≈õwietlenia w notebook
    try:
        from IPython.display import IFrame
        display(IFrame(src=map_path, width=900, height=500))
    except:
        print(f"Otw√≥rz rƒôcznie: {os.path.abspath(map_path)}")
else:
    print("‚ö†Ô∏è Nie uda≈Ço siƒô utworzyƒá mapy (brak danych geolokalizacyjnych lub folium)")

---
## üìÑ Krok 7: Generowanie raport√≥w

### 7a: Raport HTML

In [None]:
from report_generator import ReportGenerator

# Generator raport√≥w HTML
report_gen = ReportGenerator(output_dir="./output")

# Generowanie raportu
html_path = report_gen.generate_html_report(
    flows=flows,
    stats=stats,
    alerts=alerts_df if not alerts_df.empty else None,
    ml_metrics=ml_metrics,
    visualizations=viz_paths
)

print(f"‚úÖ Raport HTML wygenerowany: {html_path}")
print(f"\nüîó Otw√≥rz w przeglƒÖdarce: {os.path.abspath(html_path)}")

### 7b: Raport LaTeX / PDF

In [None]:
from latex_report_generator import LaTeXReportGenerator

# Generator raport√≥w LaTeX
latex_gen = LaTeXReportGenerator(output_dir="./output")

# Generowanie raportu
tex_path = latex_gen.generate_latex_report(
    flows=flows,
    stats=stats,
    alerts=alerts_df if not alerts_df.empty else None,
    ml_metrics=ml_metrics,
    enriched_flows=enriched_flows,
    visualization_paths=viz_paths,
    title="Raport Analizy Ruchu Sieciowego",
    author="System Analizy Sieciowej",
    compile_pdf=True  # Ustaw False je≈õli nie masz pdflatex
)

print(f"‚úÖ Raport LaTeX wygenerowany: {tex_path}")

---
## ‚úÖ Podsumowanie

Wszystkie kroki zako≈Ñczone! Sprawd≈∫ wygenerowane pliki:

In [None]:
print("=" * 60)
print("üìÅ WYGENEROWANE PLIKI")
print("=" * 60)

print("\nüìÇ data/")
for f in os.listdir("data"):
    size = os.path.getsize(f"data/{f}") / 1024
    print(f"   ‚îú‚îÄ {f} ({size:.1f} KB)")

print("\nüìÇ output/")
for f in os.listdir("output"):
    path = f"output/{f}"
    if os.path.isdir(path):
        print(f"   ‚îú‚îÄ {f}/")
        for sf in os.listdir(path):
            print(f"   ‚îÇ  ‚îî‚îÄ {sf}")
    else:
        size = os.path.getsize(path) / 1024
        print(f"   ‚îú‚îÄ {f} ({size:.1f} KB)")

print("\n" + "=" * 60)
print("‚úÖ WORKFLOW ZAKO≈ÉCZONY POMY≈öLNIE!")
print("=" * 60)

---
## üìã Spe≈Çnione wymagania projektowe

In [None]:
requirements = {
    "A.1 - Wczytywanie PCAP (NFStream/Scapy)": "‚úÖ",
    "A.2 - Statystyki przep≈Çyw√≥w": "‚úÖ",
    "D.1 - Regu≈Çy detekcyjne Python": "‚úÖ",
    "D.2 - Regu≈Çy Sigma": "‚úÖ",
    "ML.1 - Klasyfikacja ML": "‚úÖ",
    "ML.2 - Metryki FPR/TPR": "‚úÖ",
    "ML.3 - Trenowanie na nowych danych": "‚úÖ",
    "E.1 - Threat Intelligence enrichment": "‚úÖ",
    "V.1 - Wizualizacje alert√≥w": "‚úÖ",
    "V.2 - Mapa geograficzna (nice-to-have)": "‚úÖ",
}

print("\n" + "=" * 50)
print("üìã WYMAGANIA PROJEKTU")
print("=" * 50)

for req, status in requirements.items():
    print(f"{status} {req}")

print("\n" + "=" * 50)
print("üéâ Wszystkie wymagania spe≈Çnione!")
print("=" * 50)