Download the poster files:
CYS_M_1.pdf (1.9 MB) CYS_M_1.pptx (3.3 MB) measurement-explainer.md

CyberSentrix — شرح الأرقام على البوستر

السؤال: كيف سوّيتم الـ measurement؟ ومن وين جت الأرقام؟

الجواب القصير: الأرقام على البوستر من ٣ مصادر مختلفة، وكل واحد متقاس بطريقة مختلفة. ما ادّعينا ولا رقم ما قِسناه. هذا الشرح مطابق لما مكتوب في Mid-Term Report (فقرات Performance Benchmarking + Validation Plan).

١. أرقام الـ Latency بـ `ms` — قِسناها بأنفسنا على اللاب اللي شغّال

Metric	Value	طريقة القياس
OpenSearch query	`< 1 ms`	`curl` مباشر على الـ Wazuh Indexer
Groq LLM / alert	`309 ms`	من logs الـ `/api/alerts` endpoint في web dashboard
`/api/alerts` end-to-end	`238 ms`	request → response timing في Next.js
Batch-10 analysis	`3.5 s`	batch endpoint للعشرة تنبيهات
Telegram push	`137 ms`	Telegram Bot API response time
Wazuh active-response	`38 ms`	من active-response.log داخل Wazuh Manager

المصدر: المنظومة اللي docker ps يبيّنها (15 container شغّال). الـ mid report — paragraph 42 يذكر هذي الأرقام حرفياً، ويضيف إن الـ polling هو ٨٠٪ من التأخير (وليس AI processing)، والـ worst-case alert-to-action حالياً 60–90 ثانية.

٢. النِسَب (`30–50%`, `40–70%`, `60–85%`) — "Expected" مو "Achieved"

هذي متوقّعة من الـ literature review (٣٠ ورقة)، ما قِسناها بعد.

Expected Outcome	Source
30–50% false-positive reduction	Literature consensus
40–70% MTTR improvement	Literature consensus
60–85% Tier-1 tasks automated	Literature consensus
98% accuracy under HITL	Proposal target
99.9% RF severity ranking	Orobosade et al. 2025
93% F1 AI-driven IR	Zhang et al. 2025

على البوستر هذي الأرقام مكتوب عليها "Expected" بلون مختلف (HTML class metric-expected) — مو مخلوطة مع الـ Achieved.
القياس الفعلي يجي في Final Report عن طريق:

Validation Design (من Mid Report, paragraphs 59–60):

Paired comparison: كل عضو فريق يحقّق في نفس الـ attack scenarios مرتين —
Manual baseline: Wazuh Dashboard فقط، بدون AI ولا automation
CyberSentrix condition: المنظومة الكاملة مع الـ AI Copilot
Primary metric: MTTR (Mean Time to Respond) — من alert creation timestamp إلى forensic evidence collection completion
Statistical test: paired t-test (لو البيانات normal) أو Wilcoxon signed-rank (لو non-parametric)
Significance: α = 0.05
Effect size: Cohen's d
Attack scenarios: 4 MITRE ATT&CK categories
TA0011 Command & Control
TA0006 Credential Access (Mimikatz-style)
TA0008 Lateral Movement (PtH, remote exec)
TA0003 Persistence (scheduled tasks, registry run keys)

٣. الأرقام الدقيقة (`99.6%`, `99.92%`, `86.8%`, `93% F1`) — Citations من أوراق

هذي ليست أرقامنا — هي citations لمراجع علمية في الـ references section:

Claim	Paper
`99.6% recall, >75% alert reduction`	[1] Ban et al. AI-assisted SIEM, 2023
`99.92% triage precision`	[2] Kim et al. CyberAlly: KG-RAG SOC Copilot, 2025
`86.8% accuracy`	[4] Ismail et al. SERC: RAG Copilot for Wazuh, 2025
`93% F1, 58 ms latency`	[8] Zhang et al. 4-layer AI-IR Architecture, 2025

على البوستر هذي في الـ References band، مرقّمة [1]–[8].

٤. الـ Problem Stats (فوق البوستر) — Citations

كل رقم في الـ problem band مقتبس من ورقة — ما هي ادّعاءاتنا:

Stat	Source
`62–78%` of alerts ignored	Haider & Elson 2024; Tilbury 2024
`2–8h` manual triage per incident	Gazo 2024; Andrade 2022
`27/30` papers lack SIEM–DFIR integration	Our own literature review
`$500K–$2M/yr` proprietary SIEM licensing	Manzoor 2024; Bezas 2023

باختصار للصديق

"ما ادّعينا ولا رقم ما قِسناه. الـ ms measured على اللاب الحالي، الـ % ranges متوقّعة من الـ literature، والأرقام الدقيقة الأخرى citations من أوراق محكّمة. الـ MTTR الرسمي مع paired t-test يجي في Final Report."

البوستر يفرّق بصرياً بين:

Achieved (قسناها) — بخط أخضر Matrix
Expected (متوقّعة) — بخط cyan مختلف وفيها label "Expected"
References — مرقّمة مع أسماء الـ authors والسنة

ما في خلط. الـ methodology موثّقة في Mid-Term Report و الـ Final Report بيجيب الأرقام المقاسة الفعلية بعد الـ comparative validation.

CyberSentrix — Group 9MY1 — CYS 508 — IAU — April 2026