Nishant0047/Black-Book

高级威胁情报系统架构 ``` ┌─────────────────────────┐ │ Client Layer │ │ (Postman / Frontend UI) │ └─────────────┬───────────┘ │ ▼ ┌─────────────────────────┐ │ API Gateway │ │ Express Server │ │ (app.js) │ └─────────────┬───────────┘ │ ┌──────────────────┼──────────────────┐ ▼ ▼ ▼ ┌─────────────────┐ ┌─────────────────┐ ┌─────────────────┐ │ Middleware │ │ Controllers │ │ Routes │ │ uploadMiddleware│ │ caseController │ │ caseRoutes │ └─────────────────┘ └─────────────────┘ └─────────────────┘ │ ▼ ┌─────────────────────────┐ │ Service Layer │ └─────────────┬───────────┘ │ ┌───────────────┬──────────────┼───────────────┬──────────────────────┐ ▼ ▼ ▼ ▼ ▼ ``` ┌─────────────┐ ┌─────────────┐ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │ CaseManager │ │PCAPProcessor│ │ ThreatIntel │ │ Analytics │ │ ReportGen │ │ │ │ (TShark) │ │ Service │ │ Engine │ │ │ └─────────────┘ └─────────────┘ └──────────────┘ └──────────────┘ └──────────────┘ │ ▼ ┌────────────────────┐ │ External APIs │ │ - AlienVault OTX │ │ - VirusTotal │ │ - AbuseIPDB │ └────────────────────┘ │ ▼ ┌─────────────────────────┐ │ Email Service │ │ (Nodemailer + Gmail) │ └─────────────┬───────────┘ │ ▼ ┌─────────────────────────┐ │ Storage Layer │ │ storage/cases/case_xxx │ │ │ │ - original.pcap │ │ - extracted_iocs.json │ │ - enriched_results.json │ │ - analytics_report.json │ │ - final_report.txt │ │ - logs.txt │ └─────────────────────────┘ 高级威胁情报系统后端结构 server/ │ ├── src/ │ ├── app.js │ │ │ ├── controllers/ │ │ └── caseController.js │ │ │ ├── routes/ │ │ └── caseRoutes.js │ │ │ ├── middleware/ │ │ └── uploadMiddleware.js │ │ │ ├── services/ │ │ ├── caseManager.js │ │ ├── pcapProcessor.js │ │ ├── threatIntelService.js │ │ ├── analyticsEngine.js │ │ ├── reportGenerator.js │ │ └── emailService.js │ │ │ └── utils/ │ ├── storage/ │ └── cases/ │ └── case_xxx/ │ ├── original.pcap │ ├── extracted_iocs.json │ ├── enriched_results.json │ ├── analytics_report.json │ ├── final_report.txt │ └── logs.txt │ ├── .env ├── package.json └── README.md 步骤 1 – 上传 PCAP 用户上传 .pcap 或 .pcapng 文件。 步骤 2 – 提取 IOC 使用 Tshark： 源 IP 目标 IP DNS 查询 HTTP 主机 步骤 3 – 威胁情报富化 每个 IOC 将进行以下比对： AlienVault OTX VirusTotal AbuseIPDB 步骤 4 – 分析引擎 系统计算： 总指标数 可疑数量 风险等级（低 / 中 / 高） 步骤 5 – 报告生成 创建结构化的 .txt 取证报告。 步骤 6 – 邮件发送 报告将发送至提供的邮箱地址。 ⚙️ 技术栈 Node.js Express.js Multer（文件上传处理） Tshark（Wireshark CLI）– PCAP 解析 Axios – 外部 API 调用 Nodemailer – 邮件发送 Dotenv – 环境配置

标签：Express, GNU通用公共许可证, MITM代理, Node.js, RESTful API, 威胁情报, 安全仪表盘, 开发者工具, 提示词优化