segene2001/critical-infrastructure-threat-intel

GitHub: segene2001/critical-infrastructure-threat-intel

面向关键基础设施(金融服务与农业)的AI驱动威胁情报框架,整合多源情报并提供自动化威胁检测、合规报告与SIEM集成。

Stars: 2 | Forks: 3

# 关键基础设施威胁情报框架 [![License: MIT](https://img.shields.io/badge/License-MIT-yellow.svg)](https://opensource.org/licenses/MIT) [![Python 3.8+](https://img.shields.io/badge/python-3.8+-blue.svg)](https://www.python.org/downloads/) [![Security: Critical Infrastructure](https://img.shields.io/badge/security-critical%20infrastructure-red.svg)](https://www.cisa.gov/) ## 🎯 概述 一个专为**关键基础设施保护**设计的 AI 驱动的威胁情报框架,重点关注**金融服务(PPD-21 第 6 扇区)**和**食品与农业(PPD-21 第 2 扇区)**领域。本框架提供符合联邦网络安全指令的自动化威胁检测、分析和响应能力。 ## 🏛️ 联邦对齐 本项目直接支持多项联邦网络安全倡议: ### 第 14028 号行政命令 - 改善国家网络安全 - ✅ 实现高级威胁检测和自动化响应 - ✅ 为关键基础设施提供实时威胁情报 - ✅ 促进跨部门的信息共享 - ✅ 支持网络安全防御的现代化 ### 总统政策指令 21 (PPD-21) - 关键基础设施安全 - ✅ **第 6 扇区(金融服务):** 保护银行、信用社和金融机构 - ✅ **第 2 扇区(食品与农业):** 保护农业供应链和农村金融服务 - ✅ 实现跨部门威胁情报共享 - ✅ 支持旨在保护基础设施的公私合作伙伴关系 ### CISA 国家网络安全战略 - ✅ 与 CISA 的关键基础设施保护使命保持一致 - ✅ 实施自动化威胁检测与响应 - ✅ 促进跨部门信息共享 - ✅ 支持 CISA 的网络安全性能目标 (CPGs) ### NIST 网络安全框架 - ✅ **识别:** 资产发现和威胁环境映射 - ✅ **保护:** 主动威胁缓解控制 - ✅ **检测:** 基于 AI/ML 的异常和威胁检测 - ✅ **响应:** 自动化事件响应工作流 - ✅ **恢复:** 威胁情报驱动的恢复程序 ## 🚀 核心功能 ### 1. 多源威胁情报聚合 - 集成来自 CISA、FBI IC3、FS-ISAC 和开源情报的情报源 - 将威胁数据标准化为 STIX 2.1 格式 - 自动去重和关联 - 实时威胁情报源更新 ### 2. AI/ML 驱动的威胁分析 - 用于威胁分类和优先级排序的机器学习模型 - 针对高级持续性威胁 (APTs) 的行为分析 - 使用无监督学习的异常检测 - 预测性威胁建模 ### 3. 特定领域的威胁检测 - **金融服务:** 银行木马、电信欺诈、勒索软件、内部威胁 - **农业:** 供应链攻击、IoT 漏洞、农村基础设施威胁 - 为农业信贷系统机构提供定制的威胁配置 - 法规合规性映射(FFIEC、FCA、GLBA) ### 4. 自动化响应与集成 - SIEM 集成(Splunk、QRadar、Sentinel) - SOAR 剧本自动化 - 威胁情报平台 (TIP) 连接器 - 用于自定义集成的 REST API ### 5. 合规与报告 - FFIEC 网络安全评估工具 (CAT) 对齐 - FCA 审查准备报告 - CISA 报告格式合规 - 高管仪表板和指标 ## 📋 架构 ``` ┌─────────────────────────────────────────────────────────────┐ │ Threat Intelligence Sources │ │ CISA AIS │ FBI IC3 │ FS-ISAC │ OSINT │ Commercial Feeds │ └──────────────────────┬──────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────┐ │ Data Collection & Normalization │ │ (STIX 2.1, TAXII, Custom Parsers) │ └──────────────────────┬──────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────┐ │ AI/ML Analysis Engine │ │ Threat Classification │ Prioritization │ Correlation │ └──────────────────────┬──────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────┐ │ Sector-Specific Processing │ │ Financial Services Rules │ Agriculture Rules │ └──────────────────────┬──────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────┐ │ Response & Integration Layer │ │ SIEM │ SOAR │ TIP │ Ticketing │ Notifications │ └─────────────────────────────────────────────────────────────┘ ``` ## 🛠️ 安装说明 ### 前置条件 - Python 3.8 或更高版本 - pip 包管理器 - 访问威胁情报源的权限(API keys) ### 快速开始 ``` # 克隆 repository git clone https://github.com/segene2001/critical-infrastructure-threat-intel.git cd critical-infrastructure-threat-intel # 安装依赖 pip install -r requirements.txt # 配置 threat feeds cp config/config.example.yaml config/config.yaml # 使用您的 API keys 和设置编辑 config.yaml # 运行 threat intelligence collector python src/threat_collector.py # 启动 analysis engine python src/threat_analyzer.py # 启动 dashboard python src/dashboard.py ``` ## 📖 使用示例 ### 示例 1:收集并分析威胁 ``` from src.threat_collector import ThreatCollector from src.threat_analyzer import ThreatAnalyzer # 初始化 collector collector = ThreatCollector(config_path='config/config.yaml') # 从所有已配置的来源收集 threats threats = collector.collect_all() # 使用 AI/ML 分析 threats analyzer = ThreatAnalyzer() analyzed_threats = analyzer.analyze(threats, sector='financial_services') # 获取 high-priority threats critical_threats = [t for t in analyzed_threats if t.priority == 'critical'] for threat in critical_threats: print(f"Threat: {threat.name}") print(f"Sector: {threat.sector}") print(f"Indicators: {threat.iocs}") print(f"Recommended Actions: {threat.recommendations}") ``` ### 示例 2:金融服务威胁检测 ``` from src.sector_analyzers import FinancialServicesAnalyzer # 初始化 financial services analyzer fs_analyzer = FinancialServicesAnalyzer() # 分析特定于 banking/credit unions 的 threats fs_threats = fs_analyzer.analyze_threats( threat_data=threats, institution_type='credit_union', compliance_frameworks=['FFIEC', 'FCA', 'GLBA'] ) # 生成 compliance report report = fs_analyzer.generate_compliance_report(fs_threats) ``` ### 示例 3:农业领域保护 ``` from src.sector_analyzers import AgricultureAnalyzer # 初始化 agriculture analyzer ag_analyzer = AgricultureAnalyzer() # 分析针对 agricultural supply chain 的 threats ag_threats = ag_analyzer.analyze_threats( threat_data=threats, focus_areas=['supply_chain', 'iot_devices', 'rural_infrastructure'] ) # 获取 IoT 特定的 threats iot_threats = ag_analyzer.filter_iot_threats(ag_threats) ``` ### 示例 4:SIEM 集成 ``` from src.integrations import SIEMIntegration # 初始化 SIEM connector siem = SIEMIntegration( platform='splunk', host='splunk.example.com', api_key='your-api-key' ) # 将 threats 发送至 SIEM for threat in critical_threats: siem.send_alert(threat) # 创建 correlation rules siem.create_correlation_rule( name='Financial Services Ransomware', threats=critical_threats, severity='high' ) ``` ## 📊 各组件功能 ### 威胁收集器 (`src/threat_collector.py`) - 多源情报源聚合 - STIX 2.1 标准化 - 自动化调度 - 频率限制与错误处理 ### 威胁分析器 (`src/threat_analyzer.py`) - 基于 ML 的威胁分类 - 风险评分算法 - 威胁关联引擎 - 降低误报率 ### 领域分析器 (`src/sector_analyzers/`) - 金融服务分析器 - 农业分析器 - 自定义领域模板 - 合规性映射 ### 集成模块 (`src/integrations/`) - SIEM 连接器(Splunk、QRadar、Sentinel) - SOAR 集成(Phantom、Demisto) - TIP 集成(MISP、ThreatConnect) - 工单系统(ServiceNow、Jira) ### 仪表板 (`src/dashboard.py`) - 实时威胁可视化 - 特定领域视图 - 合规状态跟踪 - 高管报告 ## 🔧 配置 编辑 `config/config.yaml` 进行配置: ``` threat_feeds: cisa_ais: enabled: true api_key: "your-api-key" fs_isac: enabled: true api_key: "your-api-key" sectors: financial_services: enabled: true institution_types: - credit_union - bank - farm_credit compliance_frameworks: - FFIEC - FCA - GLBA agriculture: enabled: true focus_areas: - supply_chain - iot_devices - rural_infrastructure ml_models: threat_classification: model_path: "models/threat_classifier.pkl" confidence_threshold: 0.85 integrations: siem: platform: "splunk" host: "splunk.example.com" port: 8089 ``` ## 📚 文档 - [安装指南](docs/installation.md) - [配置指南](docs/configuration.md) - [API 参考](docs/api_reference.md) - [特定领域指南](docs/sector_guides/) - [金融服务](docs/sector_guides/financial_services.md) - [农业](docs/sector_guides/agriculture.md) - [集成指南](docs/integrations/) - [合规映射](docs/compliance/) ## 🎯 应用场景 ### 金融服务 - **信用社:** 检测并响应电信欺诈、勒索软件和内部威胁 - **农业信贷系统:** 保护农业借贷基础设施 - **社区银行:** 为小型机构提供经济实惠的威胁情报 - **合规:** 自动化准备 FFIEC CAT 和 FCA 审查 ### 农业 - **供应链安全:** 检测针对食品供应链的威胁 - **IoT 保护:** 保护农业 IoT 设备和传感器 - **农村基础设施:** 保护农村金融服务和连接网络 - **法规合规:** 支持 USDA 和 FDA 的网络安全要求 ### 跨领域 - **信息共享:** 实现不同领域间的威胁情报共享 - **事件响应:** 协调应对跨领域的威胁 - **趋势分析:** 识别影响多个领域的新兴威胁 ## 🔒 安全与隐私 - 所有威胁数据在静态存储和传输过程中均经过加密 - API keys 和凭据存储在安全保险库中 - 基于角色的访问控制 (RBAC) - 对所有操作进行审计日志记录 - 遵守数据保护法规 - 威胁情报源中不包含 PII 或敏感数据 ## 📄 许可证 本项目基于 MIT 许可证授权 - 详情请参阅 [LICENSE](LICENSE) 文件。 ## 📞 联系与支持 - **作者:** Oluwasegun Fatokun - **GitHub:** [@segene2001](https://github.com/segene2001) - **项目链接:** [https://github.com/segene2001/critical-infrastructure-threat-intel](https://github.com/segene2001/critical-infrastructure-threat-intel) ## 🎖️ 联邦合规声明 本框架旨在支持遵守以下法规: - 第 14028 号行政命令(改善国家网络安全) - 总统政策指令 21(关键基础设施安全) - CISA 网络安全性能目标 - NIST 网络安全框架 - FFIEC 网络安全评估工具 - 农业信贷管理局网络安全要求 **通过高级威胁情报保护美国的关键基础设施**
标签:AMSI绕过, CISA项目, IP 地址批量处理, Python, 人工智能, 合规要求, 威胁情报, 威胁检测, 开发者工具, 无后门, 用户模式Hook绕过, 自动化响应, 逆向工具