priyank5548/Threat_Intelligence_Aggregator

     # 威胁情报聚合器 (非 AI) ## 📌 概述 威胁情报聚合器 (Threat Intelligence Aggregator) 是一个基于 Python 的非 AI 系统，旨在从多个来源收集、处理和分析威胁情报数据。它聚合入侵指标，跨数据源对它们进行关联，分配严重性级别，并生成可操作的黑名单和报告。 本项目采用符合现实世界 SOC 实践的确定性、基于规则的逻辑。 ## 🎯 目标 - 从多个数据源聚合威胁情报 - 解析并规范化不同的 IOC 格式 - 跨来源关联指标 - 基于频率分配严重性 - 生成交付使用的黑名单 - 产出最终的威胁情报报告 ## ⚙️ 功能 - 支持 TXT、JSON 和 CSV 源格式 - 提取 IP、域名、URL、哈希和电子邮件指标 - 移除重复的指标 - 跨多个数据源关联 IOC - 严重性分类：低 / 中 / 高 - 基于策略的黑名单生成 - 人类可读和机器可读的报告 ## 🏗️ 项目结构 ``` Threat_Intel_Aggregator/ ├── core/ │ ├── feed_loader.py │ ├── parser.py │ ├── normalizer.py │ ├── correlator.py │ ├── blocklist.py │ └── reporter.py ├── feeds/ ├── output/ ├── diagrams/ ├── screenshot/ └── main.py ``` ## 🔁 工作流程 1. 加载威胁情报源 2. 从原始数据中解析指标 3. 规范化 IOC 并去重 4. 跨数据源关联指标 5. 基于频率分配严重性 6. 生成黑名单 7. 导出最终报告 ## ▶️ 如何运行 在根目录下运行项目： ``` python main.py ``` ## 📊 输出 在 output 目录下生成以下文件： - blocklist_ips.txt - blocklist_domains.txt - blocklist_urls.txt - blocklist_hashes.txt - summary.txt - final_report.json ## 🧪 测试 该项目已通过以下测试： - 单一和多个数据源 - 混合数据源格式 - 重复指标 - 跨数据源关联 - 严重性升级 - 在 Windows 和 Kali Linux 上执行 ## 📈 严重性逻辑 - 低：指标出现一次 - 中：指标出现在多个数据源中 - 高：指标出现在许多数据源中 只有中 和 高 严重性的指标会被添加到黑名单中。 ## 📝 注意 这是一个非 AI、基于规则的实现，旨在用于学术和学习目的，演示核心的威胁情报聚合概念。 ## 👤 作者 作为关于威胁情报聚合的网络安全项目的一部分而开发。

标签：DInvoke, ESC4, IOC聚合, IP信誉, OSINT, Python, TI, 云计算, 代码示例, 域名情报, 失陷指标, 威胁情报, 安全运营, 开发者工具, 扫描框架, 数据分析, 无后门, 网络安全, 自动化报告, 规则引擎, 防御者, 隐私保护, 黑白名单