elchacal801/flame-exchange
GitHub: elchacal801/flame-exchange
开源欺诈情报交换平台,将多个主流欺诈框架交叉映射为统一威胁路径并提供标准化导出与 AI 辅助分析能力。
Stars: 3 | Forks: 0
[](https://github.com/elchacal801/flame-fraud/actions/workflows/build-and-deploy.yml)
[](LICENSE)
[](https://www.python.org/)
[](ThreatPaths/)
[](https://github.com/elchacal801/flame-detections)
[](docs/STIX-FRAUD-EXTENSION.md)
[](mcp_server/)
# FLAME -- 欺诈生命周期分析与缓解交换中心
**开源欺诈情报交换平台。** 将全球的欺诈分类体系交叉映射到一个库中。
FLAME 是一个开源的、社区驱动的结构化欺诈情报交换平台。它将 **7 个欺诈框架** 交叉映射为统一的威胁路径、基线和模拟剧本分类体系——可通过带有 D3 驱动的可视化、AI 辅助的录入以及用于对话式欺诈情报的 MCP 服务器的零依赖 Web 界面进行浏览。内置支持导出至 STIX 2.1、MISP、TAXII、Sigma 和 CQL。
## 概览
| 指标 | 数量 |
|--------|-------|
| **威胁路径** | 89 (TP-0001 -- TP-0089) |
| **检测逻辑规则** | 221 条,位于 [flame-detections](https://github.com/elchacal801/flame-detections) |
| **基线** | 36 (49/89 个 TP 通过 `baseline_ids` 链接) |
| **模拟剧本** | 14 个对手模拟脚本 |
| **欺诈类型** | 主分类体系包含 141 种 |
| **覆盖行业** | 24 个 |
| **框架交叉映射** | 7 个 (CFPF, ATT&CK, MITRE F3, Group-IB FM, Stripe FT3, UCFF, 监管合规) |
| **监管要求** | 跨越 7 个司法管辖区的 31 项 |
| **导出格式** | 5 种 (STIX, MISP, TAXII, RSS, JSON API) |
| **MCP 服务器工具** | 6 个 |
| **CI/CD 工作流** | 7 个 |
| **测试** | 217 个 (pytest) |
## 为什么需要 FLAME
在 2025 年 4 月至 2026 年 4 月期间,六个独立组织得出了相同的结论:欺诈需要结构化的分类框架。Stripe 发布了 FT3(随后将其废弃)。MITRE 推出了 F3(2026 年 4 月)。Group-IB 发布了 Fraud Matrix 2.0(商业付费门槛)。FS-ISAC 召集了 300 多名成员制定 Cyber Fraud Prevention Framework。分类层正在趋于一致。然而,开源领域中的 **社区知识交流层** 仍完全处于空白状态。
| 能力 | FLAME | Group-IB FM 2.0 | FS-ISAC CFPF | Stripe FT3 | MITRE F3 |
|---|:---:|:---:|:---:|:---:|:---:|
| 开源 | 是 | 否 | 仅限纸质文档 | 已废弃 | 是 |
| 社区贡献 | 是 | 否 | 无平台 | 否 | 是 |
| 结构化检测逻辑 | [221 条规则](https://github.com/elchacal801/flame-detections) | 偏重移动端 | 否 | 否 | 否 |
| 多分类体系映射 | 7 个框架 | 仅限自有 | 仅限自有 | 仅限自有 | 仅限 ATT&CK |
| TIP 互操作性 (STIX/MISP/TAXII) | 是 | 否 | 否 | 否 | 否 |
| AI 辅助录入 | 是 | 否 | 否 | 否 | 否 |
**分类体系定义了语言。而 FLAME 则是从业者分享实际有效经验的场所。**
\* 检测规则正在迁移至 [flame-detections](https://github.com/elchacal801/flame-detections),以便保持独立的质量控制和贡献节奏。
ACAMS 国际反欺诈与技术工作组在 [2026 年 3 月证实](docs/COMPETITIVE-LANDSCAPE.md#cross-sector-information-sharing-landscape-acams-2026),跨行业欺诈情报共享是整个行业的首要任务——但由于数据孤岛、格式不兼容以及缺乏结构化的类型学,这一任务在系统层面上依然受阻。FLAME 通过开源的结构化威胁路径、标准化的导出格式 (STIX/MISP/TAXII/Sigma) 以及涵盖 24 个行业 141 种欺诈类型的通用分类体系,直接解决了这些障碍。
## 支持的框架
| 框架 | 状态 |
|-----------|--------|
| FS-ISAC Cyber Fraud Prevention Framework (CFPF) | 主要结构——所有 89 个 TP 均已映射 |
| MITRE ATT&CK | 补充映射(如适用) |
| MITRE F3 (Fight Fraud Framework) | 已映射 (72/89 TPs),通过 `f3_mapper.py` 实现——于 2026 年 4 月发布 |
| Group-IB Fraud Matrix 2.0 | 交叉参考映射(阶段名称) |
| Stripe FT3 | 已映射 (69/89 TPs),通过 `ft3_mapper.py` 实现 |
| Group-IB UCFF | 防御侧成熟度对齐(7 个域) |
**FLAME 不是什么:** FLAME 不是一个分类项目。它是一个建立在现有分类体系之上的知识交换平台,提供纯分类体系无法交付的运营情报——威胁路径、检测查询、调查剧本以及跨团队关联指导。
## 架构
FLAME 遵循 **Markdown 优先,数据库派生** 的架构,该架构以 THOR Collective 的 [HEARTH](https://github.com/THOR-Collective/HEARTH) 为模型。
- **Markdown 是事实来源。** 威胁路径、基线和检测规则均使用 YAML frontmatter 编写为结构化文件。检测规则目前位于本仓库中,但正在迁移至 [flame-detections](https://github.com/elchacal801/flame-detections) 以保持独立的质量标准和贡献节奏。
- **数据库是派生的。** Python 脚本解析源文件,构建 SQLite 索引,并为前端导出 JSON。
- **前端是静态的。** 通过 GitHub Pages 提供原生的 HTML/CSS/JS 单页应用。无构建步骤,无框架依赖。
- **导出是标准化的。** 构建时流水线生成 STIX 2.1、MISP、TAXII 2.1、Sigma 和 RSS 产物。
- **CI/CD 是自动化的。** GitHub Actions 在合并时验证提交内容,重建数据库并重新生成所有导出文件。
### 数据流
```
graph LR
subgraph Sources
TP["ThreatPaths/*.md"]
DL["flame-detections repo"]
BL["Baselines/*.md"]
EP["EmulationPlaybooks/*.json"]
end
subgraph Build
BD["build_database.py"]
EX_STIX["export_flame_stix.py"]
EX_MISP["export_misp.py"]
EX_TAXII["export_taxii.py"]
EX_SIGMA["flame-detections CI"]
end
subgraph Artifacts
DB["SQLite + JSON Index"]
STIX["STIX 2.1 Bundle"]
MISP_OUT["MISP Galaxy + Feed"]
TAXII_OUT["TAXII 2.1 Endpoints"]
SIGMA_OUT["Sigma Packs"]
RSS["RSS Feed"]
API["JSON API v1"]
end
subgraph Consumers
SPA["Web Frontend"]
MCP["MCP Server"]
TIP["TIP Integration"]
end
TP & DL & BL & EP --> BD
BD --> DB & RSS & API
BD --> EX_STIX --> STIX
BD --> EX_MISP --> MISP_OUT
BD --> EX_TAXII --> TAXII_OUT
BD --> EX_SIGMA --> SIGMA_OUT
DB & API --> SPA
DB --> MCP
STIX & MISP_OUT & TAXII_OUT --> TIP
```
### CI/CD 流水线
```
graph TD
PR[Pull Request] --> VAL[validate-pr.yml]
VAL -- Merge --> BUILD[build-and-deploy.yml]
BUILD --> PAGES[GitHub Pages]
ISSUE[Intel Submission Issue] --> AI[ai-intake.yml]
AI --> GEN[generate_threat_path.yml]
GEN --> PR
CRON[Cron 2x Daily] --> REG[fetch-regulatory.yml]
REG --> DBUP[update-database.yml]
LABEL[Label: submitted] --> PEER[peer-review.yml]
PEER --> PR
```
## 仓库结构
```
ThreatPaths/ 89 fraud scheme lifecycle mappings (TP-XXXX.md)
(Detection rules now in flame-detections repo)
Baselines/ 36 environmental profiling benchmarks (BL-XXXX.md)
EmulationPlaybooks/ 14 adversary simulation playbooks (EP-XXXX.json)
Templates/ Submission templates (TP, DL, BL, EP)
config/ Regulatory requirements and source configs
scripts/ Build, validation, and export scripts (22 modules)
regulatory/ 6-source regulatory data fetchers
mcp_server/ FastMCP server exposing 7 fraud intelligence tools
tests/ 217 tests across pytest test modules
database/ Generated artifacts (auto-built by CI)
flame-index.json Metadata-only index (fast frontend load)
flame-content/ Individual TP content files (lazy-loaded)
flame-stats.json Pre-computed aggregate statistics
flame-contributors.json Contributor leaderboard data
flame_stix_bundle.json STIX 2.1 bundle with fraud extensions
(Detection exports now in flame-detections repo)
misp-feed/ Per-TP MISP event files + manifest
regulatory-alerts.json Automated regulatory alert feed (6 sources)
feed.xml RSS 2.0 feed
data/ Taxonomies, framework mappings, MISP galaxy defs
api/
v1/ Static JSON API endpoints
taxii/ TAXII 2.1 discovery, collections, objects
docs/ Project documentation and specifications
.github/
workflows/ 7 CI/CD workflows
ISSUE_TEMPLATE/ 5 issue templates for submissions
```
## 威胁路径集合
FLAME 附带 **89 个威胁路径**,涵盖 **24 个行业**的 **141 种欺诈类型**。
| ID | 方案 | 主要欺诈类型 |
|----|--------|-----------------|
| TP-0001 | 通过恶意广告进行资金管理账户接管 (ATO) | ATO, 语音钓鱼, 电汇欺诈 |
| TP-0002 | BEC -- 供应商冒充电汇欺诈 | BEC, 发票欺诈 |
| TP-0003 | 合成身份 -- 信用卡 Bust-Out | 合成身份, 申请欺诈 |
| TP-0004 | 通过 HR 门户泄露进行工资挪用 | 工资挪用, BEC |
| TP-0005 | 通过代理门户 ATO 进行保险费挪用 | ATO, 保费挪用 |
| TP-0006 | 房地产电汇欺诈 -- 结算骗局 | BEC, 电汇欺诈 |
| TP-0007 | 用于电汇的深度伪造语音授权 | 深度伪造, 冒充 |
| TP-0008 | 换卡攻击至加密货币交易所 ATO | ATO, 加密洗钱 |
| TP-0009 | 支票洗钱与欺诈性移动存款 | 支票欺诈 |
| TP-0010 | 残疾保险欺诈 | 欺诈性索赔 |
### 最近新增
| ID | 方案 | 主要欺诈类型 |
|----|--------|-----------------|
| TP-0051 | 二维码支付欺诈 / Quishing | quishing, 凭证填充, 账户接管 |
| TP-0052 | 色情敲诈-投资混合欺诈 | 色情敲诈, 投资骗局, 深度伪造 |
| TP-0053 | 车辆出口融资欺诈 | 车辆出口欺诈, 身份盗窃, 申请欺诈 |
| TP-0054 | 欺诈即服务平台 | 欺诈即服务, AI 基础设施, 网络钓鱼 |
| TP-0055 | 加密货币欺诈-恐怖主义/毒品融资关联 | 加密洗钱, 投资骗局, 国家-犯罪融合 |
| TP-0056 | 保险索赔欺诈 (汽车/医疗) | 保险欺诈, 欺诈性索赔, 身份盗窃 |
| TP-0057 | 深度伪造即服务市场生态系统 | 深度伪造即服务, 深度伪造欺诈, AI 换脸/变声 |
| TP-0058 | 诈骗园区运营基础设施 | 诈骗园区运营, 聊天机器人辅助欺诈, 社会工程学 |
| TP-0059 | 自动化骡子账户基础设施 | 自动化骡子账户, 洗钱, 机器人驱动的账户开立 |
| TP-0060 | 投资欺诈 TDS 管道 | 流量分发系统, 投资欺诈, 伪装 |
| TP-0061 | 威胁行为者启用无视投诉主机基础设施 | 无视投诉主机, 欺诈赋能基础设施, 托管提供商共犯 |
| TP-0062 | 追回欺诈 -- 双重受骗二次侵害 | 追回欺诈, 冒充, 预付款欺诈 |
| TP-0063 | 有组织假冒商品和未发货欺诈网络 | 购买骗局, 拍卖欺诈, 品牌冒充 |
| TP-0064 | 长期公司及有组织商业信贷欺诈 | 长期公司欺诈, bust-out, 申请欺诈 |
| TP-0065 | 有组织大众营销欺诈基础设施 | 机器人拨号欺诈, 语音钓鱼, 社会工程学 |
| TP-0066 | 碰瓷与有组织保险欺诈团伙 | 碰瓷, 保险欺诈, 串通 |
| TP-0067 | AiTM 网络钓鱼工具包基础设施和会话令牌劫持 | AITM 网络钓鱼, 账户接管, 欺诈即服务 |
| TP-0068 | 礼品卡欺诈生命周期 — 生成、篡改和变现 | 礼品卡欺诈, 礼品卡篡改, 忠诚度积分欺诈 |
| TP-0069 | 短信钓鱼 PhaaS 生态系统 — Darcula, Smishing Triad | 短信钓鱼, 无卡支付欺诈, 欺诈即服务 |
| TP-0070 | 旅游预订欺诈与虚假 OTA 网络 | 旅游预订欺诈, 代购欺诈, 虚假 OTA |
| TP-0071 | IRSF 与电信收入分成欺诈 | IRSF, 高费率欺诈, Wangiri |
| TP-0072 | 电信订阅与账单欺诈 | 订阅欺诈, 电信账单欺诈 |
| TP-0073 | 房地产产权欺诈与契约盗窃 | 产权欺诈, 契约盗窃, 卖家冒充 |
| TP-0074 | 幽灵经纪人与未授权保险门户 | 幽灵经纪人, 幽灵门户, 无牌保险 |
| TP-0075 | 友好欺诈与拒付滥用 | 友好欺诈, 拒付滥用, 争议欺诈 |
| TP-0076 | 联盟网络欺诈与无效流量 | 联盟欺诈, 点击欺诈, Cookie 填充 |
| TP-0077 | AI 生成的保险索赔欺诈 | AI 生成的索赔, 深度伪造索赔, 文档欺诈 |
| TP-0078 | 通过 CEX 热钱包管道进行的稳定币洗钱 | 加密洗钱, 稳定币洗钱, 洗钱 |
| TP-0079 | 廉价 gTLD 和 PaaS 子域名滥用作为欺诈基础设施 | 网络钓鱼, 品牌冒充, PaaS 子域名滥用 |
| TP-0080 | 通过包装代币和跨链桥规避稳定币冻结 | 稳定币冻结规避, 加密洗钱, 制裁规避 |
| TP-0081 | 语音钓鱼主导的身份滥用与混合社会工程学 | 语音钓鱼, 账户接管, 虚假验证码欺诈 |
| TP-0082 | 黄金快递骗局 — 实物贵金属套现 | 社会工程学, 冒充, 老年人剥削 |
| TP-0083 | 投资俱乐部骗局 — 社交媒体内幕群组欺诈 | 投资骗局, 社会工程学, 加密洗钱 |
| TP-0084 |政府冒充 — 基于权威的 APP 欺诈 | 冒充, 经授权的推送支付, 老年人剥削 |
| TP-0085 | 加密 ATM/自助终端诱导欺诈 — 物理到数字的变现 | 加密洗钱, 经授权的推送支付, 老年人剥削 |
| TP-0086 | 危机利用域名情报 — 石油冲击基础设施 | 危机利用, 网络钓鱼, 欺诈赋能基础设施 |
有关包含行业、CFPF 阶段和框架映射的完整交叉参考表,请参阅 [ThreatPaths/INDEX.md](ThreatPaths/INDEX.md)。
## 检测规则与 FLAME
检测规则在同级仓库 [flame-detections](https://github.com/elchacal801/flame-detections) 中维护。该集合包含 **221 条规则** —— 98 条纯 Sigma 兼容(自动转换为 SPL, EQL, KQL)和 123 条需要手写原生查询(CQL, SPL)以用于有状态关联的规则。
检测规则将在 v1.0 版本中迁移至 [flame-detections](https://github.com/elchacal801/flame-detections)。这种解耦允许检测内容按照自己的质量标准和贡献节奏发展,独立于核心交换分类体系。
在迁移期间,检测规则在本仓库中仍保持完全可用。
**审计工具:** `scripts/audit_queries.py` 验证完整的 TP 清单中的检测规则覆盖率和查询正确性。`scripts/sync_tp_rules.py` 将威胁路径规则引用与实际的检测逻辑文件同步。
## 模拟剧本
FLAME 包含 **14 个对手模拟剧本** —— 映射到 CFPF 阶段的模拟脚本,用于测试针对特定欺诈方案的检测覆盖率。
| ID | 剧本 | 关联 TPs |
|----|----------|------------|
| EP-0001 | 合成身份 Bust-Out | TP-0003, TP-0016 |
| EP-0002 | BEC 电汇欺诈 | TP-0002, TP-0006 |
| EP-0003 | 换卡攻击加密 ATO | TP-0008 |
| EP-0004 | APP 欺诈 | TP-0012, TP-0024 |
| EP-0005 | A2A 支付利用 | TP-0024 |
| EP-0006 | RDGA 活动模拟 | TP-0041 |
| EP-0007 | TDS 链利用模拟 | TP-0042 |
| EP-0008 | 资金管理 ATO | TP-0001 |
| EP-0009 | 深度伪造语音授权 | TP-0007 |
| EP-0010 | 第一方欺诈 Bust-Out | TP-0016 |
| EP-0011 | 杀猪盘杀猪盘/投资 | TP-0017 |
| EP-0012 | 朝鲜 IT 工作者渗透 | TP-0034 |
| EP-0013 | 代理商务欺诈 | TP-0039 |
| EP-0014 | BNPL 多提供商堆叠 | TP-0040 |
剧本遵循结构化的 JSON 架构,其中执行步骤映射到 CFPF 阶段 (P1--P5),交叉引用检测规则 (DL-XXXX),并包含可测试性评分。有关架构,请参见 `Templates/emulation-playbook-template.json`。
## 前端与可视化
FLAME 前端是一个原生 HTML/CSS/JS 单页应用,具有暗色主题、响应式设计且无构建步骤。它具有 D3.js 驱动的可视化和交互式分析工具。
### D3 可视化
| 可视化 | 描述 |
|---|---|
| **攻击流程图** | 每个威胁路径的水平 CFPF 阶段流程 (P1--P5),包含 MITRE 技术卡片和检测规则徽章 |
| **自我邻域图** | 力导向的 1--2 跳子图,显示具有类型化关系的关联威胁路径 |
| **全局关系图** | 所有 89 个 TP 的全网络力导向布局,按行业聚类并包含 7 种颜色编码的关系类型 |
| **UCFF 雷达图** | UCFF 自我评估的 7 轴成熟度概况 |
| **覆盖率热力图** | 欺诈类型 x CFPF 阶段覆盖矩阵,带有基于强度的着色 |
| **框架导航器** | 跨框架覆盖网格 (CFPF, MITRE ATT&CK, MITRE F3, Group-IB, FT3),带有 SVG 和 ATT&CK Navigator JSON 导出 |
### 交互式工具
| 工具 | 描述 |
|---|---|
| **UCFF 自我评估** | 跨越 7 个治理域的成熟度滑块,带有差距分析和 JSON 导入/导出 |
| **覆盖评估** | 特定行业的欺诈覆盖分析,带有阶段弱点检测和差距评分 |
| **监管脉搏** | 来自 6 个监管源 (OFAC, FinCEN, SEC, OCC, FBI IC3, CFPB) 的实时动态,带有分页和源过滤 |
| **贡献者排行榜** | 排名贡献者表 (TPs, DL 规则, 基线, EPs),从提交的 frontmatter 中提取 |
### 其他特性
- 通过 lunr.js 实现**全文搜索**,带有通配符回退
- 按 CFPF 阶段、行业和欺诈类型进行**多条件过滤**
- **延迟内容加载** —— 首先加载元数据索引,按需加载 TP 内容
- **分类体系切换** —— 在详情视图中在 CFPF、MITRE ATT&CK 和 Group-IB 视图之间切换
- **基于哈希的路由** —— 通过 `#detail/TP-XXXX` 实现深度链接
- 所有代码块上的**复制到剪贴板**功能
- 带有可折叠过滤面板的**移动端响应式**设计
## 生态系统集成
### STIX 2.1 欺诈扩展
扩展 STIX 2.1 用于欺诈情报的 4 个自定义 SDO:
- `x-flame-fraud-scheme` -- 欺诈生命周期模式(每个 TP 一个)
- `x-flame-financial-transaction` -- 欺诈性资金流动模式
- `x-flame-mule-network` -- 资金骡基础设施
- `x-flame-fraud-actor-profile` -- 威胁行为者画像
5 种欺诈特定关系类型。确定性 STIX ID (UUID5) 确保可重现的构建。有关完整规范,请参见 [STIX-FRAUD-EXTENSION.md](docs/STIX-FRAUD-EXTENSION.md)。
### MISP Galaxy 与 Feed
一个可订阅的 MISP galaxy,包含交叉引用到 MITRE ATT&CK 的 **89 个集群条目**,以及位于 `database/misp-feed/` 的每个 TP 的事件 Feed。将您的 MISP 实例的 Feed URL 指向 GitHub Pages 站点上的 `database/misp-feed/manifest.json`。
### TAXII 2.1 端点
位于 `api/taxii/` 的静态 TAXII 2.1 兼容文件,包含 3 个集合:
1. 威胁路径 (作为 attack-pattern SDO)
2. 检测规则 (作为 course-of-action SDO)
3. 基线 (通过 `baseline_ids` 链接到 TP 以进行基准测试)
兼容 MISP、OpenCTI、ThreatConnect 及其他 TIP。使用位于 `api/taxii/discovery.json` 的 TAXII 根目录配置您的 TIP。
### Sigma 检测包
221 条检测规则导出至 Splunk SPL、Elasticsearch EQL、Microsoft Sentinel KQL 和 CrowdStrike CQL。检测包现于 [flame-detections](https://github.com/elchacal801/flame-detections) 中维护。
### RSS Feed
位于 `database/feed.xml` 的包含威胁路径的自动生成 RSS 2.0 Feed。在 `index.html` 中启用了自动发现。
### 静态 JSON API
位于 `api/v1/` 的 RESTful JSON 端点:
```
GET /threat-paths.json All TPs with metadata
GET /threat-paths/TP-XXXX.json Individual TP details
GET /baselines.json All baselines
GET /coverage-matrix.json Coverage analysis matrix
GET /stats.json Aggregate statistics
GET /taxonomy.json Master taxonomy
```
### 监管合规
跨越 **7 个司法管辖区** (欧盟、英国、美国、新加坡、澳大利亚、非洲、国际) 的 **31 项法规**,通过 `regulatory_refs` frontmatter 映射到相关的威胁路径。包括 PSD3 SCA、UK PSR APP、FinCEN AML/BSA、FATF R16、FATF Stablecoins 2026、MAS SRF、FFIEC AuthDORA、UNODC Organized Fraud、STIX-FCI、MITRE F3、EBA Fraud Taxonomy v5.0、NRF Retail Fraud Taxonomy、CrowdStrike GTR 2026、World Cybercrime Index 等。
**自动化监管情报** 每天从 6 个政府来源抓取 2 次:
| 来源 | 机构 |
|--------|--------|
| OFAC | 财政部 -- 制裁名单 |
| FinCEN | 金融犯罪执法网络 |
| SEC | 证券交易委员会 |
| OCC | 货币监理署 |
| FBI IC3 | 互联网犯罪投诉中心 |
| CFPB | 消费者金融保护局 |
## MCP 服务器
FLAME 包含一个 [模型上下文协议](https://modelcontextprotocol.io) (MCP) 服务器,通过 6 个工具公开欺诈情报,使 Claude 等 AI 助手能够以对话方式查询威胁路径、框架映射和覆盖评估。
| 工具 | 描述 |
|------|-------------|
| `search_threat_paths` | 按关键字、行业、欺诈类型、CFPF 阶段、基础设施方法、地缘政治时机或国家背景进行搜索 |
| `get_threat_path` | 获取特定威胁路径的完整详细信息 |
| `map_framework` | 获取特定框架的映射 (cfpf, mitre, groupib, ft3, ucff) |
| `assess_coverage` | 按行业和欺诈类型评估欺诈检测覆盖范围 |
| `get_baseline` | 获取用于基准测试的欺诈基线测量值 |
| `look_left_right` | 分析上游/下游威胁关系 (CFPF 左右查看) |
**AI 助手可以通过 MCP 服务器回答的示例查询:**
- "哪些欺诈方案针对保险行业?"
- "哪些欺诈类型在所有 7 个框架中都有映射?"
- "哪些 MITRE ATT&CK 技术映射到 TP-0007?"
- "评估我对银行账户接管和电汇欺诈的覆盖范围"
- "哪些威胁路径是 TP-0011 的上游?"
- "哪些威胁路径涉及 RDGA 基础设施?"
- "TP-0034 的 UCFF 成熟度要求是什么?"
### 运行 MCP 服务器
```
python -m mcp_server.server
```
### Claude Desktop 集成
将以下内容添加到您的 Claude Desktop `claude_desktop_config.json` 中:
```
{
"mcpServers": {
"flame-fraud": {
"command": "python",
"args": ["-m", "mcp_server.server"],
"cwd": "/path/to/flame-fraud"
}
}
}
```
## CI/CD 流水线
FLAME 使用 7 个 GitHub Actions 工作流实现全面自动化:
| 工作流 | 触发器 | 目的 |
|----------|---------|---------|
| `build-and-deploy.yml` | 推送至 main | 运行测试,验证 TPs,重建数据库,导出所有产物,部署至 Pages |
| `validate-pr.yml` | Pull request | 根据架构和分类体系验证更改的提交内容 |
| `ai-intake.yml` | 标记为 `submission` 的 Issue | 通过 Claude 根据 URL 生成 AI 威胁路径草稿 |
| `generate_threat_path.yml` | 由 ai-intake 触发 | 从 AI 输出生成 TP markdown |
| `peer-review.yml` | 标签更改 | 路由提交内容:已提交 → 审查中 → 已批准 → 已发布 |
| `fetch-regulatory.yml` | 每天 2 次 (工作日 UTC 凌晨 6 点 + 下午 6 点) | 从 6 个政府监管来源抓取警报 |
| `update-database.yml` | 按需 | 强制使用最新监管数据重建数据库 |
**安全扫描:** CI 流水线包括 Bandit SAST (静态应用程序安全测试)、pip-audit (依赖项漏洞扫描) 和 Ruff (代码检查和质量)。这些在每次 PR 和推送到 main 时运行。
## 快速开始
### 在线浏览
访问 [FLAME 平台](https://flameintel.org/)。
### 本地运行
```
git clone https://github.com/elchacal801/flame-fraud.git
cd flame-fraud
pip install -r requirements.txt
python scripts/build_database.py
python -m http.server 8000
# 打开 http://localhost:8000
```
### 导出所有产物
```
python scripts/export_flame_stix.py # STIX 2.1 bundle
python scripts/export_misp.py # MISP galaxy & feed
python scripts/export_taxii.py # TAXII 2.1 endpoints
# Sigma 检测包现已移至 flame-detections repo
```
### 运行 MCP 服务器
```
python -m mcp_server.server
```
### 通过 MISP 订阅
将您的 MISP 实例的 Feed URL 指向 GitHub Pages 站点上的 `database/misp-feed/manifest.json`。
### 通过 TAXII 订阅
使用位于 GitHub Pages 站点上的 `api/taxii/discovery.json` 的 TAXII 根目录配置您的 TIP。
### 验证提交
```
python scripts/validate_submission.py ThreatPaths/TP-0001-treasury-mgmt-ato-malvertising.md
```
### 运行测试
```
pytest tests/ -v
```
## 贡献
FLAME 是由社区驱动的。欢迎来自所有金融领域从业者贡献**威胁路径**、**检测规则**、**基线**和**模拟剧本**。
### 三种贡献方式
1. **AI 辅助录入** (推荐) -- 使用 **Intel Submission** 模板开启一个 Issue,粘贴欺诈公告或报告的 URL,AI 流水线将生成一份结构化的威胁路径草稿供审查。
2. **Web 提交表单** -- 使用带有实时预览和预填充 GitHub Issue 生成的[贡献页面](https://flameintel.org/contribute.html)。
3. **手动 PR** -- Fork 本仓库,从 `Templates/` 复制相应的模板,填写所有部分,并提交一个 pull request。
### 同行评审工作流
提交内容遵循标签驱动的生命周期:**已提交** → **审查中** → **已批准** → **已发布**。所有 PR 都会根据架构和分类体系自动验证。贡献者记录在[排行榜](https://flameintel.org/)上。
有关完整的指南、frontmatter 要求和质量标准,请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)。
## 测试
FLAME 在整个流水线中包含 **217 个测试**:
```
pytest tests/ -v
```
测试覆盖范围包括:数据库构建流水线、STIX 2.1 导出、MISP galaxy 生成、TAXII 2.1 端点生成、MCP 服务器工具、提交验证、模拟剧本验证、监管数据抓取 (6 个来源)、监管模型与序列化、PDF 解析、RSS feed 生成。
## 运营证据
威胁路径可以包含一个 **运营证据** 部分,将现实世界的调查结果链接到欺诈生命周期。证据条目遵循 `EV-[TP-ID]-[YYYY]-[NNN]` 的格式,并被解析为:
- `flame-content/TP-XXXX.json` -- 每个威胁路径的完整证据数组
- `flame-index.json` -- 每个条目的 `evidence_count`
- `flame-evidence-index.json` -- 跨 TP 证据列表,用于去重
目前,证据来源于 [domain_intel](https://github.com/elchacal801/domain_intel) 调查流水线。
## 文档
- [架构](docs/ARCHITECTURE.md) -- 系统架构、数据流和组件概述
- [STIX 欺诈扩展](docs/STIX-FRAUD-EXTENSION.md) -- 自定义 SDO 规范 (4 个 SDO,5 种关系类型)
- [分类参考](docs/TAXONOMY.md) -- 141 种欺诈类型,24 个行业,CFPF 阶段,跨框架映射
- [OpenAPI 规范](docs/openapi.yaml) -- 用于编程集成的 REST API 架构
- [MCP 工具参考](docs/MCP-TOOLS.md) -- MCP 服务器工具文档和使用示例
- [竞争格局](docs/COMPETITIVE-LANDSCAPE.md) -- FLAME 与 Group-IB、MITRE、Stripe、FS-ISAC 的关系
- [更新日志](CHANGELOG.md) -- 发布历史 (v0.1.0 到 v0.8.0)
- [贡献指南](CONTRIBUTING.md) -- 提交指南和质量标准
## 相关项目
- **[flame-detections](https://github.com/elchacal801/flame-detections)** -- 基于 FLAME 分类体系构建的开源欺诈检测规则包。检测规则正从本仓库中解耦,以保持独立的质量标准和贡献节奏。
## 路线图
- ~~**MITRE F3 映射**~~ -- 于 2026 年 4 月完成 (已映射 72/89 TPs)
- ~~**检测规则解耦**~~ -- 于 2026 年 5 月完成:221 条规则位于 [flame-detections](https://github.com/elchacal801/flame-detections)
- **STIX SCO 扩展** -- 用于欺诈指标的可观察级别扩展
- **扩展的模拟剧本** -- 覆盖剩余的威胁路径类别
- **社区增长** -- 行业合作和贡献者引导
## 致谢
- **HEARTH / THOR Collective** -- 架构模型与灵感
- **FS-ISAC CFPF Working Group** -- 主要的欺诈生命周期框架
- **Group-IB** -- 为跨分类体系互操作性引用的 Fraud Matrix 2.0 阶段名称和 UCFF 治理域
- **Stripe** -- FT3 (MIT 许可) 分类体系结构
- **MITRE** -- ATT&CK 框架;F3 Fight Fraud Framework (于 2026 年 4 月发布,映射至 72/89 TPs)
- **FBI IC3** -- 2025 年互联网犯罪报告 (208.77 亿美元损失),为 17 个 TP 提供了最新的统计信息
- **OASIS** -- STIX 2.1 和 TAXII 2.1 规范
- **Recorded Future** -- 支付欺诈威胁路径的来源情报 (TP-0035 -- TP-0039)
- **LexisNexis Risk Solutions** -- 2026 年全球欺诈状况情报 (TP-0040 及其增强)
- **World Cybercrime Index** -- Bruce et al. (2024) PLoS ONE 地理网络犯罪归因数据 (BL-0036 和地缘政治 TP 丰富)
## 许可证
MIT 许可证。详见 [LICENSE](LICENSE)。
查看 TP-0011 到 TP-0050
| ID | 方案 | 主要欺诈类型 | |----|--------|-----------------| | TP-0011 | 杀猪盘到资金骡招募 | 杀猪盘, 资金骡 | | TP-0012 | APP 欺诈 -- 技术支持 / 银行冒充 | 语音钓鱼, 冒充 | | TP-0013 | 凭证填充至忠诚度积分清空 | 凭证填充, ATO | | TP-0014 | 内部人员参与的账户欺诈 | 内部威胁, 串通 | | TP-0015 | 通过品牌冒充进行的就业欺诈 | 求职骗局, 身份盗窃 | | TP-0016 | 第一方欺诈 (Bust-Out) | Bust-out, 第一方欺诈 | | TP-0017 | 杀猪盘 (投资骗局) | 投资骗局, 杀猪盘 | | TP-0018 | 深度伪造文档欺诈 | 深度伪造欺诈, 单证欺诈 | | TP-0019 | 商业身份盗窃 | 身份盗窃, 申请欺诈 | | TP-0020 | 供应链支付欺诈 | BEC, 供应商冒充 | | TP-0021 | 医疗保健提供者账单欺诈 | 医疗保健欺诈, 虚假账单 | | TP-0022 | 政府项目欺诈 | 福利欺诈, 税务欺诈 | | TP-0023 | 移动银行木马 / 覆盖攻击 | 恶意软件, ATO | | TP-0024 | A2A 即时支付欺诈 (Zelle/FedNow/Pix) | APP, 未经授权的交易 | | TP-0025 | GenAI 增强的 APP 欺诈 -- 杀猪盘变体 | 杀猪盘, 深度伪造 | | TP-0026 | GenAI 增强的 APP 欺诈 -- 投资变体 | 投资骗局, 深度伪造 | | TP-0027 | 老年人财务剥削 | 社会工程学, APP | | TP-0028 | DME 虚假账单 (医疗保险欺诈) | 医疗保健欺诈, 虚假账单 | | TP-0029 | AI 合成身份与文件伪造 | 合成身份, 深度伪造欺诈 | | TP-0030 | 电商三角欺诈 | 支付转移, 身份盗窃 | | TP-0031 | 退款即服务 (FTID / RaaS) | 退款即服务 | | TP-0032 | Web3 钱包抽水 / 授权网络钓鱼 | 授权网络钓鱼, 加密洗钱 | | TP-0033 | 幽灵学生经济援助僵尸网络 | 幽灵学生欺诈, 申请欺诈 | | TP-0034 | 朝鲜国家赞助的 IT 工作者欺诈 | 朝鲜 IT 工作者欺诈, 数据盗窃 | | TP-0035 | Magecart 电子窃取数据泄露 | 电子窃取, 数据盗窃 | | TP-0036 | 购买骗局商家网络 | 购买骗局, 品牌冒充 | | TP-0037 | 数字钱包欺诈与 NFC 中继攻击 | 数字钱包欺诈, NFC 中继 | | TP-0038 | 测试卡基础设施滥用 | 测试卡, 身份盗窃 | | TP-0039 | 代理商务欺诈 | 自主 AI 欺诈, 未经授权的交易 | | TP-0040 | BNPL 多提供商欺诈 | BNPL 欺诈, 合成堆叠 | | TP-0041 | 基于 RDGA 的基础设施活动 | RDGA 基础设施 | | TP-0042 | TDS 链利用 | TDS 利用, 恶意广告, 网络钓鱼 | | TP-0043 | AI 加速的欺诈基础设施生成 | AI 基础设施, 网络钓鱼, 品牌冒充 | | TP-0044 | 国家-犯罪基础设施融合 | 国家-犯罪融合, 加密洗钱 | | TP-0045 | 通过欺诈基础设施规避制裁 | 制裁规避, 加密洗钱 | | TP-0046 | 地缘政治定时的欺诈活动 | 国家-犯罪融合 | | TP-0047 | 与人口贩卖相关的欺诈基础设施 | 人口贩卖协助, 诈骗园区 | | TP-0048 | 无视投诉主机迁移模式 | BPH 迁移, 制裁规避 | | TP-0049 | 加密货币洗钱基础设施 | 加密洗钱基础设施, CMLN 行动 | | TP-0050 | 日历/邀请注入网络钓鱼 | 日历网络钓鱼, 社会工程学 |标签:adversary simulation, AI辅助分析, CISA项目, Cloudflare, D3.js, ESC4, IP 地址批量处理, JSON API, MCP Server, MITRE ATT&CK, MITRE F3, Mutation, OSINT, PE 加载器, Python, Sigma规则, STIX 2.1, TAXII, UCFF, 仿真剧本, 企业安全, 反欺诈, 可视化, 大模型交互, 威胁建模, 威胁情报, 威胁猎杀, 威胁路径, 子域名暴力破解, 实时处理, 密码管理, 开发者工具, 数据可视化, 数据展示, 无后门, 检测规则, 欺诈情报, 欺诈生命周期, 目标导入, 红队, 网络安全, 网络资产发现, 网络资产管理, 自动化检测, 跨框架映射, 逆向工具, 金融犯罪, 隐私保护, 风控