HrishiK1107/Aletheia

GitHub: HrishiK1107/Aletheia

Aletheia 是一个基于图的威胁情报研究系统,通过确定性基础设施关联和可解释证据建模,将碎片化的 IOC 转化为结构化的对手活动。

Stars: 0 | Forks: 0

# Aletheia ### 对手活动关联与归因引擎 ## 概述 **Aletheia** 是一个基于图的威胁情报系统,旨在利用确定性的基础设施关联和可解释的证据建模,将原始的入侵指标 (IOC) 转化为结构化的对手活动。 该系统摄取碎片化的威胁指标,利用基础设施情报对其进行扩充,构建图表示,并通过连接性和证据驱动的评分来识别对手活动。 ## 问题陈述 现代威胁情报高度碎片化。诸如域名、IP 和 URL 之类的指标通常是孤立分析的,这使得以下工作变得困难: * 识别协调一致的对手活动 * 了解基础设施重用情况 * 执行可靠的归因 * 生成可操作的情报 ## 解决方案 Aletheia 通过以下方式解决此问题: * 将威胁基础设施建模为图 * 基于共享的基础设施关联各项指标 * 将相关指标聚类为活动 * 生成可解释的证据信号 * 生成确定性的活动置信度得分 ## 核心功能 * 从多个威胁情报来源摄取 IOC * 指标规范化与结构化处理 * 基础设施扩充 (DNS, ASN, WHOIS) * 使用 Neo4j 进行基于图的建模 * 通过基础设施连接性进行活动聚类 * 可解释的活动证据评分 * 归因信号生成 * 基于时间线的活动追踪 * 基于 API 的调查工作流 ## 系统 Pipeline ``` Ingestion → Enrichment → Graph → Clustering → Evidence → Campaigns → API ``` ## 示例输出 ``` { "campaign_id": "cmp_17", "indicators": 23, "evidence": { "shared_asn": true, "shared_nameserver": true, "shared_hosting": true, "temporal_overlap": false }, "confidence_score": 0.82 } ``` ## 架构摘要 Aletheia 遵循模块化的 pipeline 架构: * **摄取层** – 从外部数据源收集 IOC * **处理层** – 规范化和结构化指标 * **扩充引擎** – 添加基础设施情报 * **图引擎** – 在 Neo4j 中构建关系 * **关联引擎** – 检测集群 * **活动引擎** – 创建活动 * **证据引擎** – 计算可解释的信号 * **API 层** – 对外提供情报 ## Aletheia 的重要意义 Aletheia 将威胁情报从: ``` isolated indicators → structured adversary campaigns ``` 转变为: 这使得以下功能成为可能: * 更好的威胁可见性 * 改进的归因推理 * 可扩展的情报分析 * 对分析师友好的调查工作流 ## 研究定位 Aletheia 被设计为一个专注于以下方面的研究系统: * 基于图的基础设施关联 * 确定性的活动聚类 * 可解释的证据建模 * 归因信号生成 ## 技术栈 * **后端**:Python (FastAPI) * **数据库**:PostgreSQL * **图数据库**:Neo4j * **队列系统**:Redis * **Workers**:异步处理 pipeline ## 项目状态 ``` Status: Research-Complete (Core System Functional) ``` ## 未来改进 * 高级聚类策略 * 时序活动演进建模 * 基础设施指纹识别 * ML 辅助归因(可选扩展) ## 许可证 本项目旨在用于研究和教育目的。 ## 作者 作为专注于研究的威胁情报系统的一部分开发。
标签:Neo4j, 威胁情报, 安全态势感知, 开发者工具, 搜索引擎查询, 攻防溯源, 测试用例, 逆向工具