HrishiK1107/Aletheia
GitHub: HrishiK1107/Aletheia
Aletheia 是一个基于图的威胁情报研究系统,通过确定性基础设施关联和可解释证据建模,将碎片化的 IOC 转化为结构化的对手活动。
Stars: 0 | Forks: 0
# Aletheia
### 对手活动关联与归因引擎
## 概述
**Aletheia** 是一个基于图的威胁情报系统,旨在利用确定性的基础设施关联和可解释的证据建模,将原始的入侵指标 (IOC) 转化为结构化的对手活动。
该系统摄取碎片化的威胁指标,利用基础设施情报对其进行扩充,构建图表示,并通过连接性和证据驱动的评分来识别对手活动。
## 问题陈述
现代威胁情报高度碎片化。诸如域名、IP 和 URL 之类的指标通常是孤立分析的,这使得以下工作变得困难:
* 识别协调一致的对手活动
* 了解基础设施重用情况
* 执行可靠的归因
* 生成可操作的情报
## 解决方案
Aletheia 通过以下方式解决此问题:
* 将威胁基础设施建模为图
* 基于共享的基础设施关联各项指标
* 将相关指标聚类为活动
* 生成可解释的证据信号
* 生成确定性的活动置信度得分
## 核心功能
* 从多个威胁情报来源摄取 IOC
* 指标规范化与结构化处理
* 基础设施扩充 (DNS, ASN, WHOIS)
* 使用 Neo4j 进行基于图的建模
* 通过基础设施连接性进行活动聚类
* 可解释的活动证据评分
* 归因信号生成
* 基于时间线的活动追踪
* 基于 API 的调查工作流
## 系统 Pipeline
```
Ingestion → Enrichment → Graph → Clustering → Evidence → Campaigns → API
```
## 示例输出
```
{
"campaign_id": "cmp_17",
"indicators": 23,
"evidence": {
"shared_asn": true,
"shared_nameserver": true,
"shared_hosting": true,
"temporal_overlap": false
},
"confidence_score": 0.82
}
```
## 架构摘要
Aletheia 遵循模块化的 pipeline 架构:
* **摄取层** – 从外部数据源收集 IOC
* **处理层** – 规范化和结构化指标
* **扩充引擎** – 添加基础设施情报
* **图引擎** – 在 Neo4j 中构建关系
* **关联引擎** – 检测集群
* **活动引擎** – 创建活动
* **证据引擎** – 计算可解释的信号
* **API 层** – 对外提供情报
## Aletheia 的重要意义
Aletheia 将威胁情报从:
```
isolated indicators → structured adversary campaigns
```
转变为:
这使得以下功能成为可能:
* 更好的威胁可见性
* 改进的归因推理
* 可扩展的情报分析
* 对分析师友好的调查工作流
## 研究定位
Aletheia 被设计为一个专注于以下方面的研究系统:
* 基于图的基础设施关联
* 确定性的活动聚类
* 可解释的证据建模
* 归因信号生成
## 技术栈
* **后端**:Python (FastAPI)
* **数据库**:PostgreSQL
* **图数据库**:Neo4j
* **队列系统**:Redis
* **Workers**:异步处理 pipeline
## 项目状态
```
Status: Research-Complete (Core System Functional)
```
## 未来改进
* 高级聚类策略
* 时序活动演进建模
* 基础设施指纹识别
* ML 辅助归因(可选扩展)
## 许可证
本项目旨在用于研究和教育目的。
## 作者
作为专注于研究的威胁情报系统的一部分开发。
标签:Neo4j, 威胁情报, 安全态势感知, 开发者工具, 搜索引擎查询, 攻防溯源, 测试用例, 逆向工具