ddornala/threat-convergence-intelligence

# 🔍 威胁融合情报 (TCI) 一种新型 AI 系统，**将金融交易异常检测与云 RBAC 权限滥用信号相结合**，揭示单一系统无法发现的跨域威胁。 ## 🧠 核心理念 复杂的金融犯罪分子不仅转移资金——他们还会入侵基础设施以压制审计踪迹、窃取合规记录或操纵检测系统。一个恶意服务账户在凌晨 2 点提升至 `cluster-admin` 权限，*并且*在同一时间窗口内出现爆发式的结构性交易——单独看这两个事件都不会触发可疑活动报告 (SAR)。但结合在一起，它们揭示了不同的真相。 **TCI 实时关联这两种信号。** ## 🏗️ 架构 ``` ┌─────────────────────────────────────────────────────────────────┐ │ INGEST LAYER │ │ Kafka: Transaction Events │ OpenShift Audit Logs │ IAM │ └──────────────┬──────────────┴──────────────┬──────────┴────┬───┘ │ │ │ ┌──────────────▼──────────────┐ ┌───────────▼───────────┐ │ │ AML DETECTION (GNN) │ │ RBAC DRIFT DETECTOR │ │ │ GraphSAGE · PyTorch Geom. │ │ Isolation Forest │ │ │ Scores transaction graphs │ │ Scores perm. drift │ │ └──────────────┬──────────────┘ └───────────┬───────────┘ │ │ │ │ ┌──────────────▼─────────────────────────────▼───────────────▼───┐ │ TEMPORAL CORRELATION ENGINE │ │ Entity resolution · Time-window fusion · Risk score blend │ └──────────────────────────────┬──────────────────────────────────┘ │ ┌──────────────────────────────▼──────────────────────────────────┐ │ ENRICHMENT LAYER │ │ RAG: FATF/FinCEN typologies · Graph DB entity resolution │ └──────────────────────────────┬──────────────────────────────────┘ │ ┌──────────────────────────────▼──────────────────────────────────┐ │ ANALYST ALERT + SAR ASSIST │ │ Human-in-the-loop · Explainability · Audit trail │ └─────────────────────────────────────────────────────────────────┘ ``` ## 📁 仓库结构 ``` threat-convergence-intelligence/ ├── src/ │ ├── aml/ # AML Graph Neural Network │ │ ├── graph_builder.py # Transaction graph construction │ │ ├── gnn_model.py # GraphSAGE model definition │ │ └── aml_scorer.py # Inference + risk scoring │ ├── rbac/ # RBAC Drift Detection │ │ ├── audit_parser.py # OpenShift audit log parser │ │ ├── drift_detector.py # Isolation Forest detector │ │ └── rbac_scorer.py # Privilege abuse scoring │ ├── fusion/ # Threat Convergence Engine │ │ ├── correlator.py # Temporal correlation logic │ │ ├── entity_resolver.py # Cross-domain entity matching │ │ └── alert_generator.py # Fused alert + SAR draft │ └── common/ │ ├── config.py # Centralized config │ └── models.py # Shared data models (Pydantic) ├── deploy/ │ └── bicep/ # Azure IaC │ ├── main.bicep │ ├── eventhub.bicep │ └── functions.bicep ├── tests/ │ ├── test_aml.py │ ├── test_rbac.py │ └── test_fusion.py ├── docs/ │ └── architecture.md ├── requirements.txt └── README.md ``` ## 🚀 快速开始 ``` # 克隆 git clone https://github.com/ddornala/threat-convergence-intelligence cd threat-convergence-intelligence # 安装依赖 pip install -r requirements.txt # 配置 cp .env.example .env # 使用 Azure connection strings 编辑 .env # 运行 correlation engine python -m src.fusion.correlator --demo ``` ## ⚙️ Azure 部署 ``` # 部署基础设施 az deployment group create \ --resource-group rg-tci-prod \ --template-file deploy/bicep/main.bicep \ --parameters @deploy/bicep/parameters.json ``` ## 📖 参考与灵感 本项目基于以下文章中发表的先前工作构建： | # | 文章 | 作者 | |---|---------|--------| | 1 | [OpenShift/Kubernetes 角色滥用检测](https://www.linkedin.com/pulse/openshiftkubernetes-role-misuse-detection-rodriguez-abreu-ofwne/) | Rodriguez Abreu | | 2 | [基于图神经网络的 AI 驱动 AML (第一部分)](https://www.linkedin.com/pulse/ai-driven-anti-money-laundering-aml-graph-neural-part-reake/) | Reake | | 3 | [基于图神经网络的 AI 驱动 AML (第二部分)](https://www.linkedin.com/pulse/ai-driven-anti-money-laundering-aml-graph-neural-rodriguez-abreu-wqwqe/) | Rodriguez Abreu | | 4 | [OpenShift Operators: 漂移与错误配置检测](https://www.linkedin.com/pulse/openshift-operators-drift-misconfiguration-detection-rodriguez-abreu-mekye/) | Rodriguez Abreu | | 5 | [Microsoft CAF AI Agent 决策树](https://learn.microsoft.com/en-us/azure/cloud-adoption-framework/) | Microsoft | ## 🤝 贡献 欢迎提交 PR。请先开一个 issue 讨论您想要更改的内容。 ## 📄 许可证 MIT © 2026 [ddornala](https://github.com/ddornala)

标签：Apache Kafka, Azure云平台, Chrome Headless, CSV导出, DNS 反向解析, GraphSAGE, Isolation Forest, Kubernetes安全, OpenShift, Python, PyTorch Geometric, RBAC特权滥用, 交易风控, 反洗钱, 图神经网络, 威胁情报融合, 子域名突变, 孤立森林, 异常检测, 无后门, 服务账户安全, 权限提升检测, 深度学习, 混合AI模型, 跨域威胁检测, 逆向工具, 金融欺诈识别