⚔️ KATANA v8.0 威胁情报平台

面向 Sophos Firewall 的高级 SOC 分析与主动防御

# ⚔️ KATANA v8.0 — 概述 KATANA 是一个**商业级威胁情报与主动防御平台**，专为 **SOC 分析师、事件响应人员和网络安全架构师**设计。 该工具解析原始 **Sophos Firewall 日志**，提取攻击者情报，通过原生 Qt 图形可视化攻击向量，生成 PDF 执行报告，并可以通过 **Sophos Firewall XML API 直接分组并阻断攻击者，从而主动缓解威胁**。 KATANA 弥合了以下领域之间的差距： * 🔎 **取证日志分析**（子网聚类、用户暴力破解检测） * 📊 **威胁情报可视化**（时间序列分析、3D 威胁地球仪） * 📄 **执行报告**（自动生成 UTF-8 PDF） * 🛡️ **自动化主动防御**（直接注入 Sophos API） # 🚀 v8.0 平台升级 整个核心代码已重写，以支持企业级工作负载，避免 UI 冻结或内存瓶颈。 * **GUI 全面革新 (PyQt6)：** 过渡到稳健的 PyQt6 架构，具有动态浅色/深色 macOS 风格主题和极速渲染能力。 * **本地数据库 (SQLite3)：** 持久化本地存储 (`~/.katana_v8.db`)，用于 IP 白名单、历史分析追踪以及 30 天地理定位缓存，以绕过 API 速率限制。 * **原生渲染 (PyQtGraph)：** 已用 `pyqtgraph` 替换 Matplotlib，实现硬件加速的交互式图表（甜甜圈图、条形图、时间序列图）。 * **多线程数据管道：** 安全的 `QThread` 和 `ThreadPoolExecutor` 架构确保在批量处理数千个 IOC 时，UI 保持完全响应。 # 🖥️ 应用程序界面 ### 执行仪表盘  ### 攻击模式与子网聚类  ### 3D 全球威胁地球仪  ### AEGIS 实时缓解控制台  # 🔍 取证与情报功能 * **通用解析器：** 通过 Regex 提取攻击者 IP、目标端口和用户名，优雅地处理不同的 Sophos CSV 导出格式。 * **模式识别：** 自动将攻击者聚类到 `/24` 子网中，以识别协同僵尸网络活动。 * **时间分析：** 每小时、每日和每周的攻击量时间轴。 * **地理空间映射：** 使用 `Plotly` 生成 2D 等值线图和交互式 3D 地球仪。 * **导出引擎：** 一键生成执行 PDF 报告（`reportlab`）、Excel 电子表格、用于 SIEM 摄取的 JSON payload 以及原始 IOC 文本文件。 # 🛡️ AEGIS 主动防御引擎 AEGIS 在实时阻断对手的同时，维持严格的防火墙卫生。 ### 智能分组技术 AEGIS 不会用分散的 IP 对象污染防火墙，而是自动创建并更新一个名为 **`KATANA_BLACKLIST`** 的 `IPHostGroup`。管理员只需为该组配置一条丢弃规则即可。 ### 能力 * 直接集成 Sophos Firewall XML/REST API。 * 自动创建 IP 主机并进行组整合。 * "Dry Run"（演练）模式，用于安全模拟。 * 阈值定位（Top 10、Top 50、Top 100 或所有 IP）。 # 📦 安装 克隆仓库： ``` git clone [https://github.com/mario1603b/KATANA.git](https://github.com/mario1603b/KATANA.git) cd KATANA ``` 安装依赖： Bash ``` pip install -r requirements.txt ``` # ⚙️ Sophos Firewall 配置 为允许 KATANA 的 AEGIS 引擎与防火墙交互： 1. 登录 **Sophos WebAdmin**。 2. 导航至：`Administration → Device Access`。 3. 启用 **API Configuration**。 4. 将 **运行 KATANA 的机器的 IP 地址**添加到允许列表中。 5. 在列表顶部创建一条防火墙规则，丢弃来自源网络 `KATANA_BLACKLIST` 的流量。 # 🧱 构建便携式可执行文件 您可以使用 PyInstaller 将 KATANA 编译为**独立的 Windows 便携式可执行文件**。 Bash ``` pyinstaller --noconfirm --onefile --windowed --name "KATANA_v8.0_Platform" main.py ``` _注意：大型数据科学库（Pandas、Plotly、PyQt6）已打包在 `.exe` 内部。首次启动可能需要 5-10 秒，因为 Windows 需要将 payload 解压到内存中._ # 🛠️ 技术栈 |**组件**|**技术**| |---|---| |**语言**|Python 3.10+| |**GUI 框架**|PyQt6| |**数据处理**|Pandas / NumPy| |**原生图表**|PyQtGraph| |**Web 映射**|Plotly| |**报告生成**|ReportLab| |**数据库 (缓存/状态)**|SQLite3| |**并发**|QThread / ThreadPoolExecutor| # ⚠️ 免责声明 **AEGIS 引擎会直接修改防火墙配置**。请负责任地使用。 作者**不对因自动缓解导致的网络中断、防火墙配置错误或意外阻断负责**。在生产环境使用前，请务必在**受控环境**中进行测试。 # 📜 许可证 MIT License # 👨‍💻 作者 由 **mario1603b** 发起的网络安全研究项目。 专注领域：威胁情报 | 防御性安全 | 安全自动化

标签：API 集成, HTTP/HTTPS抓包, IP 地址批量处理, IP 封禁, masscan, PE 加载器, PyQt6, PyQtGraph, Python, SOC 分析工具, Sophos 防火墙, SQLite3, Windows 平台, 免杀技术, 威胁情报平台, 态势感知, 无后门, 日志取证分析, 日志解析, 暴力破解检测, 终端安全, 网络安全, 自动化响应, 证书伪造, 逆向工具, 隐私保护