samirbhavsar11-cyber/-Threat_IQ-tip
GitHub: samirbhavsar11-cyber/-Threat_IQ-tip
面向金融银行业的轻量级威胁情报平台,整合多源 OSINT 采集、IOC 风险评分与自动化防火墙封禁能力。
Stars: 0 | Forks: 0
# 🔴 ThreatIQ — 高级威胁情报平台
金融与银行网络安全 — OSINT 聚合器 + 动态策略执行器 + SIEM 仪表盘
## 功能特性
| 模块 | 描述 |
|--------|-------------|
| 📡 **OSINT 聚合器** | 从 Feodo、URLhaus、EmergingThreats、AlienVault OTX、AbuseIPDB 获取数据 |
| 🎯 **IOC 数据库** | MongoDB — 标准化、去重、风险评分指标 |
| 🔥 **策略执行器** | 通过 iptables (Linux) / Windows Firewall 自动拦截高风险 IP |
| ↩️ **回滚** | SOC 分析师可以撤销任何规则 + 标记误报 |
| 📊 **SIEM 仪表盘** | 实时威胁态势、Feed 状态、防火墙日志 |
| 📋 **实时事件** | SSE 实时事件流 |
## 快速开始
### 环境要求
- Python 3.8+
- 本地运行 MongoDB (`mongodb://localhost:27017`)
### 安装 MongoDB (如果尚未安装)
```
# Ubuntu/Debian
sudo apt install mongodb
sudo systemctl start mongodb
# Windows — 从 https://www.mongodb.com/try/download/community 下载
```
### 运行 ThreatIQ
```
pip install -r requirements.txt
cp .env.example .env
python app.py
# 打开 http://localhost:5001
```
## API 密钥 (可选但推荐)
编辑 `.env` 添加:
| 密钥 | 来源 | 免费额度 |
|-----|--------|-----------|
| `VIRUSTOTAL_API_KEY` | https://virustotal.com | 500 次/天 |
| `ALIENVAULT_API_KEY` | https://otx.alienvault.com | 免费 |
| `ABUSEIPDB_API_KEY` | https://www.abuseipdb.com | 1000 次/天 |
**其中 3 个 Feed (Feodo, URLhaus, EmergingThreats) 无需任何 API 密钥即可工作。**
## 项目结构
```
threatiq/
├── app.py # Flask backend + all API routes
├── modules/
│ ├── aggregator.py # OSINT feed collection + MongoDB upsert
│ └── enforcer.py # Firewall rule engine + rollback
├── templates/
│ └── index.html # SIEM Dashboard UI
├── logs/
│ └── enforcer.log # Firewall action audit log
├── requirements.txt
├── .env.example
└── start.sh
```
## 防火墙执行
### 模拟模式 (默认 — 安全)
规则仅记录到 MongoDB,但不会应用于系统防火墙。
适用于测试和开发环境。
### 实战模式
在 UI 中取消勾选 "Simulate Mode"。
**Linux:** 使用 `iptables` — 需要 `sudo`
```
sudo python3 app.py
```
**Windows:** 通过 PowerShell 使用 `New-NetFirewallRule` — 需要管理员权限
## API 端点
| 端点 | 描述 |
|----------|-------------|
| `GET /api/dashboard` | 完整 SIEM 统计 |
| `GET /api/indicators` | 分页 IOC 列表 |
| `POST /api/indicators/add` | 手动添加 IOC |
| `POST /api/feeds/run` | 触发 OSINT 聚合 |
| `POST /api/enforcer/run` | 自动执行所有高风险 IP 拦截 |
| `POST /api/enforcer/block` | 拦截单个 IP |
| `POST /api/enforcer/unblock` | 解除拦截 / 回滚 IP |
| `POST /api/enforcer/false-positive` | 标记为误报 |
| `GET /api/enforcer/log` | 防火墙审计日志 |
| `GET /api/events/stream` | SSE 实时事件流 |
| `GET /api/search?q=` | IOC 搜索 |
## 逐周进度 (依据项目规范)
- ✅ **第 1 周** — OSINT 采集 (5 个 Feed), MongoDB 去重 + 索引
- ✅ **第 2 周** — 风险评分模型、标准化 IOC 类型、Feed 状态日志
- ✅ **第 3 周** — 动态策略执行器守护进程 (iptables + Windows)
- ✅ **第 4 周** — 回滚机制、误报标记、SIEM 仪表盘
## 许可证
MIT
标签:AbuseIPDB, Ask搜索, ESC4, Feodo, Flask, IOC管理, IP 地址批量处理, IP封禁, Lerna, Linux Iptables, MongoDB, OSINT, PB级数据处理, Python, SOC工具, SSE实时流, TI平台, URLhaus, VirusTotal, Windows防火墙, 后端开发, 威胁情报, 威胁指标, 安全仪表盘, 安全运维, 密码管理, 开发者工具, 无后门, 漏洞发现, 策略执行, 网络威胁情报, 网络安全, 网络攻击防御, 自动化防御, 规则回滚, 误报管理, 逆向工具, 金融安全, 银行安全, 防火墙管理, 隐私保护