aiagentmackenzie-lang/threat-intelligence-platform
GitHub: aiagentmackenzie-lang/threat-intelligence-platform
一个基于Node.js的现代化威胁情报聚合与分析平台,实现从多源数据采集、IOC提取、关联丰富到AI辅助分析的全流程自动化。
Stars: 0 | Forks: 0
# 威胁情报平台
一个现代化、以安全为核心的威胁情报聚合与分析平台,可从多个来源收集、标准化、丰富、关联并分析威胁数据。
## 概述
本平台从多个外部和内部来源摄取威胁数据,提取威胁指标,利用上下文情报对其进行丰富,跨数据源和遥测数据关联观测结果,并为分析师和下游安全系统生成结构化输出。
## 架构
```
Threat Feeds / APIs / RSS / Internal Logs
│
▼
Ingestion Layer
│
▼
Validation + Normalization Layer
│
▼
IOC Extraction Layer
│
▼
Correlation Pre-Stage
│
▼
Enrichment Engine
│
▼
AI Analysis Layer
│
▼
Reporting / Export Layer
```
## 快速开始
### 前置条件
- Node.js >= 20
- Docker & Docker Compose(可选,用于容器化部署)
### 安装
```
# 安装依赖
npm install
# 复制环境模板
cp .env.example .env
# 使用你的 API 密钥编辑 .env(基本测试可选)
```
### 使用
```
# 运行 CLI
npm start
# 开发模式(带 watch)
npm run dev
# 运行测试
npm test
# Lint 代码
npm run lint
```
### Docker
```
# 使用 Docker Compose 构建并运行
docker compose build
docker compose run --rm threat-intel-cli
```
## 配置
Feed 配置在 `config/feeds.json` 中进行管理。默认情况下,所有 Feed 均处于禁用状态。
要启用 Feed:
1. 在 `config/feeds.json` 中设置 `"enabled": true`
2. 将所需的 API key 添加到您的 `.env` 文件中
## 环境变量
| 变量 | 描述 | 是否必填 |
|----------|-------------|----------|
| `NODE_ENV` | 环境模式(production/development) | 否 |
| `LOG_LEVEL` | 日志级别(debug, info, warn, error) | 否 |
| `ABUSEIPDB_API_KEY` | AbuseIPDB API key | 对于 AbuseIPDB Feed 必填 |
| `VT_API_KEY` | VirusTotal API key | 对于 VT 丰富处理必填 |
| `MISP_API_KEY` | MISP API key | 对于 MISP 集成必填 |
| `MISP_URL` | MISP 实例 URL | 对于 MISP 集成必填 |
| `OPENAI_API_KEY` | OpenAI API key | 对于 AI 分析必填 |
## 安全
- API key 绝不会被记录到日志中(由 Pino 进行脱敏处理)
- 容器以非 root 用户身份运行
- 不向版本控制提交任何 secrets
- 所有外部输入在处理前均经过验证
## 项目结构
```
threat-intel/
├── src/
│ ├── ingestion/ # Feed fetching
│ ├── processing/ # Normalization, extraction, correlation
│ ├── enrichment/ # External intelligence lookups
│ ├── ai/ # LLM analysis
│ ├── utils/ # Logger, reporter
│ ├── cli/ # Command-line interface
│ └── config/ # Configuration loader
├── config/
│ └── feeds.json # Feed definitions
├── tests/ # Test suite
├── Dockerfile
├── docker-compose.yml
└── package.json
```
## 许可证
MIT
标签:AI安全分析, API集成, CLI, Docker, Docker Compose, GNU通用公共许可证, IOC提取, masscan, meg, MITM代理, Node.js, nuclei, SecOps, TIP, WiFi技术, 云安全架构, 信息安全, 可观测性, 失陷标示, 威胁情报, 威胁情报平台, 安全运营, 安全防御评估, 实时处理, 开发者工具, 情报关联, 情报分析, 情报聚合, 扫描框架, 数据富化, 数据规范化, 网络威胁情报, 网络安全, 网络诊断, 自定义脚本, 请求拦截, 隐私保护