Jayff777/Open-Intel-Engine
GitHub: Jayff777/Open-Intel-Engine
一个模块化威胁情报引擎,通过自动查询多个免费和付费威胁源来丰富IOC数据并进行风险评分,生成可在交互式仪表板中查看的SOC就绪情报报告。
Stars: 0 | Forks: 0
# 🛡️ OpenIntel 引擎
**模块化网络威胁情报管道 — SOC级IOC分析**
[](https://streamlit.io)
[](https://python.org)
[](LICENSE)
## 📌 概述
OpenIntel 引擎将原始IOC(IP地址、域名、URL、文件哈希)转换为**可操作的、SOC就绪的情报**,通过自动查询多个威胁情报来源、丰富数据、运行AI驱动的CTI分析,并在交互式分析师仪表板中呈现结果。
## 🧠 情报来源
### ✅ 免费使用 — 无需API密钥
| 来源 | 覆盖范围 |
|---|---|
| **IPinfo** | Geo、组织、ASN、主机名 |
| **BGPView** | ASN详情、路由前缀 |
| **HackerTarget** | 反向DNS、DNS查询、主机搜索 |
| **URLhaus** (abuse.ch) | 恶意软件URL、托管位置、有效载荷 |
| **MalwareBazaar** (abuse.ch) | 文件哈希恶意软件查询 |
| **ThreatFox** (abuse.ch) | 威胁IOC源 |
| **Cloudflare DNS** | A、MX、NS、TXT、CNAME记录 |
| **RDAP WHOIS** | 域名注册数据 |
| **crt.sh** | 证书透明度日志 |
### 🔐 可选 — 可用免费API密钥
| 来源 | 覆盖范围 | 免费套餐 |
|---|---|---|
| **Claude AI** (Anthropic) | AI驱动的CTI分析 | console.anthropic.com |
| **VirusTotal** | 70+引擎多扫描 | virustotal.com |
| **AbuseIPDB** | IP滥用报告 | abuseipdb.com |
| **GreyNoise** | 互联网噪音分类 | greynoise.io |
| **AlienVault OTX** | 社区威胁脉冲 | otx.alienvault.com |
| **URLScan.io** | URL/站点扫描 | urlscan.io |
| **SecurityTrails** | 历史DNS | securitytrails.com |
## 🔄 工作流程
```
IOC Input
↓
Type Detection (IPv4/IPv6/Domain/URL/MD5/SHA1/SHA256)
↓
Parallel Enrichment (9 free + 6 optional sources)
↓
Rule-Based Scoring (signal weighting engine)
↓
Claude AI CTI Analysis (with fallback to rule-based)
↓
SOC Dashboard
├── Risk Score (0–100)
├── Intelligence Report
├── Source Evidence Table
├── Infrastructure View (Geo, ASN, DNS, WHOIS)
├── Activity Timeline
├── Raw Source Data
└── Export (JSON + Text report)
```
## ⚙️ 信号权重
| 优先级 | 来源 |
|---|---|
| **高** | MalwareBazaar、ThreatFox、URLhaus列表、VirusTotal 10+检测 |
| **中** | AbuseIPDB 50%+置信度、GreyNoise恶意、OTX 5+脉冲 |
| **低** | 域名年龄(RDAP)、geo/ASN数据、DNS记录 |
## 🚀 入门
### 本地安装
```
# 克隆仓库
git clone https://github.com/YOUR_USERNAME/openintel-engine.git
cd openintel-engine
# 安装依赖项
pip install -r requirements.txt
# 运行
streamlit run app.py
```
在浏览器中打开 **http://localhost:8501**
### 部署到Streamlit Cloud(免费托管)
1. 将此仓库推送到GitHub
2. 访问 [share.streamlit.io](https://share.streamlit.io)
3. 点击 **新应用** → 选择您的仓库 → `app.py`
4. 将API密钥添加为 **Secrets**(可选):
# .streamlit/secrets.toml(请勿提交此文件)
ANTHROPIC_KEY = "sk-ant-..."
VT_KEY = "..."
5. 部署 — 您的应用在 `https://YOUR_APP.streamlit.app` 上线
## 📊 仪表板标签页
| 标签页 | 内容 |
|---|---|
| **情报报告** | 执行摘要、主要发现、MITRE ATT&CK、建议 |
| **来源证据** | 加权证据表、来源判定卡片 |
| **基础设施** | Geo、ASN、DNS记录、WHOIS、证书透明度 |
| **时间线** | 所有来源的活动历史 |
| **原始数据** | 每个来源的完整JSON响应 |
| **导出** | 下载JSON + 纯文本SOC报告 |
## 🧬 支持的IOC类型
| 类型 | 示例 |
|---|---|
| IPv4 | `185.220.101.47` |
| IPv6 | `2a02:7aa0::1` |
| 域名 | `malicious-domain.ru` |
| URL | `http://evil.ru/payload/install.exe` |
| MD5 | `d41d8cd98f00b204e9800998ecf8427e` |
| SHA1 | `da39a3ee5e6b4b0d3255bfef95601890afd80709` |
| SHA256 | `e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855` |
## 🔮 未来增强功能
- [ ] MITRE ATT&CK完整TTP映射
- [ ] SIEM集成(Microsoft Sentinel、Splunk)
- [ ] 实时威胁源摄取
- [ ] 批量IOC分析(CSV上传)
- [ ] MISP集成
- [ ] 自动化告警管道
- [ ] 历史IOC跟踪数据库
## 📁 项目结构
```
openintel-engine/
├── app.py # Main Streamlit application
├── requirements.txt
├── README.md
├── .streamlit/
│ └── config.toml # Dark theme config
├── core/
│ ├── __init__.py
│ ├── ioc_detector.py # IOC type detection
│ ├── enricher.py # Multi-source data collection
│ ├── scorer.py # Rule-based risk scoring
│ └── analyzer.py # Claude AI CTI analysis
└── ui/
├── __init__.py
├── dashboard.py # SOC dashboard renderer
├── sidebar.py # API key sidebar
└── style.css # Dark terminal aesthetic
```
## 🔐 安全与隐私
- API密钥**永不存储** — 仅在每个会话时输入
- 引擎不会记录或持久化任何IOC数据
- 所有源API直接从您的浏览器/服务器查询
## 📄 许可证
MIT许可证 — 免费使用、修改和部署。
标签:AI安全分析, AMSI绕过, APT分析, IOC分析, Kubernetes, masscan, Python安全工具, SOC运营, Streamlit, XSS, 交互式仪表板, 关联分析, 域名情报, 多源情报, 威胁情报, 威胁情报平台, 威胁检测, 威胁评分, 安全运营中心, 开发者工具, 恶意IP分析, 恶意URL分析, 恶意软件情报, 情报丰富, 攻击指标, 文件哈希分析, 漏洞情报, 网络安全, 网络映射, 自动化分析, 访问控制, 跨站脚本, 逆向工具, 隐私保护