damashiai/ThreatScope

# ThreatScope 🛡️ **ThreatScope** 是一个自动化、高保真威胁情报平台（TIP）原型，旨在实时聚合、评分和可视化全球网络威胁。通过协调来自多个开源情报（OSINT）数据源的威胁数据，ThreatScope 为安全分析师提供了一个统一的仪表板，用于监控恶意软件、僵尸网络和钓鱼活动。 ## 🚀 功能 * **多源聚合：** 从 URLhaus、FeodoTracker、OpenPhish、ThreatFox 和 MalwareBazaar 实时获取妥协指标（IOC）。 * **启发式评分引擎：** 根据指标模式（TLD、文件扩展名和 IP 签名）自动计算威胁评分（0-100）。 * **自动化丰富：** 执行实时 IP 地理定位和 ISP 识别，以追踪威胁行为者的物理基础设施。 * **高级可视化：** * **全球热力图：** 交互式等值区域地图，显示恶意活动的地理集中度。 * **样条遥测：** 专业曲线面积图，用于追踪 60 天滚动窗口内的检测量。 * **基础设施追踪：** 识别被滥用最多的前 5 个托管服务商和 ISP。 * **模块化架构：** 分离后端工作线程（数据摄取）和前端（Streamlit），确保高稳定性和性能。 ## 🛠️ 技术栈 * **语言：** Python 3.9+ * **前端：** Streamlit（自定义 CSS 实现专业/品牌 UI） * **可视化：** Plotly Express（样条插值、Mapbox） * **数据库：** SQLite3（本地持久化存储） * **数据处理：** Pandas（高级 CSV/JSON 归一化和异常值移除） ## 📂 项目结构 ``` ThreatScope/ ├── dashboard.py - Streamlit UI & Data Visualization ├── worker.py - Background data ingestion & enrichment engine ├── database.py - SQLite abstraction layer ├── intelligence.py - Scoring heuristics & geolocation logic ├── threats.db - Local SQLite database (Generated at runtime) └── requirements.txt - Python dependencies ``` ## ⚙️ 安装与设置 1. 克隆仓库： ``` git clone https://github.com/damashiai/ThreatScope.git cd ThreatScope ``` 2. 安装依赖： ``` pip install -r requirements.txt ``` 3. 初始化数据工作线程： 工作线程在无限循环中运行，每 30 分钟获取一次新数据。 ``` python worker.py ``` 4. 启动仪表板： 打开新终端并运行 Streamlit 前端。 ``` streamlit run dashboard.py ``` ## 🔍 情报来源 - URLhaus：恶意软件分发 URL（CSV 导出） - FeodoTracker：僵尸网络 C2 基础设施（CSV 导出） - OpenPhish：活跃钓鱼网站（文本订阅） - ThreatFox：多类型 IOC（IP、域名）（CSV 导出） - MalwareBazaar：恶意文件哈希（SHA256）（CSV 导出） ## 🛠️ 部署说明 * Streamlit Community Cloud：最适合演示。需要 requirements.txt。 * 异常值处理：仪表板会自动将时间线过滤到相对于最新条目的 60 天窗口，以防止过期数据导致 x 轴变形。 * 持久化存储：如果部署到容器化服务（如 Railway），请确保为 threats.db 挂载卷，以防止重启时数据丢失。

标签：DAST, GitHub, IOC, IP情报, Kubernetes, masscan, Mutation, nuclei, OSINT开源情报, Plotly可视化, Python安全工具, SQLite数据库, Streamlit数据看板, TIP, 僵尸网络, 内核监控, 可视化, 后端worker架构, 地理定位, 威胁情报平台, 威胁情报聚合, 威胁评分, 安全仪表盘, 安全运营中心, 密码管理, 恶意URL, 恶意基础设施追踪, 恶意软件分析, 恶意软件追踪, 情报聚合, 数据摄取, 热力图, 网络安全, 网络映射, 网络调试, 自动化, 逆向工具, 隐私保护