iamnishantkushwaha/Threat-Intelligence-System

# 威胁情报系统 威胁情报系统是一个全栈监控工作区，采用 FastAPI 后端进行检测和丰富，以及 React + Tailwind 前端用于分析师工作流。 ## 架构 ``` logs -> detection -> AI -> AbuseIPDB enrichment -> final alerts -> frontend ``` - `backend/app/routes` 暴露 `/logs`、`/alerts`、`/analyze` 和 `/summary` 接口 - `backend/app/services` 包含检测、AI、摘要和 AbuseIPDB 丰富逻辑 - `backend/app/models` 定义 API 响应模型 - `frontend/src/pages` 包含 Dashboard、Alerts、Logs、Analytics 和 Settings 视图 ## 设置 ### 后端 ``` cd backend python -m venv venv venv\Scripts\activate pip install -r requirements.txt copy .env.example .env uvicorn app.main:app --reload ``` ### 前端 ``` cd frontend npm install npm run dev ``` ## 环境变量 在 `backend/.env` 中设置以下变量： ``` ABUSEIPDB_API_KEY=your_key_here ABUSEIPDB_BASE_URL=https://api.abuseipdb.com/api/v2 ``` 现有的后端设置（如 `BRUTE_FORCE_THRESHOLD`、`KNOWN_IPS` 和 `THREAT_INTEL_TIMEOUT_SECONDS`）仍然适用。 ## AbuseIPDB 集成流程 1. 后端读取日志并生成基于规则的可疑警报。 2. 仅从这些警报中选择唯一的公网 IP 进行丰富。 3. 私有、回环、本地、保留和内部地址将被跳过。 4. 异步调用 AbuseIPDB `/check` 接口，并使用运行时缓存以避免重复查询。 5. 对超时、速率限制、无效响应和缺失 API 密钥等故障进行优雅处理。 6. 最终警报在可用时包含丰富字段： `abuse_confidence_score`、`country`、`isp`、`usage_type`、`domain`、`total_reports`、`last_reported_at` 和 `is_malicious`。 ## API 说明 - `/alerts` 在 AbuseIPDB 数据可用时返回已丰富的警报。 - `/analyze` 返回 `alerts`、`prediction`、`ai_prediction` 和 `summary`。 - 如果 AbuseIPDB 不可用或未配置，API 仍会返回基础警报。 ## 更新日志 ``` [2026-04-09] - Added async AbuseIPDB alert enrichment with public-IP validation and in-memory caching - Extended alert payloads with timestamp, AI risk score, and reputation metadata - Updated the Alerts page to display Abuse Score, Country, ISP, Total Reports, and Malicious badges - Added a Top Malicious IPs widget to the dashboard ```

标签：AbuseIPDB, AMSI绕过, API 集成, AV绕过, FastAPI, IP 信誉查询, Python 后端, React, Syscalls, Tailwind CSS, Web 应用, 前端工程, 告警管理, 威胁情报, 威胁检测, 安全仪表盘, 安全运营, 开发者工具, 异步处理, 恶意 IP, 扫描框架, 网络安全, 自定义脚本, 逆向工具, 隐私保护