zelalemtsegaye2003-droid/threat-intel-platform

# 威胁情报平台 一款现代的、开源的威胁情报平台，灵感来源于 MISP，实现了 STIX 2.1 和 TAXII 2.x 标准并带有 AI 驱动的分析功能。 ## 功能特性 - **STIX 2.1 & TAXII 2.x**：完全符合行业标准 - **多数据库架构**：PostgreSQL (结构化数据)，Neo4j (图数据)，Qdrant (向量数据) - **AI 驱动的分析**：通过 Ollama 使用本地 LLM 生成威胁报告并提取 IOC - **MITRE ATT&CK 映射**：自动将威胁映射到 ATT&CK 框架 - **实时富化**：集成 VirusTotal、Shodan、AlienVault OTX - **图可视化**：使用 Cytoscape.js 进行交互式关系映射 - **现代前端**：React + TypeScript + Tailwind CSS ## 快速开始 ``` # 克隆/进入项目 cd /home/zelalem/projects/threat-intel-platform # 复制环境文件（可选 - 使用默认值即可） cp .env.example .env # 启动所有服务 ./start.sh # 访问平台 # Frontend: http://localhost:3000 # API Docs: http://localhost:8000/docs ``` ## 系统架构 ``` ┌─────────────────────────────────────────────────────────┐ │ Frontend (React) │ │ React + TypeScript + Tailwind │ └───────────────────────┬─────────────────────────────────┘ │ ┌───────────────────────▼─────────────────────────────────┐ │ Backend API (FastAPI) │ │ STIX/TAXII + LLM + Enrichment │ └─────┬──────────┬──────────┬──────────┬─────────────────┘ │ │ │ │ ┌─────▼──┐ ┌────▼───┐ ┌───▼────┐ ┌──▼─────┐ │Postgres│ │ Neo4j │ │ Qdrant │ │ Redis │ │ (SQL) │ │(Graph) │ │(Vector)│ │(Cache) │ └────────┘ └────────┘ └────────┘ └────────┘ │ │ │ │ └──────────┴──────────┴──────────┘ │ ┌───────▼────────┐ │ RabbitMQ │ │ (Celery Tasks) │ └───────┬────────┘ │ ┌───────▼────────┐ │ Ollama (LLM) │ │ Llama 3.2/Phi-4│ └────────────────┘ ``` ## 项目结构 ``` threat-intel-platform/ ├── backend/ │ ├── app/ │ │ ├── api/v1/endpoints/ # API routes (IOCs, Actors, Feeds, etc.) │ │ ├── models/ # Pydantic/STIX models │ │ ├── services/ # Business logic (enrichment, LLM, ATT&CK) │ │ ├── workers/ # Celery background tasks │ │ └── db/ # Database connections │ └── requirements.txt ├── frontend/ │ ├── src/ │ │ ├── components/ # Reusable UI components │ │ ├── pages/ # Dashboard, IOCs, Graph, Reports │ │ └── services/ # API client │ └── package.json ├── docker-compose.yml # Full stack orchestration ├── start.sh # Quick start script └── README.md ``` ## API 端点 | 端点 | 描述 | |----------|-------------| | `/api/v1/iocs` | 损伤指标 (IOC) CRUD | | `/api/v1/actors` | 威胁行为者管理 | | `/api/v1/malware` | 恶意软件样本 | | `/api/v1/campaigns` | 攻击活动追踪 | | `/api/v1/feeds` | 威胁信息源管理 | | `/api/v1/search` | 文本与语义搜索 | | `/api/v1/analysis` | LLM 分析与报告 | | `/api/v1/taxii/*` | TAXII 2.x 服务器 | | `/api/v1/stix/*` | STIX 2.1 导入/导出 | ## 服务 | 服务 | 端口 | 用途 | |---------|------|---------| | Frontend | 3000 | React UI | | API | 8000 | FastAPI 后端 | | PostgreSQL | 5432 | 结构化数据 | | Neo4j | 7474/7687 | 图关系 | | Qdrant | 6333/6334 | 向量嵌入 | | Redis | 6379 | 缓存 | | RabbitMQ | 5672/15672 | 任务队列 | | Ollama | 11434 | 本地 LLM | ## 开发 ``` # Backend cd backend python -m venv venv source venv/bin/activate pip install -r requirements.txt uvicorn app.main:app --reload # Frontend cd frontend npm install npm run dev # Workers cd backend celery -A app.workers.celery_app worker --loglevel=info ``` ## 测试 ``` # 测试所有服务 python scripts/test_services.py # 测试 API curl http://localhost:8000/health # 测试前端 curl http://localhost:3000 ``` ## 许可证 MIT 许可证 - 可免费用于个人和商业用途。 ## 致谢 - MISP 项目 (灵感来源) - STIX/TAXII 工作组 - MITRE ATT&CK 框架 - Ollama 提供本地 LLM 托管

标签：AI分析, AI安全, AI风险缓解, API, Ask搜索, ATT&CK映射, AV绕过, Chat Copilot, CISA项目, Cloudflare, Cytoscape.js, DLL 劫持, Docker, FastAPI, IOC提取, IP 地址批量处理, LLM, LLM评估, masscan, MISP替代, MITRE ATT&CK, Neo4j, nuclei, Ollama, PostgreSQL, Python, Qdrant, React, STIX 2.1, STIX/TAXII标准, Syscalls, Tailwind CSS, TAXII 2.x, TIP, TypeScript, Unmanaged PE, VirusTotal, 入侵指标, 关系映射, 向量数据库, 图谱可视化, 多数据库架构, 大语言模型, 威胁建模, 威胁情报, 威胁情报平台, 安全大数据, 安全插件, 安全运营中心, 安全防御评估, 实时威胁情报富化, 开发者工具, 开源, 情报共享, 搜索引擎查询, 无后门, 无线安全, 智能安全, 本地大模型, 测试用例, 漏洞分析, 现代前端, 网络信息收集, 网络威胁情报, 网络安全, 网络安全审计, 网络映射, 自动化分析, 请求拦截, 跨站脚本, 路径探测, 逆向工具, 速率限制处理, 隐私保护