cbaker71299/threat-huntersCTI
GitHub: cbaker71299/threat-huntersCTI
专为金融服务行业打造的网络威胁情报聚合平台,将九个实时公开威胁源整合到统一的Streamlit仪表盘中,提供过滤、可视化、预测性分析和对手建模功能。
Stars: 0 | Forks: 0
# Threat Hunters — 金融 CTI 平台
专为金融服务行业构建的网络威胁情报平台。将 **9 个实时威胁源** 聚合到统一的 Streamlit 仪表盘中,提供过滤、可视化、预测性分析和对手建模功能。
## 为什么构建此平台
大多数开源威胁情报源噪音多、碎片化,且没有针对任何特定行业进行优化。本平台从公共来源提取数据,进行规范化处理,并呈现与**银行业务、支付和金融部门威胁**最相关的部分——例如银行钓鱼诈骗、针对金融机构的勒索软件、正被积极利用以攻击金融基础设施的 CVE,以及用于提供背景信息的历史 FDIC 银行倒闭数据。
## 实时数据源
| 数据源 | 来源 | 类型 | 刷新频率 |
|---|---|---|---|
| 钓鱼情报 | PhishStats API | 钓鱼 URL (侧重银行业) | 每小时 |
| OpenPhish | openphish.com | 钓鱼 URL 源 | 每小时 |
| 恶意软件 URL | URLhaus (abuse.ch) | 活跃的恶意软件分发 URL | 5 分钟 |
| 僵尸网络 C2 | Feodo Tracker (abuse.ch) | 僵尸网络命令与控制 IP | 5 分钟 |
| IOC 数据库 | ThreatFox (abuse.ch) | 失陷标识 | 5 分钟 |
| 勒索软件受害者 | Ransomwatch | 公开的勒索软件泄露网站帖子 | 5 分钟 |
| 被利用的 CVE | CISA KEV | 已知被利用的漏洞目录 | 每小时 |
| 资产暴露 | Shodan (用户 API 密钥) | 互联网暴露资产 | 按需查询 |
| 银行倒闭 | FDIC.gov | 美国历史银行倒闭记录 | 每天 |
所有数据源在启动时自动加载——无需手动上传。
## 技术栈
**前端 / 应用:** Streamlit · Plotly · streamlit-antd-components
**数据:** Python · Pandas · NumPy · SQLite
**数据接入:** REST API · CSV/JSON 解析器 · 定时刷新
**分析:** SIR 流行病学建模、异常检测、综合风险评分
**框架:** 入侵分析钻石模型、MITRE ATT&CK 参考
## 页面
| 页面 | 用途 |
|---|---|
| **Home (主页)** | 实时威胁指标、入口点和当前情报概览 |
| **Dashboard (仪表盘)** | 具有攻击链叙事的统一多源视图 |
| **Malware (恶意软件)** | URLhaus + ThreatFox 数据源及 SIR 传播模拟 |
| **Phishing (网络钓鱼)** | PhishStats / OpenPhish 银行冒充数据源及过滤器 |
| **Ransomware (勒索软件)** | Ransomwatch 受害者和组织数据及趋势可视化 |
| **CVE Watch (CVE 监控)** | CISA KEV 漏洞的时间线和严重程度细分 |
| **Bank Failures (银行倒闭)** | FDIC 历史倒闭数据及成本和地理过滤器 |
| **Analytics (分析)** | 风险评分、异常检测、SIR 建模、预测视图 |
| **Diamond Models (钻石模型)** | 映射到钻石模型框架的三起实时攻击 |
| **Threat Triage (威胁分诊)** | 用于优先处理和路由标记指标的工作流 |
| **Data Explorer (数据探索器)** | 跨所有源的原始数据检查 |
| **Report (报告)** | 情报总结、方法论和道德文档 |
| **Resources (资源)** | 外部参考和支持框架 |
## 设置
```
git clone https://github.com/cbaker71299/threat-hunters.git
cd threat-hunters
pip install -r requirements.txt
streamlit run app.py
```
**要求:** Python 3.10+
## 导航
基于 URL 的路由——附加 `?page=` 以直接导航:
```
/?page=home /?page=dashboard /?page=malware
/?page=phishing /?page=ransomware /?page=cve
/?page=fdic /?page=analytics /?page=diamond
/?page=report /?page=data /?page=references
```
## 路线图
- [ ] AbuseIPDB 集成 (第 10 个数据源)
- [ ] LLM 驱动的威胁摘要 (每个数据源的每日简报)
- [ ] 用户可配置的风险评分权重
- [ ] 历史数据持久化 (SQLite 快照流水线)
- [ ] 告警层 (针对高风险指标的电子邮件 / webhook 通知)
- [ ] 部署到 Streamlit Community Cloud
## 架构
```
app.py # Main Streamlit app + routing
views/ # Per-page render modules
components/ # Shared UI (navigation, footer)
data/
ingestion/ # API clients + normalization
raw/ # Cached pulls
processed/ # SQLite working DB
db/ # DB layer
scripts/ # Batch ingestion / pipeline runners
styles/ # CSS theming
assets/ # Images, icons
```
## 许可证
MIT
标签:C2服务器, CISA KEV, CISA项目, Cloudflare, CVE漏洞, Diamond Model, ESC4, Go语言工具, IOC, IP 地址批量处理, Kubernetes, MITRE ATT&CK, NumPy, OSINT, Plotly, Python, REST API, SQLite, Streamlit, URLhaus, 僵尸网络, 入侵指标, 分析师仪表盘, 勒索软件, 威胁建模, 威胁情报, 安全运营, 密码管理, 对手建模, 开发者工具, 异常检测, 恶意软件, 扫描框架, 数据聚合, 无后门, 流行病建模, 网络威胁, 网络安全, 访问控制, 资产暴露, 逆向工具, 金融安全, 银行钓鱼, 隐私保护, 预测分析, 风险评分