NyliStanwood/so-threat-fusion
GitHub: NyliStanwood/so-threat-fusion
基于 Security Onion 的数据融合与威胁情报层,将多源安全事件自动关联、LLM 增强分析并以 STIX/TAXII 标准导出。
Stars: 0 | Forks: 0
# so-threat-fusion
TFM 项目。基于 [Security Onion](https://securityonionsolutions.com/) 构建的数据融合与威胁情报层。
Security Onion 负责摄取、标准化、存储和告警。本项目额外提供:
1. **跨源事件关联** — 根据共享实体和时间窗口,将 Zeek、Suricata 和 Sysmon 事件链接为融合攻击集群
2. **LLM 增强** — 评估 GPT-4o 与 Mistral 7B 在自动生成威胁叙述和 ATT&CK 映射方面的表现
3. **STIX/TAXII 导出** — 将丰富后的集群序列化为 STIX 2.1 格式,并通过 TAXII 2.1 服务器发布
## 环境要求
- Security Onion 独立节点,且 Elasticsearch 可通过 API 访问
- Python 3.11+
- Docker(用于运行 OpenTAXII)
- Ollama 并在本地拉取 Mistral 7B 模型
- OpenAI API 密钥(用于 GPT-4o 对比)
## 建议的仓库结构
```
so-threat-fusion/
│
├── fusion_engine.py # Queries ES, correlates events, writes clusters to ES
├── llm_evaluator.py # Sends fused clusters to LLMs, scores responses
├── stix_exporter.py # Serializes clusters to STIX 2.1, publishes to TAXII
│
├── config.yaml # ES host, time windows, ATT&CK mappings, model names
├── docker-compose.yml # OpenTAXII server
├── requirements.txt
│
├── scenarios/ # Atomic Red Team run configs and ground-truth labels
│ └── lateral_movement/
│
├── output/ # Generated STIX bundles (gitignored if sensitive)
│
├── evaluation/ # LLM scoring results, metrics tables
│
├── docs/ # Architecture diagrams, gap analysis, thesis chapters
│
├── Planning.md
└── CLAUDE.md
```
## 状态
规划已完成。实现尚未开始。按阶段计划请参见 [Planning.md](Planning.md)。
标签:AI风险缓解, AMSI绕过, ATT&CK映射, Beacon Object File, DLL 劫持, Elasticsearch, GPT-4o, IP 地址批量处理, LLM安全分析, LLM评估, Metaprompt, Mistral 7B, Ollama, OpenTAXII, Petitpotam, PE 加载器, Python, Rootkit, Security Onion, SOAR, STIX 2.1, Suricata, Sysmon, TAXII 2.1, Zeek, 事件关联分析, 大模型评估, 大语言模型, 威胁情报, 威胁检测, 安全工程, 安全运营, 开发者工具, 扫描框架, 攻击集群, 数据富化, 数据融合, 无后门, 无线安全, 横向移动检测, 现代安全运营, 端点检测, 网络安全, 网络安全审计, 网络流量分析, 自动化响应, 请求拦截, 逆向工具, 速率限制处理, 隐私保护