Palcheen02/Autonomous-Threat-Intel-Platform

# 自主威胁情报平台 一个基于 Python 的自主威胁情报平台（ATIP），利用 Neo4j 知识图谱来摄取 OSINT 数据、评估威胁严重程度并触发自动化 SOAR 响应。 # 自主威胁情报平台（ATIP）🛡️ 一种自动化安全架构，用基于图谱的检测引擎取代手动 SOC 分析。该平台利用 Neo4j 云基础设施映射复杂的威胁关系，并使用基于 Python 的执行引擎来自动化"观察、判断、决策、行动"（OODA）循环。 ## ⚙️ 核心功能 * **自动化 OSINT 摄取：** 从模拟威胁源中获取活跃的恶意指标（IP、域名）。 * **基于图谱的威胁映射：** 将非结构化数据标准化为 Neo4j 知识图谱，在威胁行为者（例如 APT29、Lazarus Group）与其基础设施之间创建物理链接。 * **算法威胁评分：** 持续轮询图谱，根据行为者画像计算严重程度评分（0-100）。 * **自主 SOAR 响应：** 无需人工干预即可触发模拟防御操作，例如对关键威胁执行 AWS WAF IP 封禁，对高级威胁执行终端隔离。 ## 🛠️ 使用的技术 * **Python 3.x：** 核心逻辑和自动化引擎。 * **Neo4j Aura：** 用于关系映射的云端图数据库。 * **Cypher Query Language：** 参数化数据注入和威胁狩猎查询。 * **Neo4j Python Driver：** 安全数据库连接和执行。 ## 📂 项目结构 * `tcs_ingest.py`：数据管道脚本，连接云端数据库并构建类 STIX 威胁数据。 * `threat_response.py`：AI 评分引擎，查询活跃指标并执行模拟遏制协议。 ## 🚀 本地运行方法 1. 克隆此仓库。 2. 确保已安装 `neo4j` Python 库：`pip install neo4j`。 3. 必须拥有活跃的 Neo4j Aura 数据库实例。 4. 在两个 Python 脚本中更新 `NEO4J_URI`、`NEO4J_USER`（实例 ID）和 `NEO4J_PASSWORD` 变量，填入你自己的凭证。 5. 先运行摄取管道以构建图谱：`python tcs_ingest.py` 6. 运行评分引擎以触发自动化响应：`python threat_response.py` *此项目作为行业项目原型开发，用于演示自动化威胁检测与响应架构。*

标签：APT检测, ATIP, AWS WAF, Cypher查询语言, ESC4, FTP漏洞扫描, IP封禁, Neo4j, OODA循环, OSINT, Python安全工具, Sigma 规则, SOAR, SOC自动化, STIX, TTP映射, 入侵指标, 域名分析, 威胁行为者, 威胁评分, 安全编排, 实时处理, 密码管理, 开源威胁情报, 插件系统, 端点隔离, 网络安全, 自动化响应, 自动威胁情报平台, 逆向工具, 隐私保护