mazharali23/Mini-ThreatGuard
GitHub: mazharali23/Mini-ThreatGuard
Mini-ThreatGuard是一个利用本地AI和自动化工作流实现CVE漏洞监控与告警的轻量级SOC工具。
Stars: 0 | Forks: 0
# 🛡️ Mini-ThreatGuard
一个基于 **n8n、Ollama、PostgreSQL、Docker 和 Telegram** 构建的、由 AI 驱动的 SOC 自动化与威胁情报管道。
Mini-ThreatGuard 是一个轻量级的、后端优先的网络安全自动化项目,旨在利用本地 AI 驱动的威胁增强功能来模拟现代 SOC(安全运营中心)的工作流程。
# 🚀 功能特性
* ✅ 从 NVD 自动获取 CVE
* ✅ AI 驱动的漏洞增强
* ✅ 使用 Ollama 进行本地 LLM 推理
* ✅ 严重漏洞过滤
* ✅ PostgreSQL 告警持久化
* ✅ Telegram SOC 通知
* ✅ Docker 容器化部署
* ✅ 事件驱动的自动化管道
* ✅ 轻量级自托管架构
# 🧠 工作流架构
```
+-------------------+
| NVD CVE API |
| Threat Feed |
+-------------------+
|
v
+-------------------+
| n8n Workflow |
| Orchestration |
+-------------------+
|
v
+-------------------+
| Data Processing |
| - Normalize CVEs |
| - Filter Severity |
| - Rate Limiting |
+-------------------+
|
v
+-------------------+
| Ollama |
| Local AI Engine |
+-------------------+
|
v
+-------------------+
| PostgreSQL |
| Alert Persistence |
+-------------------+
|
v
+-------------------+
| Telegram Alerts |
| SOC Notifications |
+-------------------+
```
# ⚙️ 技术栈
| 层级 | 技术 |
| -------------- | ----------------------- |
| 操作系统 | RHEL 10 |
| 工作流引擎 | n8n |
| 数据库 | PostgreSQL |
| 队列/缓存 | Redis |
| AI 推理 | Ollama |
| AI 模型 | TinyLlama / Qwen |
| 通知 | Telegram Bot API |
| 容器化 | Docker & Docker Compose |
# 🔥 核心工作流
```
Schedule Trigger
↓
Fetch CVEs from NVD
↓
Normalize Vulnerability Data
↓
Filter Critical Vulnerabilities
↓
AI Enrichment using Ollama
↓
Format SOC Alert
↓
Store in PostgreSQL
↓
Send Telegram Notification
```
# 📸 屏幕截图
## 工作流管道
## 架构图
## Telegram SOC 告警
# 🧩 关键组件
## 🔹 威胁情报获取
Mini-ThreatGuard 直接从国家漏洞数据库(NVD)获取实时 CVE 数据:
```
https://services.nvd.nist.gov/rest/json/cves/2.0
```
## 🔹 AI 驱动的威胁增强
该项目通过 Ollama 使用本地托管的 AI 模型来:
* 解释漏洞
* 总结攻击影响
* 生成分析师友好的见解
* 模拟 AI 辅助的 SOC 工作流
## 🔹 PostgreSQL 持久化
处理后的告警被存储用于:
* 历史分析
* 未来仪表板
* 去重
* 事件追踪
## 🔹 Telegram 通知
关键漏洞会作为 SOC 风格的告警直接推送到 Telegram,以便进行实时监控。
# 🛠️ 解决的挑战
该项目涉及解决多个现实世界的基础设施和自动化挑战:
* Docker 容器网络
* 主机 ↔ 容器通信
* Ollama 服务暴露
* 低内存环境下的本地 AI 推理
* API 速率限制
* 工作流编排
* 事件过滤与持久化
* AI 管道集成
# 📂 项目结构
```
Mini-ThreatGuard/
│
├── docker/
├── docs/
│ └── architecture.md
├── screenshots/
├── workflows/
│ └── mini-threatguard-workflow.json
├── README.md
├── .env.example
└── docker-compose.yml
```
# 🧪 示例 SOC 告警
```
🚨 CRITICAL CVE ALERT 🚨
CVE: CVE-2026-XXXX
Severity: CRITICAL
CVSS Score: 9.8
AI Analysis:
Remote attackers may execute arbitrary code execution through vulnerable services.
Recommended Action:
Patch affected systems immediately and investigate exposure.
```
# 📈 未来改进方向
* 🔹 Wazuh 集成
* 🔹 AI 辅助的事件关联
* 🔹 仪表板与分析
* 🔹 去重引擎
* 🔹 威胁评分系统
* 🔹 资产清单关联
* 🔹 多租户架构
* 🔹 Webhook 获取管道
# 🧠 演示的概念
该项目展示了以下方面的实际经验:
* 威胁情报管道
* AI 辅助的 SOC 工作流
* 本地 LLM 基础设施
* 工作流编排
* PostgreSQL 持久化
* 事件驱动的自动化
* Docker 网络
* DevOps 故障排除
* 安全自动化工程
# 📌 设计理念
Mini-ThreatGuard 专注于:
* 后端优先的架构
* 轻量级基础设施
* 开源工具
* 本地 AI 推理
* 运维自动化工作流
其目标是模拟真实的 SOC 自动化模式,而非前端繁重的演示应用程序。
# 👨💻 作者
## Mazhar Ali
DevOps 与安全自动化爱好者
* AI 驱动的 SOC 自动化
* 基础设施编排
* 威胁情报工作流
* 本地 AI 推理管道
# ⭐ 代码库目标
此代码库可用作:
* 网络安全自动化学习项目
* 轻量级 AI-SOC 参考实现
* 基础设施编排展示
* 未来检测工程工作流的基础
## 架构图
## Telegram SOC 告警
# 🧩 关键组件
## 🔹 威胁情报获取
Mini-ThreatGuard 直接从国家漏洞数据库(NVD)获取实时 CVE 数据:
```
https://services.nvd.nist.gov/rest/json/cves/2.0
```
## 🔹 AI 驱动的威胁增强
该项目通过 Ollama 使用本地托管的 AI 模型来:
* 解释漏洞
* 总结攻击影响
* 生成分析师友好的见解
* 模拟 AI 辅助的 SOC 工作流
## 🔹 PostgreSQL 持久化
处理后的告警被存储用于:
* 历史分析
* 未来仪表板
* 去重
* 事件追踪
## 🔹 Telegram 通知
关键漏洞会作为 SOC 风格的告警直接推送到 Telegram,以便进行实时监控。
# 🛠️ 解决的挑战
该项目涉及解决多个现实世界的基础设施和自动化挑战:
* Docker 容器网络
* 主机 ↔ 容器通信
* Ollama 服务暴露
* 低内存环境下的本地 AI 推理
* API 速率限制
* 工作流编排
* 事件过滤与持久化
* AI 管道集成
# 📂 项目结构
```
Mini-ThreatGuard/
│
├── docker/
├── docs/
│ └── architecture.md
├── screenshots/
├── workflows/
│ └── mini-threatguard-workflow.json
├── README.md
├── .env.example
└── docker-compose.yml
```
# 🧪 示例 SOC 告警
```
🚨 CRITICAL CVE ALERT 🚨
CVE: CVE-2026-XXXX
Severity: CRITICAL
CVSS Score: 9.8
AI Analysis:
Remote attackers may execute arbitrary code execution through vulnerable services.
Recommended Action:
Patch affected systems immediately and investigate exposure.
```
# 📈 未来改进方向
* 🔹 Wazuh 集成
* 🔹 AI 辅助的事件关联
* 🔹 仪表板与分析
* 🔹 去重引擎
* 🔹 威胁评分系统
* 🔹 资产清单关联
* 🔹 多租户架构
* 🔹 Webhook 获取管道
# 🧠 演示的概念
该项目展示了以下方面的实际经验:
* 威胁情报管道
* AI 辅助的 SOC 工作流
* 本地 LLM 基础设施
* 工作流编排
* PostgreSQL 持久化
* 事件驱动的自动化
* Docker 网络
* DevOps 故障排除
* 安全自动化工程
# 📌 设计理念
Mini-ThreatGuard 专注于:
* 后端优先的架构
* 轻量级基础设施
* 开源工具
* 本地 AI 推理
* 运维自动化工作流
其目标是模拟真实的 SOC 自动化模式,而非前端繁重的演示应用程序。
# 👨💻 作者
## Mazhar Ali
DevOps 与安全自动化爱好者
* AI 驱动的 SOC 自动化
* 基础设施编排
* 威胁情报工作流
* 本地 AI 推理管道
# ⭐ 代码库目标
此代码库可用作:
* 网络安全自动化学习项目
* 轻量级 AI-SOC 参考实现
* 基础设施编排展示
* 未来检测工程工作流的基础标签:AI安全, AI风险缓解, AMSI绕过, Chat Copilot, CVE摄取, Docker, GPT, LLM推理, LLM评估, n8n, Ollama, PostgreSQL, RHEL 10, SOC自动化, Telegram, 严重度过滤, 事件驱动, 告警持久化, 威胁情报, 威胁检测, 安全运营, 安全防御评估, 实时通知, 容器化部署, 工作流引擎, 开发者工具, 扫描框架, 搜索引擎查询, 数据库存储, 本地推理, 测试用例, 漏洞丰富, 漏洞管理, 网络安全, 网络调试, 自动化, 自托管, 请求拦截, 轻量级架构, 通知系统, 隐私保护