CyberWala-7/threat-intelligence-forensics

# 威胁情报与取证系统 一个综合自动化威胁情报和取证平台，该平台分析现实世界的违规数据集，检测恶意软件指标，并提供事件响应自动化。 ## 功能 ### 1. **违规数据分析** - 分析公开的违规数据集以查找受损凭据 - 检测泄露的密码和用户名 - 识别违规数据中的模式 ### 2. **凭据检测** - 将凭据与已知的违规事件进行比较 - 识别受损账户 - 生成违规报告 ### 3. **恶意软件与IoC检测** - 检测恶意文件哈希值 - 识别可疑IP地址 - 跟踪命令与控制（C2）服务器 - 分析恶意软件指标 ### 4. **CVE分析** - 监控CVE源以获取新的漏洞信息 - 识别受影响的系统和应用程序 - 生成漏洞报告 ### 5. **事件响应自动化** - 自动化威胁警报 - 事件报告生成 - 威胁时间线创建 - 自动修复建议 ## 项目结构 ``` threat-intelligence-forensics/ ├── README.md ├── requirements.txt ├── config.py ├── main.py ├── src/ │ ├── __init__.py │ ├── breach_analyzer.py │ ├── credential_detector.py │ ├── malware_detector.py │ ├── cve_analyzer.py │ └── incident_responder.py ├── data/ │ ├── breach_datasets/ │ ├── sample_logs/ │ └── threat_feeds/ ├── output/ │ ├── reports/ │ └── logs/ └── tests/ ├── __init__.py ├── test_breach_analyzer.py └── test_malware_detector.py ``` ## 安装 ### 前置条件 - Python 3.8+ - pip（Python包管理器） ### 设置 ``` # 克隆仓库 git clone https://github.com/CyberWala-7/threat-intelligence-forensics.git cd threat-intelligence-forensics # 创建虚拟环境 python -m venv venv source venv/bin/activate # On Windows: venv\Scripts\activate # 安装依赖 pip install -r requirements.txt ``` ## 使用 ### 分析违规数据 ``` from src.breach_analyzer import BreachAnalyzer analyzer = BreachAnalyzer() results = analyzer.analyze_breach_data('data/breach_datasets/breaches.csv') print(results) ``` ### 检测受损凭据 ``` from src.credential_detector import CredentialDetector detector = CredentialDetector() is_compromised = detector.check_credential('user@example.com', 'password123') print(f"Compromised: {is_compromised}") ``` ### 检测恶意软件指标 ``` from src.malware_detector import MalwareDetector detector = MalwareDetector() threat_level = detector.check_hash('d41d8cd98f00b204e9800998ecf8427e') print(f"Threat Level: {threat_level}") ``` ### 分析CVE ``` from src.cve_analyzer import CVEAnalyzer analyzer = CVEAnalyzer() vulnerabilities = analyzer.get_latest_cves(days=7) print(vulnerabilities) ``` ### 生成事件响应报告 ``` from src.incident_responder import IncidentResponder responder = IncidentResponder() report = responder.generate_report(breach_data, threat_indicators) responder.save_report(report, 'output/reports/incident_report.txt') ``` ## 实际数据源 此项目集成了以下数据源： - **HaveIBeenPwned** - 违规数据库 - **公开违规数据集** - Kaggle、GitHub等 - **VirusTotal** - 恶意软件哈希数据库 - **NVD（国家漏洞数据库）** - CVE信息 - **威胁情报源** - 实时威胁数据 ## 关键功能演示 ### 违规分析 - 加载和解析公开的违规数据集 - 识别违规事件中的重复凭据 - 生成统计信息和模式 ### 真实检测示例 - 检测已知的恶意文件哈希值 - 识别可疑IP模式 - 与威胁情报源进行匹配 ### 自动化 - 自动化威胁警报 - 事件时间线生成 - 报告生成 ## 性能与结果 - **处理1M+条记录**的违规数据集 - **实时CVE更新**来自NVD源 - **几秒钟内生成**自动化事件报告 - **跨多个来源的威胁情报关联** ## 安全考虑 ⚠️ **仅限道德使用** - 此工具仅用于授权安全测试 - 在分析任何数据之前获取适当的权限 - 遵守所有适用的法律和法规 - 负责任地保护敏感数据 ## 测试 ``` # 运行测试 python -m pytest tests/ # 运行覆盖率测试 python -m pytest --cov=src tests/ ``` ## 文档 - 有关详细文档，请参阅`docs/`文件夹 - API参考在代码文档字符串中提供 - 示例脚本在`examples/`文件夹中 ## 贡献 欢迎贡献！请： 1. 分叉存储库 2. 创建功能分支 3. 提交您的更改 4. 推送并创建拉取请求 ## 许可证 MIT许可证 - 有关详细信息，请参阅LICENSE文件 ## 作者 **CyberWala-7** - 网络安全学生 ## 声明 此项目仅用于教育和授权安全测试目的。未经授权访问计算机系统是非法的。在进行安全测试之前，请始终获取适当的授权。 **状态**：积极开发 🚀 **最后更新**：2026年6月2日

标签：Apex, BSD, CVE分析, DNS解析, IoC, Python开发, 威胁情报, 安全可观测性, 安全报告, 开发者工具, 开源项目, 数据挖掘, 机器学习, 版本控制, 网络安全, 网络调试, 自动化, 虚拟环境, 请求拦截, 逆向工具, 隐私保护