Malaiyappan-STUX05/n8n-threat-intel

# 使用 n8n 的 LLM 增强型威胁情报关联自动化 一个使用 **n8n** 和 **LLM** 构建的自动化威胁情报 pipeline，可实时收集、丰富和关联威胁情报，并通过 Telegram 交付可操作的报告。 ## 概述 传统的威胁情报工作流是碎片化且手动的——分析师需要同时处理多个平台、静态 feed 和互不关联的工具。本项目实现了整个 pipeline 的自动化： 1. **LLM 驱动的 OSINT 收集** — Perplexity LLM 自动查询特定产品/漏洞的最新威胁 2. **IOC 提取** — 解析原始情报以提取 CVE、IP、FQDN 和文件哈希 3. **多源丰富** — VirusTotal、AbuseIPDB 和 HybridAnalysis API 提供信誉评分和行为分析 4. **基于影响的分类** — 使用 CVSS、漏洞利用可用性和受影响范围来确定威胁的优先级 5. **报告生成** — LLM 生成结构化、易于阅读的威胁报告 6. **实时交付** — 通过 Telegram bot 即时交付报告 ## 架构 ``` Telegram Query → Perplexity LLM (OSINT) → IOC Extraction → Enrichment APIs → Classification → Report → Telegram Delivery │ │ │ │ ├── CVEs ├── VirusTotal │ ├── IPs ├── AbuseIPDB │ ├── FQDNs └── HybridAnalysis │ └── Hashes └── Citation URLs ``` ## 项目结构 作为 B.Tech 毕业设计项目，跨越 **3 个 sprint** 开发： | Sprint | 重点 | 关键交付物 | |---|---|---| | **Sprint I** | Telegram 查询接口 + LLM 检索 | Telegram bot、Perplexity LLM 集成、引用 URL 获取 | | **Sprint II** | IOC 提取 + 丰富 | IOC 解析引擎、聚合、VirusTotal/AbuseIPDB/HybridAnalysis 集成 | | **Sprint III** | 严重性分类 + 报告交付 | 基于影响的分类、LLM 报告生成、Telegram 交付 | ## 技术栈 - **n8n** — 带有自定义 node 的工作流编排 - **Perplexity LLM** — 智能 OSINT 收集 - **VirusTotal API** — 文件/IP/域名信誉评分 - **AbuseIPDB API** — IP 滥用报告和检查 - **HybridAnalysis** — 恶意软件沙箱检测和行为分析 - **Telegram Bot API** — 实时告警交付 - **Python** — 自定义丰富脚本 ## 核心功能 - ✅ 完全自动化的 pipeline — 零人工干预 - ✅ LLM 驱动的查询可适应新出现的威胁（非静态 feed） - ✅ 多源丰富以获取高可信度的 IOC - ✅ 基于影响的严重性分类（不仅仅是 CVSS） - ✅ 实时 Telegram 通知 - ✅ 轻量级且具有成本效益（运行在免费版 API 上） ## 工作原理 1. 分析师通过 Telegram 发送查询（例如，“Exchange Server 2019 的最新威胁”） 2. Perplexity LLM 生成智能 OSINT 查询并检索最新威胁数据 3. 获取并解析引用 URL 以提取 IOC 4. 提取的 IOC 通过 3 个威胁情报 API 进行丰富 5. 基于影响的分类分配严重性分数 6. LLM 生成结构化、易于阅读的威胁报告 7. 报告通过 Telegram 即时交付给分析师 ## 作者 - **Malaiyappan S** — [GitHub](https://github.com/Malaiyappan-STUX05) - **Raaghashree M** - **Rithika Balaji** B.Tech CSE (网络安全), SRM 理工学院, 2026 ## 出版物 项目报告中包含会议出版物。 ## 许可证 学术项目 — SRM 理工学院。

标签：DLL 劫持, ESC4, n8n, OSINT, 大语言模型, 威胁情报, 安全运营, 开发者工具, 扫描框架, 逆向工具