EssidYassine/Banking-CTI
GitHub: EssidYassine/Banking-CTI
面向银行业的 CTI 平台,在模拟 SOC 基础设施上集中完成威胁情报采集、关联、评分与安全运营编排。
Stars: 1 | Forks: 0
# 银行 CTI 仪表板
**WHITEHATS Group — 项目 4NIDS6**
## 架构
该项目由两部分组成:
| 组件 | 技术栈 | 角色 |
|-------------|------------------------------------------|------|
| **Backend** | Python / Flask, SQLite, scikit-learn | REST API,IOC 收集,威胁评分,SOC 集成,持久化 |
| **Frontend**| Next.js 16 (React 19), TypeScript, Tailwind CSS | 现代用户界面(SOC 仪表板) |
### 后端 (`app.py`, `core/`)
- **`core/collector.py`** — 后台 IOC 收集器 (URLhaus, MalwareBazaar, ThreatFox),每 10 分钟执行一次
- **`core/correlation.py`** — IOC ↔ 资产关联引擎(Wazuh 告警,基础设施的 IP/hostnames)
- **`core/scorer.py`** — 混合威胁评分(业务规则 70% + KMeans 聚类 30%)
- **`core/vulns.py`** — 漏洞聚合 (NVD/NIST, CISA KEV, GitHub Advisory, OSV.dev)
- **`core/threat_actors.py`** — 针对银行业的 APT 组织知识库,映射至 MITRE ATT&CK
- **`core/groq_ai.py`** — AI 集成 (Groq/LLaMA),用于 CVE 分流、威胁分析和简报
- **`core/misp_client.py`**, **`core/cortex_client.py`** — MISP(威胁情报共享)和 Cortex(分析器)集成
- **`core/integrations.py`** — Wazuh (SIEM), TheHive (IRP) 和 Shuffle (SOAR) 连接器
- **`core/database.py`** — SQLite 持久层(告警、IOC、CVE、ISO 控制、补丁状态)
### 前端 (`frontend/`)
Next.js (App Router) 界面,重现了仪表板的所有视图:概览、告警、时间线、实时 IOC、漏洞、威胁情报、威胁行为者、评分、ISO 27001、KPI、Wazuh/TheHive/VirusTotal 集成以及 AI 助手。
## 模拟基础设施
配置 (`config.py`) 模拟了按风险区域划分的银行基础设施:
- **BORDER** — 边界防火墙 (pfSense + IDS Suricata)
- **DMZ** — 暴露的服务器 (Apache, Dovecot)
- **INTERNAL** — 内部隔离防火墙 (OPNsense)
- **LAN** — 银行数据,MariaDB 数据库,工作站
- **SOC** — 检测与响应栈 (Wazuh, TheHive, MISP, Elasticsearch, Shuffle, OpenSearch)
每个组件都有版本控制并关联到相应的风险级别,从而实现情境化的漏洞分析。
## 安装说明
### 后端
```
pip install -r requirements.txt
python init_db.py # initialisation de la base SQLite
python app.py # démarrage du serveur Flask (http://localhost:5000)
```
### 前端
```
cd frontend
npm install
npm run dev # http://localhost:3000
```
## 配置
参数(API 密钥、凭据、基础设施)定义在 `config.py` 中。在部署或共享代码库之前,必须:
- 将机密信息(Groq、MISP、Cortex 密钥,登录凭据)移至环境变量中
- 将 `config.py`、`banking_cti.db*` 以及 `.venv` / `node_modules` 目录排除在版本控制之外
## 免责声明
本项目是在**学术和防御性研究**(SOC/CTI 培训)的背景下开发的。所呈现的基础设施和场景均为教育目的而模拟。
# Banking-CTI
标签:Apex, Burp项目解析, Flask, GPT, Python, 后端开发, 威胁情报, 安全运营中心, 密钥管理, 开发者工具, 无后门, 机器学习, 漏洞管理, 网络映射, 逆向工具