decima001/Threat-Intelligence-Hub

威胁情报中心与事件响应沙箱一个使用 Python 和 Django 框架构建的交互式企业级网络威胁情报 (CTI) 设备。 该平台充当本地化的安全运营检查站，负责解析原始、非结构化的事件响应设备日志，通过 AlienVault OTX 将提取出的指标与全球威胁活动参与者进行交叉比对，并在浏览器中原生生成动态可视化的 STIX 2.1 图拓扑。 核心架构功能： 日志摄取解析沙箱：利用优先级的 regex 编译机制，从纯文本文件中扫描、清洗并提取关键的失陷指标，包括 IPv4 地址、域名/FQDN、MD5 和 SHA-256 恶意软件哈希值，同时自动过滤内部基础设施噪声。 实时社区源丰富：使用官方软件开发工具包直接与 AlienVault Open Threat Exchange (OTX) API v2 集成，以实时追踪真实的基础设施足迹、活跃 pulses、威胁组织和活跃的战术恶意软件标签。 动态安全评估矩阵：采用内部多变量评分模型，将指标命中频率与实时供应商活动可见性进行交叉审查，以动态分配细粒度的风险信任度量和严重最终缓解判定。OASIS STIX 2.1 编译引擎：按需将扁平的关系型 SQL 数据库行编译为严格合规、图连接的 STIX 2.1 JSON 企业级数据包。 交互式节点网络可视化工具：将高性能 Vis.js Network 渲染引擎嵌入到前端 UI 仪表板中，以编程方式将原始 STIX 图关系结构转换为美观、可拖拽的浏览器原生拓扑图。 技术栈矩阵组件 使用的框架 / 库 / 引擎 后端架构Python 3.14+ / Django Web 框架数据存储SQLite3 / Django 对象关系映射 (ORM)CTI 集成AlienVault OTXv2 Python SDKSTIX 框架OASIS stix2 规范转换层前端 UI 布局Bootstrap 5 / 原生 JavaScript (ES6)图可视化Vis.js Network 独立引擎 系统运行流水线1. 文件摄取流水线当分析师将原始的系统、SIEM 或防火墙转储文件放入沙箱时，应用程序会立即记录确切的提交时间戳，隔离原始数据组件，并与威胁交换网格启动交互式 API 握手流。 2. 信任度评分计算矩阵跨四个不同的情报指标动态计算风险评估，以保护分析师免受告警疲劳： $$Composite\ Trust\ Score = \frac{Relevance + Accuracy + Freshness + Completeness}{4} $$高可信度判定 ($\ge 8.0$)：立即标记为恶意（严重）并路由至自动化企业遏制矩阵。 3. 边缘设备规则导出系统原生地为安全工程师开放了两条下游操作流水线：明文防火墙黑名单：实时网络边缘设备可以直接轮询此纯文本视图 endpoint，以捕获去重后的恶意 IPv4 地址，从而立即进行边界丢弃。STIX 2.1 JSON 流：将原始的结构化情报图直接馈送至自动化 SOAR playbooks 或外部 SIEM 系统（如 Splunk 或 Sentinel）。 项目结构纯文本threat_intel_hub/ │ ├── threatintel/ # 核心项目配置范围 │ ├── settings.py # 全局设置、Middlewares 和 OTX 密钥 │ └── urls.py # 主 URL 路由调度网格 │ ├── intelligence/ # 专用威胁应用容器 │ ├── templates/ # 前端 UI 层 │ │ └── intelligence/ │ │ └── dashboard.html # Vis.js 画布图和操作控制台 │ ├── models.py # IoC 和审计日志的 Schema 定义 │ ├── views.py # 操作控制器 & endpoint 触发器 │ └── aggregator.py # 核心 regex 提取 & OTX 查询引擎 │ └── manage.py # Django 管理编排脚本

标签：Django, IP 地址批量处理, Python, SIEM/安全运营, STIX, 威胁情报, 开发者工具, 数据可视化, 无后门, 网络安全, 逆向工具, 隐私保护