OktayAlver/siberkapan
GitHub: OktayAlver/siberkapan
SiberKapan 是一个面向土耳其基础设施的社区驱动型网络威胁情报平台,聚合多源威胁数据并提供 blocklist、CVE Feed、STIX 输出和 REST API。
Stars: 0 | Forks: 0
# SiberKapan 🛡️
**土耳其开源网络威胁情报平台**
[](LICENSE)
[]()
[](https://siberkapan.org/api/v1/status)
[](https://siberkapan.org/rss/cve)
SiberKapan 是一个社区驱动的威胁情报平台,专注于针对土耳其基础设施的网络威胁。它聚合来自 FortiGate 社区 webhook、受信任的外部 feed 和 CISA KEV 的威胁数据,并将其作为可操作的 blocklist、CVE feed 和 REST API endpoint 提供。
🌐 **在线平台:** [https://siberkapan.org](https://siberkapan.org)
📡 **API 状态:** [https://siberkapan.org/api/v1/status](https://siberkapan.org/api/v1/status)
📄 **方法论:** [https://siberkapan.org/metodoloji](https://siberkapan.org/metodoloji)
## 功能
- **FortiGate Automation Stitch 集成** — 通过 webhook 实时提交攻击者 IP
- **社区 Blocklist** — TXT、JSON、CIDR、FortiGate CLI、iptables 格式
- **CVE Feed** — 1,600 多条 CISA KEV 记录,提供按厂商过滤的 RSS(Fortinet、Microsoft、Cisco、VMware...)
- **BGP / IP 查询** — ASN、GeoIP、威胁评分、来源归属
- **国家与平台列表** — 来源 RIPE NCC 的 40 多个国家 prefix 列表
- **STIX 2.1 输出** — 机器可读的威胁情报 bundle
- **IP 除名** — 误报报告与审查流程
- **TR/EN 双语** — 完整的土耳其语和英语界面
## 架构
```
┌─────────────────────────────────────────────────────────┐
│ Data Sources │
│ FortiGate Webhooks │ Feodo │ URLhaus │ Emerging Threats │
│ GreenSnow │ Binary Defense │ CINS │ BotScout │ CISA KEV │
└────────────────────────┬────────────────────────────────┘
│
┌──────────▼──────────┐
│ SiberKapan Core │
│ Flask / SQLite │
│ APScheduler │
│ GeoIP Enrichment │
└──────────┬──────────┘
│
┌───────────────┼───────────────┐
│ │ │
┌────▼────┐ ┌─────▼────┐ ┌─────▼──────┐
│REST API │ │ RSS/Atom │ │ Blocklist │
│JSON/TXT │ │CVE + IOC │ │ Downloads │
│STIX 2.1 │ │Vendor │ │ TXT/CIDR │
└─────────┘ └──────────┘ └────────────┘
```
## 快速开始 — FortiGate 集成
在 5 分钟内将 SiberKapan 添加到你的 FortiGate:
**1. 创建 Automation Action (Webhook)**
```
Name: SiberKapan
Protocol: HTTPS
URL: https://siberkapan.org/feed/fortigate
Method: POST
Header: X-SiberKapan-Key:
Header: Content-Type: application/json
```
**HTTP Body:**
```
{
"ip": "%%log.srcip%%",
"attack_type": "%%log.attack%%",
"port": %%log.dstport%%,
"severity": "%%log.severity%%",
"proto": "%%log.proto%%",
"src_country": "%%log.srccountry%%",
"device": "%%log.devname%%"
}
```
**2. 创建 Automation Stitch**
- Trigger:`IPS Event` 或 `Anomaly Logs`
- Action:上述 webhook action
**3. 请求 API Key**
通过 [siberkapan.org/iletisim](https://siberkapan.org/iletisim) 联系
## API 参考
### Blocklist 端点
| Endpoint | 格式 | 描述 |
|----------|--------|-------------|
| `/api/v1/list/txt` | TXT | 所有已批准的 IP,纯文本 |
| `/api/v1/list/json` | JSON | 包含元数据的完整 IP 数据 |
| `/api/v1/list/cidr` | CIDR | CIDR 表示法 |
| `/api/v1/list/fortigate` | TXT | FortiGate CLI 格式 |
| `/api/v1/list/iptables` | SH | iptables bash 脚本 |
| `/api/v1/list/country/{CC}` | TXT | 按国家过滤的列表 |
| `/api/v1/list/platform/{tag}` | TXT | 按平台过滤的列表 |
### CVE / 威胁情报
| Endpoint | 描述 |
|----------|-------------|
| `/api/v1/cve` | CISA KEV CVE 记录 (JSON) |
| `/api/v1/cve?vendor=fortinet` | 按厂商过滤的 CVE |
| `/api/v1/cve/vendors` | 可用厂商及其数量 |
| `/rss/cve` | CVE RSS feed |
| `/rss/cve?vendor=microsoft` | 按厂商过滤的 CVE RSS |
| `/rss/ioc` | IOC RSS feed |
| `/api/v1/stix` | STIX 2.1 bundle |
| `/api/v1/bgp/{ip}` | IP 信誉与 BGP 查询 |
| `/api/v1/status` | 平台状态 |
### 示例
```
# 获取完整 blocklist
curl https://siberkapan.org/api/v1/list/txt
# 以 JSON 格式获取 Fortinet CVE
curl https://siberkapan.org/api/v1/cve?vendor=fortinet
# 提交攻击者 IP(需要 API key)
curl -X POST https://siberkapan.org/feed/fortigate \
-H "Content-Type: application/json" \
-H "X-SiberKapan-Key: YOUR_KEY" \
-d '{"ip":"1.2.3.4","attack_type":"ssh_brute_force","severity":"high","port":22}'
# STIX 2.1 bundle(仅限高可信度)
curl "https://siberkapan.org/api/v1/stix?limit=100&min_score=75"
```
## 威胁评分
| 来源 | 分值增加 | 备注 |
|--------|-----------|-------|
| FortiGate — Critical | +40 | 已验证的 API key,Critical 严重级别 |
| FortiGate — High | +30 | 已验证的 API key,High 严重级别 |
| FortiGate — Medium | +20 | 已验证的 API key,Medium 严重级别 |
| FortiGate — Low | +10 | 已验证的 API key,Low 严重级别 |
| 外部 Feed | 50 | 初始评分,取决于来源 |
| 批量 API | +15 | 批量提交 |
分数是累积的(最大 100)。请在 [siberkapan.org/metodoloji](https://siberkapan.org/metodoloji) 查看完整方法论。
## 数据来源
| 来源 | 类型 | 更新频率 |
|--------|------|--------|
| FortiGate 社区 Webhook | 社区 | 实时 |
| [Feodo Tracker](https://feodotracker.abuse.ch) | 外部 | 6小时 |
| [URLhaus](https://urlhaus.abuse.ch) | 外部 | 6小时 |
| [Emerging Threats](https://rules.emergingthreats.net) | 外部 | 12小时 |
| [GreenSnow](https://blocklist.greensnow.co) | 外部 | 6小时 |
| [Blocklist.de](https://www.blocklist.de) | 外部 | 6小时 |
| [Binary Defense](https://www.binarydefense.com) | 外部 | 6小时 |
| [CINS Score](http://cinsscore.com) | 外部 | 6小时 |
| [BotScout](https://raw.githubusercontent.com/firehol/blocklist-ipsets) | 外部 | 6小时 |
| [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) | CVE | 每天 |
| [RIPE NCC](https://stat.ripe.net) | 国家 Prefix | 按需 |
## 技术栈
- **后端:** Python 3.12、Flask、SQLAlchemy、APScheduler
- **数据库:** SQLite
- **Web 服务器:** Nginx + Gunicorn
- **基础设施:** Ubuntu 24 LTS
- **标准:** STIX 2.1、RSS/Atom、REST
## 荣誉
- **土耳其总统府网络安全集群** (Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Siber Güvenlik Kümesi) 成员
- 已在 TÜRKPATENT 注册商标(第 38 和 42 类)
## IP 除名
如果您认为您的 IP 被错误列出,请在以下地址提交除名请求:
👉 [https://siberkapan.org/delist](https://siberkapan.org/delist)
每个请求都会在 48 小时内进行审查。
## 许可证
MIT 许可证 — 详情请参阅 [LICENSE](LICENSE)。
来自外部 feed 的数据受其各自来源许可证的约束:
- Feodo Tracker:[abuse.ch](https://abuse.ch)
- URLhaus:[abuse.ch](https://abuse.ch)
- Emerging Threats:[Proofpoint](https://rules.emergingthreats.net)
- CISA KEV:公有领域(美国政府)
## 联系方式
- **平台:** [siberkapan.org](https://siberkapan.org)
- **联系表单:** [siberkapan.org/iletisim](https://siberkapan.org/iletisim)
- **开发者:** [alversec.uk](https://alversec.uk)
标签:CVE追踪, Flask, Python, REST API, 威胁情报, 开发者工具, 无后门, 逆向工具, 防火墙集成