ggg4688/Diploma---Threat-Intelligence-Platform-for-Real-Time-Correlation-of-Security-Events

# 面向安全事件实时关联的云原生威胁情报平台实现 网络威胁的快速增长以及现代 IT 基础设施日益增加的复杂性，要求组织采用先进的安全监控和威胁检测机制。传统安全解决方案通常难以实时处理大量异构的安全数据，导致事件检测和响应的延迟。为了应对这些挑战，本毕业设计项目致力于实现一个用于实时关联安全事件的云原生威胁情报平台。 该平台将来自 AbuseIPDB 和 AlienVault OTX 等外部来源的威胁情报源，与从基础设施组件和端点收集的安全遥测数据进行了整合。通过利用云原生技术，该系统能够提供可扩展、具备弹性且高效的安全事件处理能力。威胁指标（包括恶意 IP 地址、域名、URL 和文件哈希）会被持续同步并存储在一个集中式仓库中。 该平台的一个核心特性是能够在传入的安全事件与已知的失陷标据 (IOCs) 之间执行实时关联。系统会自动使用上下文威胁情报信息来丰富收集到的日志，并应用检测规则来识别可疑活动，例如端口扫描、暴力破解攻击、权限提升尝试、反弹 shell 连接以及与已知恶意基础设施的通信。当检测到匹配项时，系统将生成安全警报，并通过集中式监控仪表板进行展示。 所开发的解决方案遵循基于容器化微服务和现代数据处理技术的云原生架构。它整合了用于日志收集、事件规范化、威胁情报管理、基于规则的检测、警报生成和可视化的组件。该平台为安全分析师提供了增强的态势感知能力，并缩短了识别和调查安全事件所需的时间。 这项工作的实际成果是一个功能完备的安全信息和事件管理 (SIEM) 原型系统，它能够聚合威胁情报、实时关联安全事件，并支持事件检测与响应活动。该实现展示了云原生技术如何提升现代网络安全运营的可扩展性、灵活性和有效性。

标签：AMSI绕过, Web报告查看器, 威胁情报, 威胁检测, 安全事件关联, 开发者工具, 插件系统, 请求拦截