ujju2006/Threat_Intelligence--

# ThreatFusion：企业威胁情报与 IOC 关联平台 ThreatFusion 是一个全面且具有精美视觉效果的网络安全情报平台。受 Splunk Enterprise Security、IBM QRadar 和 Wazuh 等行业领先工具的启发，ThreatFusion 既可作为操作级的 SOC（安全运营中心）仪表盘，也可作为一个教育生态系统。 ## 关联引擎 — 基于规则的架构 ThreatFusion 在 `modules/analyzer.py` 中使用**确定性匹配引擎**： | 规则条件 | 分配的严重性 | |---|---| | IOC 匹配已知的 regex 特征（例如，SQLi 布尔模式） | `CRITICAL` | | URL/domain 包含钓鱼关键字启发式检查 | `HIGH` | | 未找到特征匹配 | `LOW` (Clean) | | IOC 出现在多个威胁源中 | 根据源数量提升严重性 | **示例关联逻辑：** ``` if ioc_feed_count >= 5: severity = "CRITICAL" elif ioc_feed_count >= 3: severity = "HIGH" else: severity = "LOW" ``` 这是**基于规则的关联** —— 而不是机器学习。对于任何给定的输入，它都是完全确定性且可重现的。 ## 核心功能 1. **基于角色的访问控制 (RBAC)：** 以 Analyst、Threat Hunter 或 Admin 身份登录。 2. **基于规则的威胁关联引擎：** 为所有模块提供统一的确定性逻辑，用于进行 LOW、MEDIUM、HIGH 和 CRITICAL 威胁评分。 3. **交互式 IOC 关系图：** 可视化追踪从 IP → 钓鱼 URL → 恶意软件 hash → 关联 CVE 的攻击链。 4. **可导出的分析师报告：** 即时生成 PDF 和 DOCX 威胁报告。 5. **教育性见解：** “Analyst Insight”面板伴随每个威胁、MITRE 技术和 CVE，解释攻击*为何*有效以及*如何*防御它。 6. **威胁时间线：** 追踪攻击者从 Reconnaissance → Delivery → Harvesting → Persistence 的行为。 7. **全局 SOC 搜索：** 使用确定性源匹配，即时搜索 IP、URL、Hash 和 CVE。 ## 架构 - **后端：** Python 3 / Flask - **前端：** HTML5，自定义 Glassmorphism CSS，Vanilla JavaScript - **可视化：** Chart.js (图表)，Leaflet.js (地图)，Vis-Network (IOC 图谱) - **数据：** 基于 JSON 的威胁模拟数据集（无需外部 API 调用） - **关联逻辑：** 基于规则的 regex + 启发式特征匹配 (`modules/analyzer.py`) ## 安装与本地运行 ``` # 导航到项目目录 cd ThreatFusion # 安装依赖 pip install -r requirements.txt # 启动 SOC Dashboard python app.py ``` 打开浏览器并访问 `http://localhost:5001`。 **默认登录凭据：** | 用户名 | 密码 | 角色 | |---|---|---| | `analyst1` | `admin` | Analyst | | `hunter1` | `admin` | Threat Hunter | | `admin` | `admin` | Admin | ## 部署 ThreatFusion 完全具备现代云端部署的条件。 - 使用包含的 `Dockerfile` 进行容器化托管。 - 使用 `Procfile` 在 Render.com 或 Heroku 上实现无缝的一键部署。

标签：IOC关联, PB级数据处理, 后端开发, 威胁情报, 安全运维, 开发者工具, 数据可视化, 网络安全, 请求拦截, 隐私保护