pugazh342/CyberWolf-VulnStream
GitHub: pugazh342/CyberWolf-VulnStream
一个隐私至上、完全离线部署的网络安全威胁情报 RAG 平台,将 NVD、CISA KEV 和 MITRE ATT&CK 等多源情报统一整合,供安全分析师通过 AI 驱动的单一接口高效检索和调查漏洞信息。
Stars: 0 | Forks: 0
# 🛡️ CyberWolf VulnStream
### 隐私至上、基于传统 RAG 的网络威胁情报平台
## 📖 概述
CyberWolf VulnStream 是一个专注于网络安全的检索增强生成(RAG)平台,旨在将来自多个可信来源的威胁情报集中到一个统一的知识系统中。
安全分析师经常需要在以下平台之间切换:
* 国家漏洞数据库 (NVD)
* CISA 已知被利用漏洞 (KEV)
* MITRE ATT&CK 框架
* 供应商安全公告
CyberWolf VulnStream 通过单一的 AI 驱动接口,对来自多个来源的威胁情报进行摄取、标准化、嵌入和检索,从而消除了这种碎片化的工作流程。
所有处理均在本地进行,确保完全的隐私和数据所有权。
## 🎯 问题陈述
威胁情报分布在多个平台上。
调查漏洞的分析师通常需要:
1. 在 NVD 中查找 CVE 详情。
2. 在 CISA KEV 中检查其是否被积极利用。
3. 通过 MITRE ATT&CK 了解攻击者的行为。
4. 查看供应商的修复指南。
这个过程既缓慢又低效。
CyberWolf VulnStream 通过提供一个由本地大型语言模型和向量搜索驱动的统一威胁情报检索平台,解决了这一挑战。
## ✨ 核心功能
### 🔒 隐私至上
* 完全离线部署
* 本地向量数据库
* 本地嵌入
* 通过 Ollama 进行本地 LLM 推理
* 无云 API 依赖
### 🌐 多源威胁情报
支持的来源:
* NVD CVE 订阅源
* CISA 已知被利用漏洞
* MITRE ATT&CK
* 供应商公告(未来支持)
* 威胁研究博客(未来支持)
### 🧠 混合检索
结合了:
* 语义搜索
* 元数据过滤
* 来源感知检索
示例:
过滤器:
* 供应商 = Apache
* 严重性 = 严重
* 被利用 = 是
### ⚡ 自动化增量更新
后台调度器:
* 每 24 小时运行一次
* 获取最新的情报订阅源
* 防止重复嵌入
* 维护最新的向量索引
### 📊 分析师仪表板
* 威胁搜索
* CVE 调查
* ATT&CK 技术查找
* 来源引用
* 威胁摘要
## 🏗️ 系统架构
### 🏗️ 系统架构
```
graph TD
A[CISA KEV] --> D[Ingestion Layer]
B[MITRE ATT&CK] --> D
C[NVD Feed] --> D
D --> E[Normalization Engine]
E --> F[Deduplication Engine]
F --> G[Embedding Model
BGE Small EN] G --> H[(ChromaDB)] H --> I[RAG Retrieval Layer] I --> J[Ollama LLM] J --> K[FastAPI Backend] K --> L[React CTI Dashboard] ``` ## 🧩 技术栈 ### 前端 * React * TailwindCSS * Axios ### 后端 * FastAPI * APScheduler * LangChain ### AI 技术栈 * Ollama * DeepSeek-R1 * Llama 3 * BGE-Small-EN Embeddings ### 数据层 * ChromaDB * 本地文件存储 ## 📂 项目结构 ``` cyberwolf-vulnstream/ ├── api/ ├── ingestion/ │ ├── cve_loader.py │ ├── cisa_loader.py │ ├── mitre_loader.py │ └── normalizer.py │ ├── retrieval/ ├── rag/ ├── scheduler/ ├── vectordb/ ├── frontend/ ├── tests/ └── docs/ ``` ## 🚀 安装说明 ### 克隆仓库 ``` git clone https://github.com/pugazh342/CyberWolf-VulnStream.git cd cyberwolf-vulnstream ``` ### 创建虚拟环境 ``` python -m venv venv # Linux source venv/bin/activate # Windows venv\Scripts\activate ``` ### 安装依赖 ``` pip install -r requirements.txt ``` ### 安装 Ollama 下载并安装 Ollama。 拉取本地模型: ``` ollama pull deepseek-r1:8b ``` ## 🔄 初始数据摄取 ``` python ingest_manager.py ``` 此过程: * 下载威胁订阅源 * 标准化文档 * 生成嵌入 * 将向量存储在 ChromaDB 中 ## ▶️ 运行后端 ``` uvicorn api.main:app --reload ``` 后端 URL: ``` http://127.0.0.1:8000 ``` ## 💻 运行前端 ``` cd frontend npm install npm run dev ``` 前端 URL: ``` http://127.0.0.1:3000 ``` ## 🔍 示例查询 ### 漏洞调查 ``` What is CVE-2026-1234? ``` ### 利用状态 ``` Is CVE-2026-1234 actively exploited? ``` ### ATT&CK 查找 ``` Explain ATT&CK Technique T1059. ``` ### 威胁狩猎 ``` Show critical Apache vulnerabilities exploited in the wild. ``` ## 🛣️ 路线图 ### 版本 1 * 传统 RAG * NVD 集成 * CISA KEV 集成 * MITRE ATT&CK 集成 ### 版本 2 * Agentic RAG * 自主威胁调查 * IOC 丰富 ### 版本 3 * Graph RAG * 威胁关系映射 * 攻击路径分析 * 威胁行为者情报图谱 ## 👨💻 作者 K. Pugazhmani 网络安全学生 | 安全工程爱好者 | AI 工程师 ## 📜 许可证 MIT 许可证 ⭐ 如果您觉得这个项目有用,请考虑给该仓库点个星标。
BGE Small EN] G --> H[(ChromaDB)] H --> I[RAG Retrieval Layer] I --> J[Ollama LLM] J --> K[FastAPI Backend] K --> L[React CTI Dashboard] ``` ## 🧩 技术栈 ### 前端 * React * TailwindCSS * Axios ### 后端 * FastAPI * APScheduler * LangChain ### AI 技术栈 * Ollama * DeepSeek-R1 * Llama 3 * BGE-Small-EN Embeddings ### 数据层 * ChromaDB * 本地文件存储 ## 📂 项目结构 ``` cyberwolf-vulnstream/ ├── api/ ├── ingestion/ │ ├── cve_loader.py │ ├── cisa_loader.py │ ├── mitre_loader.py │ └── normalizer.py │ ├── retrieval/ ├── rag/ ├── scheduler/ ├── vectordb/ ├── frontend/ ├── tests/ └── docs/ ``` ## 🚀 安装说明 ### 克隆仓库 ``` git clone https://github.com/pugazh342/CyberWolf-VulnStream.git cd cyberwolf-vulnstream ``` ### 创建虚拟环境 ``` python -m venv venv # Linux source venv/bin/activate # Windows venv\Scripts\activate ``` ### 安装依赖 ``` pip install -r requirements.txt ``` ### 安装 Ollama 下载并安装 Ollama。 拉取本地模型: ``` ollama pull deepseek-r1:8b ``` ## 🔄 初始数据摄取 ``` python ingest_manager.py ``` 此过程: * 下载威胁订阅源 * 标准化文档 * 生成嵌入 * 将向量存储在 ChromaDB 中 ## ▶️ 运行后端 ``` uvicorn api.main:app --reload ``` 后端 URL: ``` http://127.0.0.1:8000 ``` ## 💻 运行前端 ``` cd frontend npm install npm run dev ``` 前端 URL: ``` http://127.0.0.1:3000 ``` ## 🔍 示例查询 ### 漏洞调查 ``` What is CVE-2026-1234? ``` ### 利用状态 ``` Is CVE-2026-1234 actively exploited? ``` ### ATT&CK 查找 ``` Explain ATT&CK Technique T1059. ``` ### 威胁狩猎 ``` Show critical Apache vulnerabilities exploited in the wild. ``` ## 🛣️ 路线图 ### 版本 1 * 传统 RAG * NVD 集成 * CISA KEV 集成 * MITRE ATT&CK 集成 ### 版本 2 * Agentic RAG * 自主威胁调查 * IOC 丰富 ### 版本 3 * Graph RAG * 威胁关系映射 * 攻击路径分析 * 威胁行为者情报图谱 ## 👨💻 作者 K. Pugazhmani 网络安全学生 | 安全工程爱好者 | AI 工程师 ## 📜 许可证 MIT 许可证 ⭐ 如果您觉得这个项目有用,请考虑给该仓库点个星标。
标签:AI风险缓解, AV绕过, ChromaDB, DLL 劫持, FastAPI, RAG平台, React, Syscalls, 大语言模型, 威胁情报, 开发者工具, 网络安全, 逆向工具, 隐私保护