KidFromKonoha/Threat-Intelligence-Platform
GitHub: KidFromKonoha/Threat-Intelligence-Platform
一个模块化、可扩展的网络威胁情报平台,旨在从多源聚合、标准化、关联并可视化威胁情报数据,帮助安全分析师高效完成调查工作。
Stars: 0 | Forks: 0
# 威胁情报平台 (TIP)
## 概述
威胁情报平台 (TIP) 是一个现代化、模块化且可扩展的平台,旨在收集、标准化、关联、富化、搜索和可视化网络威胁情报。
首个实现目标是**汽车 OEM**,但其架构必须保持足够的通用性,以便未来能够支持其他行业。
该平台旨在协助:
* 安全运营中心 (SOC)
* 威胁狩猎
* 事件响应
* 网络威胁情报 (CTI)
* 漏洞管理
* 产品安全
* 安全管理层
目标是帮助分析师快速回答一个问题:
# 项目目标
该平台必须:
* 从多个外部来源聚合情报。
* 将数据标准化为通用的内部模型。
* 移除重复的情报。
* 自动关联相关的 indicators。
* 尽可能富化情报。
* 提供快速的全局搜索。
* 展示对分析师友好的可视化界面。
* 支持调查工作。
* 可扩展至数百万个 indicators。
* 保持模块化且易于扩展。
# 非目标
本项目**不**打算成为:
* SIEM
* SOAR
* EDR
* 案件管理平台
* 工单系统
* 漏洞扫描器
* 网络监控平台
* 恶意软件沙箱
* 数据包捕获平台
未来允许与这些系统进行集成,但替代它们不在本项目的范围之内。
# 架构理念
本项目遵循以下原则:
* 文档是唯一事实来源。
* 架构先于实现。
* 维护性优先于花哨的代码。
* 增量构建。
* 保持模块独立。
* 避免不必要的抽象。
* 为未来扩展进行设计。
* 绝不过度工程化。
# 开发工作流
每个功能都遵循相同的生命周期:
1. 如果需求发生变化,请先更新文档。
2. 审查实现任务。
3. 实现一个功能。
4. 验证功能。
5. 保持应用程序可运行状态。
6. 提交已完成的功能。
实现必须遵循文档。
绝不能默默无视文档。
# 项目结构
```
backend/
frontend/
infrastructure/
README.md
SPEC.md
TASK.md
```
必要时可引入额外的文件夹。
# 技术栈
## 后端
* Python
* FastAPI
* PostgreSQL
* SQLAlchemy
* Alembic
* Redis
* Celery
* Pydantic
## 前端
* React
* TypeScript
* Vite
* Tailwind CSS
* shadcn/ui
* TanStack Query
* React Router
* Recharts
* React Flow
# 编码原则
* 编写可读性强的代码。
* 使用具有描述性的命名。
* 优先使用组合而非继承。
* 避免重复的逻辑。
* 保持功能单一专注。
* 保持文件大小适中。
* 尽可能使用强类型。
* 绝不硬编码 secrets。
* 验证所有外部输入。
* 记录重要事件。
* 保持 API 的一致性。
# AI 协作规则
在实施本项目时:
* 开始工作前请阅读此 README。
* 将 `SPEC.md` 视为标准功能规范。
* 将 `TASK.md` 视为当前的实现目标。
* 除非有明确要求,否则不要凭空发明新架构。
* 不要与现有文档相冲突。
* 如果文档不清晰,请寻求澄清,而不是自行假设。
* 只要在切实可行的情况下,就重用现有代码。
* 不要重写不相关的模块。
* 每完成一个任务后,都要确保项目处于可工作状态。
# 成功标准
已完成的平台应当能够:
* 从多个 feeds 收集威胁情报。
* 自动对情报进行标准化和关联。
* 实现快速的分析师调查。
* 突出显示与组织资产相关的威胁。
* 提供现代化的 dashboard 和可视化。
* 具备生产就绪、可维护且易于扩展的能力。
本仓库代表一个长期的工程项目。每一个实现决策都应优先考虑正确性、可维护性、可扩展性以及高质量的分析师体验,而非短期的便利性。
标签:GPT, 威胁情报, 安全运营, 开发者工具, 扫描框架, 搜索引擎查询, 测试用例, 漏洞管理, 逆向工具