KidFromKonoha/Threat-Intelligence-Platform

GitHub: KidFromKonoha/Threat-Intelligence-Platform

一个模块化、可扩展的网络威胁情报平台,旨在从多源聚合、标准化、关联并可视化威胁情报数据,帮助安全分析师高效完成调查工作。

Stars: 0 | Forks: 0

# 威胁情报平台 (TIP) ## 概述 威胁情报平台 (TIP) 是一个现代化、模块化且可扩展的平台,旨在收集、标准化、关联、富化、搜索和可视化网络威胁情报。 首个实现目标是**汽车 OEM**,但其架构必须保持足够的通用性,以便未来能够支持其他行业。 该平台旨在协助: * 安全运营中心 (SOC) * 威胁狩猎 * 事件响应 * 网络威胁情报 (CTI) * 漏洞管理 * 产品安全 * 安全管理层 目标是帮助分析师快速回答一个问题: # 项目目标 该平台必须: * 从多个外部来源聚合情报。 * 将数据标准化为通用的内部模型。 * 移除重复的情报。 * 自动关联相关的 indicators。 * 尽可能富化情报。 * 提供快速的全局搜索。 * 展示对分析师友好的可视化界面。 * 支持调查工作。 * 可扩展至数百万个 indicators。 * 保持模块化且易于扩展。 # 非目标 本项目**不**打算成为: * SIEM * SOAR * EDR * 案件管理平台 * 工单系统 * 漏洞扫描器 * 网络监控平台 * 恶意软件沙箱 * 数据包捕获平台 未来允许与这些系统进行集成,但替代它们不在本项目的范围之内。 # 架构理念 本项目遵循以下原则: * 文档是唯一事实来源。 * 架构先于实现。 * 维护性优先于花哨的代码。 * 增量构建。 * 保持模块独立。 * 避免不必要的抽象。 * 为未来扩展进行设计。 * 绝不过度工程化。 # 开发工作流 每个功能都遵循相同的生命周期: 1. 如果需求发生变化,请先更新文档。 2. 审查实现任务。 3. 实现一个功能。 4. 验证功能。 5. 保持应用程序可运行状态。 6. 提交已完成的功能。 实现必须遵循文档。 绝不能默默无视文档。 # 项目结构 ``` backend/ frontend/ infrastructure/ README.md SPEC.md TASK.md ``` 必要时可引入额外的文件夹。 # 技术栈 ## 后端 * Python * FastAPI * PostgreSQL * SQLAlchemy * Alembic * Redis * Celery * Pydantic ## 前端 * React * TypeScript * Vite * Tailwind CSS * shadcn/ui * TanStack Query * React Router * Recharts * React Flow # 编码原则 * 编写可读性强的代码。 * 使用具有描述性的命名。 * 优先使用组合而非继承。 * 避免重复的逻辑。 * 保持功能单一专注。 * 保持文件大小适中。 * 尽可能使用强类型。 * 绝不硬编码 secrets。 * 验证所有外部输入。 * 记录重要事件。 * 保持 API 的一致性。 # AI 协作规则 在实施本项目时: * 开始工作前请阅读此 README。 * 将 `SPEC.md` 视为标准功能规范。 * 将 `TASK.md` 视为当前的实现目标。 * 除非有明确要求,否则不要凭空发明新架构。 * 不要与现有文档相冲突。 * 如果文档不清晰,请寻求澄清,而不是自行假设。 * 只要在切实可行的情况下,就重用现有代码。 * 不要重写不相关的模块。 * 每完成一个任务后,都要确保项目处于可工作状态。 # 成功标准 已完成的平台应当能够: * 从多个 feeds 收集威胁情报。 * 自动对情报进行标准化和关联。 * 实现快速的分析师调查。 * 突出显示与组织资产相关的威胁。 * 提供现代化的 dashboard 和可视化。 * 具备生产就绪、可维护且易于扩展的能力。 本仓库代表一个长期的工程项目。每一个实现决策都应优先考虑正确性、可维护性、可扩展性以及高质量的分析师体验,而非短期的便利性。
标签:GPT, 威胁情报, 安全运营, 开发者工具, 扫描框架, 搜索引擎查询, 测试用例, 漏洞管理, 逆向工具