MrP-cpu/ThreatSight

GitHub: MrP-cpu/ThreatSight

一款基于Python的企业级网络扫描与漏洞关联平台，将Nmap扫描与AI驱动的漏洞分析和风险优先级排序相结合。

Stars: 0 | Forks: 1

# ThreatSight：企业漏洞评估平台 *从 Nmap 封装工具到 AI 驱动的威胁情报* ![Version](https://img.shields.io/badge/version-2.0.0-blue) ![Python](https://img.shields.io/badge/python-3.9+-blue) ![License](https://img.shields.io/badge/license-MIT-green) ## **项目愿景** **弥合基础网络扫描与企业级漏洞管理之间的差距** - *目标用户：* 安全团队、DevOps 工程师和 IT 管理员 - *替代方案：* 手动 Nmap 分析 + 电子表格跟踪 - *差异化优势：* 带有业务上下文的**自动化风险优先级排序**和 AI 驱动的威胁情报 ## **架构概述** ``` graph TB A[ThreatSight Core] --> B[Scanning Engine] A --> C[Vulnerability Correlation] A --> D[Risk Intelligence] A --> E[Enterprise Integration] B --> B1[TCP/SYN Scanning] B --> B2[Protocol-Specific Analysis] B --> B3[Advanced Evasion Techniques] C --> C1[NVD API Integration] C --> C2[EPSS Scoring] C --> C3[Exploit-DB Matching] D --> D1[Asset Criticality] D --> D2[MITRE ATT&CK Mapping] D --> D3[Remediation Guidance] E --> E1[SIEM Integration] E --> E2[Ticketing Systems] E --> E3[Scheduled Scanning] ``` ## **阶段路线图** ### **阶段 1：高级扫描引擎（当前阶段）** *（预计完成时间：第 2 个月）* #### 已实现的功能 ``` def scan_target(target, scan_type="hybrid"): """Advanced scanning with multiple techniques""" if scan_type == "syn": return syn_scan(target) # Raw socket SYN scanning elif scan_type == "stealth": return stealth_scan(target) # Evasion techniques elif scan_type == "protocol": return protocol_specific_scan(target) # Modbus/MQTT/etc ``` - [x] 多线程和异步扫描架构 - [x] TCP Connect、SYN 和 UDP 扫描实现 - [x] 协议特定扫描（Modbus TCP、MQTT、HTTP/S） - [x] 高级规避技术（源地址随机化、数据包分片） - [x] 通过 TCP/IP 栈分析进行操作系统指纹识别 - [x] 带有服务特定探测的智能横幅抓取 #### 所需技能 - 高级 Python 并发（`asyncio`、`multiprocessing`） - 原始套接字编程和数据包构造 - 协议分析（工业、物联网、Web） - 规避技术实现 ### **阶段 2：AI 驱动的漏洞关联** *（预计完成时间：第 4 个月）* #### 计划功能 ``` def analyze_vulnerabilities(scan_results): """AI-enhanced vulnerability assessment""" cves = nvd_api.lookup(scan_results) epss_scores = get_epss_prediction(cves) exploits = search_exploit_db(scan_results) return prioritize_vulnerabilities(cves, epss_scores, exploits) ``` - NVD API 集成与本地缓存 - EPSS 评分用于漏洞利用预测 - Exploit-DB 和 Metasploit 集成 - 机器学习减少误报 - CVSS v3.1 评分与环境指标 #### 数据流 ``` flowchart LR Scan-->Services-->CVE_Matching-->EPSS_Scoring-->Exploit_Check-->Risk_Prioritization ``` #### 待学习技能 - REST API 调用（NVD、Vulners、Exploit-DB） - 用于安全分析的机器学习 - Redis 数据缓存 - CVSS 向量解析与环境指标 ### **阶段 3：智能风险评估** *（预计完成时间：第 6 个月）* #### 关键组件 ``` class RiskIntelligenceEngine: def assess_risk(self, vulnerability, asset_context): """Context-aware risk assessment""" base_score = vulnerability.cvss_score asset_value = asset_context.get_criticality() exploit_probability = vulnerability.epss_score business_impact = self.calculate_business_impact() return (base_score * 0.4) + (asset_value * 0.3) + (exploit_probability * 0.2) + (business_impact * 0.1) ``` - 带有业务上下文的资产关键性加权 - MITRE ATT&CK 技术映射 - 自动化修复指导系统 - 针对新兴威胁的预测分析 #### 示例输出 ``` [CRITICAL] Port 445/tcp - SMBv1 (CVE-2021-34527) - CVSS: 9.8 | EPSS: 0.97 | Asset Criticality: High - Attack Path: Initial Access → Lateral Movement - MITRE Techniques: T1210, T1570 - Action: Disable SMBv1 immediately (Priority: P0) - Estimated Remediation Time: 2 hours ``` #### 待掌握技能 - 风险管理框架（FAIR、NIST RMF） - 用于安全数据分析的 Pandas - 使用 Jinja2 的报告模板 - 业务影响分析技术 ### **阶段 4：企业集成与自动化** *（预计完成时间：第 8 个月）* #### 扩展计划 ``` def enterprise_workflow(scan_results): """Full enterprise integration pipeline""" tickets = jira.create_tickets(scan_results) splunk.ingest_data(scan_results) slack.send_alerts(high_risk_vulns) generate_compliance_reports(scan_results) ``` - JIRA/ServiceNow 工单系统与自动优先级排序 - SIEM 集成（Splunk HEC、Elasticsearch） - ChatOps 集成（Slack、Microsoft Teams） - 使用 APScheduler 的计划扫描 - 合规报告（PCI DSS、HIPAA、ISO 27001） - 用于与其他安全工具集成的 REST API #### 架构 ``` flowchart TB ThreatSight -->|REST API| Splunk ThreatSight -->|Tickets| JIRA ThreatSight -->|Alerts| Slack ThreatSight -->|Reports| Compliance[Compliance Dashboard] ThreatSight -->|Data| Splunk ``` ### **阶段 5：AI 增强功能** *（预计完成时间：第 12 个月）* #### 高级功能 ``` def predict_attack_paths(scan_results): """AI-powered attack path prediction""" return ml_model.predict( scan_results, network_topology, asset_criticality ) ``` - 攻击路径模拟与预测 - 零日漏洞预测 - 自动化补丁管理指导 - 自然语言报告生成 - 威胁狩猎查询建议 ## **测试方法** 1. **单元测试**：所有模块使用 `pytest`，覆盖率 >90% 2. **集成测试**：使用易受攻击容器的 Docker-compose 环境 3. **测试目标**： - Metasploitable、DVWA 和自定义易受攻击的应用程序 - 工业控制系统模拟（Modbus、BACnet） - 物联网设备仿真 4. **性能基准**： - 1,000 台主机在 <5 分钟内完成（分布式扫描模式） - 100+ 并发漏洞评估 ## **法律与合规** - **道德使用政策**：需要签署授权表格 - **数据处理**：所有扫描结果静态加密（AES-256） - **法规**：符合 GDPR 第 35 条（DPIA）、CCPA、HIPAA - **负责任披露**：内置道德报告机制 ## **贡献指南** 1. Fork → 分支 → 测试 → PR 2. 编码标准： - 所有函数的类型提示 - Google 风格的文档字符串 - Black 格式化的代码 - 安全重点的代码审查 3. 开发环境： - 用于代码质量的预提交钩子 - Docker 化的开发环境 - 自动化代码安全扫描 ## **许可证** MIT 许可证 - 详见 [LICENSE.md](LICENSE.md)。 **作者**：Parshant Kumar ## **资源** - [Nmap 文档](https://nmap.org/book/) - [NVD API 文档](https://nvd.nist.gov/developers/vulnerabilities) - [EPSS API 文档](https://www.first.org/epss/api) - [MITRE ATT&CK 框架](https://attack.mitre.org/) - [CVSS v3.1 规范](https://www.first.org/cvss/v3.1/specification-document) ## **快速开始** ``` # 克隆仓库 git clone https://github.com/yourusername/threatsight.git cd threatsight # 设置 virtual environment python -m venv venv source venv/bin/activate # Linux/Mac # 或者 venv\Scripts\activate # Windows # 安装 dependencies pip install -r requirements.txt # 运行 basic scan python threat_sight.py 192.168.1.0/24 --stealth --output report.html ``` 详细文档请参阅我们的 [Wiki](https://github.com/MrP-cpu/ThreatSight/wiki)。

标签：AES-256, AMSI绕过, Cloudflare, CTI, DevSecOps, EPSS, Exploit-DB, GPT, HTTP工具, IT运维, MITRE ATT&CK, Nmap, NVD, OT安全, PKINIT, Python, Qt框架, Socks5代理, 上游代理, 云存储安全, 企业安全, 反取证, 威胁情报, 威胁检测, 安全评估, 安全运营, 密码管理, 工控安全, 开发者工具, 扫描框架, 插件系统, 搜索引擎查询, 数据统计, 无后门, 无线安全, 智能体, 服务识别, 漏洞修复, 漏洞管理, 漏洞评估, 端口扫描, 结构化查询, 网络安全, 网络安全培训, 网络扫描, 网络资产管理, 自动化安全, 虚拟驱动器, 隐私保护, 风险优先级