当前位置: 首页 > news >正文

一个集成多源威胁情报的聚合平台,提供实时威胁情报查询和播报服务、主动拦截威胁IP,集成AI等多项常用安全类工具

news 2025/8/16 12:37:22

威胁协同平台

威胁协同平台 (Threat Intelligence Hub),一个集成多源威胁情报的聚合平台,为安全研究人员和运维团队提供实时威胁情报查询和播报服务、主动拦截威胁IP,集成AI等多项常用安全类工具。 作者:HaoY-l

威胁情报截图展示


WAF协同截图展示

Tools截图展示

👥 目标用户

🛡️ 安全运维团队

快速查询可疑IP、URL的威胁情报,辅助安全事件分析;监控网络流量中的恶意IP和域名,及时发现安全威胁;自动化威胁检测和响应

🔍 安全研究人员

查询文件哈希值,快速识别恶意样本;利用多源情报进行威胁狩猎和溯源分析;获取最新CVE信息,跟踪漏洞披露和利用情况

🏢 企业安全团队

通过威胁情报播报了解最新安全态势;检测内网资产是否存在已知威胁;获取威胁情报报告,满足合规要求

🎯 使用场景

让安全运营从被动变为主动

🚨 日常安全运营

  • 告警分析: 当SIEM系统产生安全告警时,快速查询相关IP、域名的威胁情报
  • 日志分析: 分析Web访问日志、防火墙日志中的可疑访问源
  • 网络监控: 实时监控网络流量,识别与已知恶意IP的通信
  • 邮件安全: 检测钓鱼邮件中的恶意链接和附件

🔬 威胁情报分析

  • APT溯源: 通过IP、域名关联分析,追踪高级持续威胁
  • 恶意软件分析: 查询样本哈希值,获取恶意软件家族信息
  • IOC扩展: 基于已知威胁指标,发现更多关联的威胁情报
  • 威胁态势感知: 分析威胁趋势,预测潜在安全风险

🎯 应急响应

  • 事件响应: 安全事件发生时,快速获取攻击者的威胁情报
  • 取证分析: 数字取证过程中,查询可疑文件和网络连接
  • 威胁遏制: 基于威胁情报,快速制定防护策略
  • 损失评估: 评估安全事件的影响范围和潜在损失

🔧 自动化集成

  • SIEM集成: 集成到Splunk、ELK、QRadar等SIEM平台
  • SOAR集成: 集成到Phantom、Demisto等SOAR平台
  • API调用: 通过API接口集成到自研安全工具
  • 脚本自动化: 编写Python/Shell脚本,实现自动化威胁检测

🚀 功能特性

📊 每日威胁情报播报

  • 自动化CVE播报: 每日定时获取最新CVE漏洞信息
  • 多源情报聚合: 整合阿里云、官方CVE数据库等权威威胁情报源;集成Freebuf、CSDN等安全资讯源
  • 实时更新: 每3小时自动刷新情报数据,确保信息时效性

🔍 威胁情报查询

  • IP地址查询: 快速查询IP地址的威胁情报和恶意行为记录
  • URL安全检测: 检测URL的安全性和潜在威胁
  • 恶意文件分析: 支持文件哈希值查询,识别恶意软件

🗄️ WAF协同能力(Aliyun)

每分钟分析一次🧱

  • 威胁实时分析: 自动查询15分钟内WAF规则封禁IP和5分钟内高频请求IP
  • 威胁IP自动辨别: 根据WAF自身的封禁IP和高频请求IP,自动识别威胁IP
  • 威胁IP自动封禁: 识别出的风险IP(信誉分小于-5),自动封禁(黑名单)

😯 其他

  • IP归属地查询: 支持查询IP的归属地、运营商、ASN信息
  • 域名Whois查询: 支持查询域名的Whois信息
  • AI机器人: 支持用户与AI进行对话(暂时只接了豆包)

📦 快速开始

环境要求

  • Python 3.8+ 或 Node.js 16+
  • MySQL 8.0+

安装步骤

脚本一件安装

./deploy.sh

注意:程序运行端口默认为8891

🔧 配置说明

环境变量配置

# .env
ENV=proDB_TYPE=mysql
MYSQL_HOST=2xx.xx.26
MYSQL_PORT=xxx
MYSQL_USER=root
MYSQL_PASSWORD=xxx
MYSQL_NAME=xxx# threat intel
virustotal_api_key=xxx
shodan_api_key=xxx# system
file_log=app.log# WAF API INFO
# WAF INSTACE_ID INFO
INSTANCE_ID = ''
REGION_ID = ''
# WAF AKSK INFO
ALIBABA_CLOUD_ACCESS_KEY_ID = ''
ALIBABA_CLOUD_ACCESS_KEY_SECRET = '' 
# WAF SLS INFO
SLS_PROJECT_NAME = ''
SLS_LOGSTORE_NAME = ''
# WAF WHITELIST INFO
WHITELIST_TEMPLATE_ID = ''
# WAF BLACKLIST INFO
BLACKLIST_TEMPLATE_ID = ''
BLACKLIST_RULES_ID = ''
# DINGDING INFO
DDINGTALK_WEBHOOK_URL = ''# 公众号
wx_appid=''
wx_secret=''

数据源配置

支持的威胁情报源:

  • 阿里云威胁情报: 最新CVE漏洞信息
  • CVE官方数据库: 最新CVE漏洞信息
  • VirusTotal: 提供IP、域名、文件威胁情报,声誉查询
  • AlienVault OTX: 提供IP、域名、文件威胁情报,声誉查询
  • 其他开源情报源: 可根据需求扩展
    目前CVE仅展示了阿里云漏洞平台的漏洞信息,IP、URL、File检测依赖了VirusTotal和AlienVault OTX的API

工具下载

https://github.com/HaoY-l/threat-intel-hub

网络安全情报攻防站

www.libaisec.com

综合性的技术交流与资源共享社区

专注于红蓝对抗、攻防渗透、威胁情报、数据泄露

http://www.lryc.cn/news/622244.html

相关文章:

  • 超级云 APP 模式:重构移动互联网生态的新引擎
  • 高频量化详解,速度和程序化的满足!
  • QT|windwos桌面端应用程序开发,当连接多个显示器的时候,如何获取屏幕编号?
  • Storage.AI解读:构建AI数据基础设施的开放标准
  • 【nginx】如何在本地代理外部链接
  • 《探秘浏览器Web Bluetooth API设备发现流程》
  • Web 安全之 Cookie Bomb 攻击详解
  • 前端动画库之gsap
  • 【Python】一些PEP提案(六):元类、默认 UTF-8、Web 开发
  • 【LeetCode 热题 100】55. 跳跃游戏
  • 开源数据发现平台:Amundsen Frontend Service 应用程序配置
  • Cursor 分析 bug 记录
  • 基于RobustVideoMatting(RVM)进行视频人像分割(torch、onnx版本)
  • 【机器学习深度学习】客观评估主观评估:落地场景权重比例
  • 四、图与网络模型
  • 大模型性能测试完全指南:从流式响应到多模态的深度实践
  • [激光原理与应用-286]:理论 - 波动光学 - 不同频段电磁波的特点与差异性
  • Docker Compose部署Clickhouse最新版
  • 区块链技术原理(13)-以太坊燃料费Gas
  • 力扣top100(day04-03)--二分查找
  • whisper 语种检测学习笔记
  • canoe面板中的进度条的使用
  • 机器学习——PCA(主成分分析)降维
  • 岩石薄片图像数据及标签-一些研究参考
  • Ceres Solver中 SetParameterization函数的完整详解
  • MySQL视图:虚拟表的强大用途与限制
  • Effective C++ 条款43:学习处理模板化基类内的名称
  • 农药化肥行业的 “智能化拐点”:边缘计算网关如何破解生产效率困局?
  • P4069 [SDOI2016] 游戏 Solution
  • 使用 Let’s Encrypt 免费申请泛域名 SSL 证书,并实现自动续期