当前位置: 首页 > news >正文

一个集成多源威胁情报的聚合平台,提供实时威胁情报查询和播报服务、主动拦截威胁IP,集成AI等多项常用安全类工具

news 2025/8/16 9:21:46

威胁协同平台

威胁协同平台 (Threat Intelligence Hub),一个集成多源威胁情报的聚合平台,为安全研究人员和运维团队提供实时威胁情报查询和播报服务、主动拦截威胁IP,集成AI等多项常用安全类工具。 作者:HaoY-l

威胁情报截图展示


WAF协同截图展示

Tools截图展示

👥 目标用户

🛡️ 安全运维团队

快速查询可疑IP、URL的威胁情报,辅助安全事件分析;监控网络流量中的恶意IP和域名,及时发现安全威胁;自动化威胁检测和响应

🔍 安全研究人员

查询文件哈希值,快速识别恶意样本;利用多源情报进行威胁狩猎和溯源分析;获取最新CVE信息,跟踪漏洞披露和利用情况

🏢 企业安全团队

通过威胁情报播报了解最新安全态势;检测内网资产是否存在已知威胁;获取威胁情报报告,满足合规要求

🎯 使用场景

让安全运营从被动变为主动

🚨 日常安全运营

  • 告警分析: 当SIEM系统产生安全告警时,快速查询相关IP、域名的威胁情报
  • 日志分析: 分析Web访问日志、防火墙日志中的可疑访问源
  • 网络监控: 实时监控网络流量,识别与已知恶意IP的通信
  • 邮件安全: 检测钓鱼邮件中的恶意链接和附件

🔬 威胁情报分析

  • APT溯源: 通过IP、域名关联分析,追踪高级持续威胁
  • 恶意软件分析: 查询样本哈希值,获取恶意软件家族信息
  • IOC扩展: 基于已知威胁指标,发现更多关联的威胁情报
  • 威胁态势感知: 分析威胁趋势,预测潜在安全风险

🎯 应急响应

  • 事件响应: 安全事件发生时,快速获取攻击者的威胁情报
  • 取证分析: 数字取证过程中,查询可疑文件和网络连接
  • 威胁遏制: 基于威胁情报,快速制定防护策略
  • 损失评估: 评估安全事件的影响范围和潜在损失

🔧 自动化集成

  • SIEM集成: 集成到Splunk、ELK、QRadar等SIEM平台
  • SOAR集成: 集成到Phantom、Demisto等SOAR平台
  • API调用: 通过API接口集成到自研安全工具
  • 脚本自动化: 编写Python/Shell脚本,实现自动化威胁检测

🚀 功能特性

📊 每日威胁情报播报

  • 自动化CVE播报: 每日定时获取最新CVE漏洞信息
  • 多源情报聚合: 整合阿里云、官方CVE数据库等权威威胁情报源;集成Freebuf、CSDN等安全资讯源
  • 实时更新: 每3小时自动刷新情报数据,确保信息时效性

🔍 威胁情报查询

  • IP地址查询: 快速查询IP地址的威胁情报和恶意行为记录
  • URL安全检测: 检测URL的安全性和潜在威胁
  • 恶意文件分析: 支持文件哈希值查询,识别恶意软件

🗄️ WAF协同能力(Aliyun)

每分钟分析一次🧱

  • 威胁实时分析: 自动查询15分钟内WAF规则封禁IP和5分钟内高频请求IP
  • 威胁IP自动辨别: 根据WAF自身的封禁IP和高频请求IP,自动识别威胁IP
  • 威胁IP自动封禁: 识别出的风险IP(信誉分小于-5),自动封禁(黑名单)

😯 其他

  • IP归属地查询: 支持查询IP的归属地、运营商、ASN信息
  • 域名Whois查询: 支持查询域名的Whois信息
  • AI机器人: 支持用户与AI进行对话(暂时只接了豆包)

📦 快速开始

环境要求

  • Python 3.8+ 或 Node.js 16+
  • MySQL 8.0+

安装步骤

脚本一件安装

./deploy.sh

注意:程序运行端口默认为8891

🔧 配置说明

环境变量配置

# .env
ENV=proDB_TYPE=mysql
MYSQL_HOST=2xx.xx.26
MYSQL_PORT=xxx
MYSQL_USER=root
MYSQL_PASSWORD=xxx
MYSQL_NAME=xxx# threat intel
virustotal_api_key=xxx
shodan_api_key=xxx# system
file_log=app.log# WAF API INFO
# WAF INSTACE_ID INFO
INSTANCE_ID = ''
REGION_ID = ''
# WAF AKSK INFO
ALIBABA_CLOUD_ACCESS_KEY_ID = ''
ALIBABA_CLOUD_ACCESS_KEY_SECRET = '' 
# WAF SLS INFO
SLS_PROJECT_NAME = ''
SLS_LOGSTORE_NAME = ''
# WAF WHITELIST INFO
WHITELIST_TEMPLATE_ID = ''
# WAF BLACKLIST INFO
BLACKLIST_TEMPLATE_ID = ''
BLACKLIST_RULES_ID = ''
# DINGDING INFO
DDINGTALK_WEBHOOK_URL = ''# 公众号
wx_appid=''
wx_secret=''

数据源配置

支持的威胁情报源:

  • 阿里云威胁情报: 最新CVE漏洞信息
  • CVE官方数据库: 最新CVE漏洞信息
  • VirusTotal: 提供IP、域名、文件威胁情报,声誉查询
  • AlienVault OTX: 提供IP、域名、文件威胁情报,声誉查询
  • 其他开源情报源: 可根据需求扩展
    目前CVE仅展示了阿里云漏洞平台的漏洞信息,IP、URL、File检测依赖了VirusTotal和AlienVault OTX的API

工具下载

https://github.com/HaoY-l/threat-intel-hub

网络安全情报攻防站

www.libaisec.com

综合性的技术交流与资源共享社区

专注于红蓝对抗、攻防渗透、威胁情报、数据泄露

http://www.dtcms.com/a/333201.html

相关文章:

  • 非中文语音视频自动生成中文字幕的完整实现方案
  • 另类pdb恢复方式-2
  • RabbitMQ核心架构与应用
  • C++类与对象核心知识点全解析(下)
  • 《Python列表和元组:从入门到花式操作指南》
  • 系统介绍pca主成分分析算法
  • Kubernetes 集群镜像资源管理
  • 区块链:用数学重构信任的数字文明基石
  • clamav病毒检测
  • 【揭秘红黑树:高效数据结构解析】
  • I/O多路复用特性与实现
  • 全球鲜花速递市场:规模扩张、竞争格局与未来趋势解析
  • Python正则表达式处理Unicode字符完全指南:从基础到高级实战
  • Comfyui进入python虚拟环境
  • LangChain 与 LangGraph:如何选择合适的工具
  • RK3588 recovery模式和misc分区介绍
  • Ant-Design AUpload如何显示缩略图;自定义哪些类型的数据可以使用img预览
  • HTTP 请求方法:GET 与 POST
  • 应用层协议——HTTP
  • Jenkins+Python自动化持续集成详细教程
  • 神经网络设计中关于BN归一化(Normalization)的讨论
  • 扣子(Coze),开源了!Dify 天塌了
  • 淡季磨剑,旺季出鞘!外贸管理软件让淡季备货与旺季冲刺无缝衔接
  • Mini MAX AI应用矩阵测评报告——基于旗下多款产品的综合体验与行业价值分析
  • 亚马逊“十省联动”4.0:产业带跨境转型的全维度赋能路径
  • Linux操作系统--多线程(锁、线程同步)
  • 优秘企业智脑 AISEO 技术拆解:从算法逻辑到 GEO 优化,如何重构企业智能营销底层能力?
  • JVM执行引擎深入理解
  • Redis核心架构
  • Java学习第一百三十六部分——finally块执行时机