51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

ARTIF:一种先进的实时威胁智能识别框架

作者:Alpha_h4ck
安全 数据安全
ARTIF是一个新型的高级实时威胁智能框架,它基于MISP并添加了另一个抽象层,以实现根据IP地址和历史数据识别恶意Web流量。

[[423011]]

关于ARTIF

ARTIF是一个新型的高级实时威胁智能框架,它基于MISP并添加了另一个抽象层,以实现根据IP地址和历史数据识别恶意Web流量。除此之外,该工具还可以通过收集、处理和关联基于不同因素的观测值来执行自动分析和威胁评分。

功能介绍

  • 评分系统:使用威胁元数据丰富IP地址信息,其中包括了威胁评分,这个评分可以作为安全团队采取行动的阈值。
  • 容器化:该工具使用容器进行部署,因此易于部署。
  • 模块化体系结构:该项目基于插件,只需修改MISP中的威胁源即可轻松扩展,而且可以在线实时更新,不会导致实际服务停止运行。
  • 警报:扩展功能与Slack无缝集成,可实现主动警报。
  • 更好的攻击分析和可视化效果。

使用场景

  • 威胁检测
  • 日志和监控
  • 用户配置文件
  • 警报自动化

工具要求

首先,我们需要安装好MISP,这里可以直接使用源码安装,或使用预构建的AWS镜像。

安装完成之后,我们需要订阅maxmind以便为IP填充元数据,这里需要编辑docker-compose.yaml并添加子键:

  1. maxmind: 
  2.  
  3.     image: maxmindinc/geoipupdate 
  4.  
  5.     environment: 
  6.  
  7.       GEOIPUPDATE_ACCOUNT_ID: xxxxx 
  8.  
  9.       GEOIPUPDATE_LICENSE_KEY: xxxxxxxxxxxxxx 

工具安装

首先,我们需要使用下列命令将该项目源码克隆至本地:

  1. git clone https://github.com/CRED-CLUB/ARTIF/ 

然后将工作目录切换至ARTIF根目录,构建Docker,并开启Docker容器:

  1. sudo docker-compose build 
  2.  
  3. sudo docker-compose up 

安装MISP,访问MISP仪表盘并获取MISP密钥。然后编辑config.yaml文件,添加MISP_KEY和MISP_URL的值。这里的MISP_KEY就是你的MISP密钥,MISP_URL即托管MISP的URL地址。

下面给出的是config.yaml样例,可以直接将其替换成你对应的值:

  1. credentials: 
  2.  
  3.         MISP_URL: "https://127.0.0.1" 
  4.  
  5.         MISP_KEY: "qwertyuiopasdfghjk" 

现在,以完整绝对路径加“-s”参数运行下列命令:

  1. python3 /home/user/ARTIF/ip_rep/feed_ingestor/update_check.py -s 

再运行一次,这次不加“-s”参数:

  1. python3 /home/user/ARTIF/ip_rep/feed_ingestor/update_check.py 

接下来,使用Django的内置支持添加crontab:

  1. python3 manage.py crontab add 

从ip_rep目录下启动Django服务器:

  1. python3 manage.py runserver 

此时将打开端口8000,该端口用于从IP地址获取元数据:

  1. curl 127.0.0.1:8000/ip/?ip=x.x.x.x 

输出结果类似如下:

  1. {"is_IoC": false, "is_Active": false, "metadata": {"asn": "AS165**", "country": "XXX", "org": "XXX"}, "score": 80.14671726301682, "description": "XXX", "blacklists": "", "type": "", "historical":false, verdict": "No action needed"} 

工具使用演示

设置并启动Docker容器:

开启ARTIF:

工具使用样例

我们需要使用update_check.py来调用ARTIF:

  1. ubuntu@localhost:~/ARTIF/ip_rep/feed_ingestor$ python3 /home/user/ARTIF/ip_rep/feed_ingestor/update_check.py -h 
  2.  
  3. usage: update_check.py [-h] [-s [S]] -k [KEY] -m MISP 
  4.  
  5.   
  6.  
  7. IP reputation program 
  8.  
  9.   
  10.  
  11. optional arguments: 
  12.  
  13.   -h, --help            show this help message and exit 
  14.  
  15.   -s [S]                Required only for the first run 

我们也可以通过运行下列命令来查看cron任务:

  1. python3 manage.py crontab show 

默认配置下,每24小时工具都会检测一次MISP并获取最新的feed。

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

ARTIF:【GitHub传送门

 

 

责任编辑:赵宁宁 来源: FreeBuf
ARTIF威胁智能框架安全工具
相关推荐
一种基于数据中台实时欺诈行为识别架构
本文介绍了一种基于图特征和标签特征的欺诈行为实时识别架构,综合了实时计算、知识图谱、客户标签、机器学习建模、决策引擎等AI技术,实现了企业数据中台组件的组合应用,作为实际业务应用和框架应用都有一定的意义。

2020-11-12 18:48:54

安全电商数据中台
RansomWeb:一种新兴web安全威胁
目前越来越多的人成为勒索软件的受害者,恶意软件会加密你的计算机直到你愿意交保护费,最新的趋势发现,网站已经成为犯罪分子的攻击目标,犯罪软件会加密你的数据库直到你付钱。

2015-02-04 14:18:06

一种简单而智能方法:Python也能进行面部识别
本文将介绍图像处理中的一些重要概念,除了具体解释每个步骤之外,还将提供一个在Python中使用Cv2和DLib库轻松进行人脸识别的项目。

2020-07-30 13:00:00

Python面部识别智能
一种可高度规避检测威胁:HEAT
HEAT(HighlyEvasiveAdaptiveThreat)是一种具备高度规避性的自适应新威胁,它使用多种技术,专门规避当前安全架构中多层机制的检测。

2022-04-06 12:00:46

HEAT安全架构新威胁
糟糕UX设计也是一种安全威胁
出色的UX设计更加不容易被钓鱼攻击所利用。下面我们从几个方面来探讨UX与安全性的关系,以及UX如何影响产品的安全性。

2020-05-06 11:29:29

UX设计钓鱼攻击用户体验
哈希传递攻击仍然是一种威胁
哈希传递是一种非常古老的技术,它在大多数勒索软件攻击中被大量使用,比如在马斯特里赫特大学(UniversityofMaastricht)。但为什么这仍然是个问题呢

2020-04-26 09:17:08

哈希传递身份验证攻击
一种基于Struts框架RBAC实现
本文通过对访问控制理论的研究以及对其实现技术的分析,提出了一种基于Struts框架的RBAC实现方案。该方案在权限审查时具有相对较少的数据库访问次数,并且实现了权限审查的集中管理,降低了系统访问控制的复杂度,提高了系统的可维护性。

2009-06-03 15:38:37

Struts框架RBAC
二维码:一种隐秘安全威胁
去年就有研究人员发现了一种新的网络钓鱼活动,该活动利用二维码将受害者重定向到网络钓鱼登陆页面,有效规避了旨在阻止此类攻击的安全解决方案和控制措施。

2020-10-10 11:34:47

安全威胁
一种基于Golang僵尸网络正在成为新威胁
当前,僵尸网络Kraken已经具有持久化数据、下载文件、运行shell命令和从不同的加密货币钱包中窃取数据等功能。

2022-02-20 09:46:17

僵尸网络加密货币网络安全
CloudOps: 一种优化云上运维框架
随着企业越来越多地将应用程序开发和工作负载转移到云上,以及这些云上支出变得越来越复杂,一个与此相关的概念CloudOps(即“云运维”)出现了。

2022-05-27 17:38:22

CloudOps云运维
使用Python下载11姿势,一种一种高级
在本教程中,你将学习如何使用不同的Python模块从web下载文件。此外,你将下载常规文件、web页面、AmazonS3和其他资源。

2020-12-09 10:15:34

Pythonweb代码
如何防止一种切实而严重威胁:勒索软件攻击?
首起勒索软件攻击出现在约30年前。虽然结合创造性的人类思维和新技术有助于拿出有效的解决方案,以对付世界上最严重的网络攻击之一,但勒索软件仍然是严重影响个人和企业的威胁。

2021-12-29 08:00:00

勒索软件安全漏洞
实时数据推送并非只有WebSocket一种选择
默认是“message”事件,因为它可以捕获没有event字段的事件,以及具有特定类型event:message的事件。它不会触发任何其他类型的事件。

2023-09-27 08:01:14

数据推送事件
如何利用人工智能驱动实时威胁情报应对网络威胁
对于许多企业的安全运营中心团队来说,防御网络攻击在很大程度上是被动的措施,因为他们面临着日益复杂的威胁和不断扩大的攻击面,这些威胁来自远程工作和大量云计算应用程序,这些应用程序为未经授权的用户提供了无数的系统访问点。

2021-09-24 09:42:48

人工智能网络威胁威胁情报
表单抓取类恶意软件,一种在线安全无声威胁
表单抓取(FormGrabbing)类恶意软件每天都在悄无声息地感染着数千台计算机。本文将和您讨论其工作原理和必要的防范措施。

2022-12-26 08:00:00

使用Python下载11姿势,一种一种高级
在本教程中,你将学习如何使用不同的Python模块从web下载文件。此外,你将下载常规文件、web页面、AmazonS3和其他资源。

2020-12-23 10:10:23

Pythonweb代码
使用 Python 下载11姿势,一种一种高级
在本教程中,你将学习如何使用不同的Python模块从web下载文件。此外,你将下载常规文件、web页面、AmazonS3和其他资源。

2022-07-07 10:33:27

Python姿势代码
使用Python下载11姿势,一种一种高级
在本教程中,你将学习如何使用不同的Python模块从web下载文件。此外,你将下载常规文件、web页面、AmazonS3和其他资源。

2022-06-22 09:44:41

Python文件代码
Linux下4实时监控日志文件方法,总有一种适合你
在Linux下如何才能实时查看日志内容呢有很多工具可以帮助我们在文件持续修改的同时输出文件内容,最常用的莫过于tail命令了。

2019-11-13 08:52:19

Linux监控日志
人工智能一种“全新生产要素”
人工智能正缔造一种新的“虚拟劳动力”,提高人类智慧的生产率并推动新的创新。另外,与其他生产要素不同,人工智能不会随着时间的流逝而贬值。它将受益于网络和规模效应。例如所有自动驾驶汽车都能从其他此类汽车身上学习。

2017-03-22 11:48:40

人工智能算法
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服