TI Mindmap HUB：用AI将网络威胁情报转化为可视化可操作的智能

精选推荐

介绍 TI Mindmap HUB：一个由人工智能驱动的威胁情报开放研究平台

将非结构化的网络威胁报告转化为结构化、可视化、可操作的情报。

威胁情报的失败并非因为数据匮乏，而是因为将报告转化为可操作情报的过程难以规模化。

每周，分析师们都要手动阅读数十份威胁报告，提取入侵指标(IOC)，将攻击行为映射到框架中，并手动重建本应是机器可读的上下文。大部分的分析价值就在PDF文件和检测规则之间的某个环节丢失了。

TI Mindmap HUB 是一个开放的、研究驱动的平台，旨在弥合这一差距。它应用人工智能技术，将原始的开源网络威胁情报(OSINT)报告转化为可视化的威胁模型、结构化的 STIX 2.1 情报以及可重用的输出，可直接用于真实的安全工作流程，整个过程没有黑箱，且不牺牲分析的严谨性。

问题所在：从报告到行动的规模化困境

典型的威胁情报工作流程通常如下所示：

• 每周手动阅读大量长篇报告
• 入侵指标(IOC)分散在 PDF、博客和安全公告中
• 手动映射到 MITRE ATT&CK 框架
• 跨来源的碎片化关联
• 高认知负荷和有限的重用性

这个过程缓慢、容易出错，并且难以规模化。即使引入了自动化，也常常依赖于不透明的模型或浅层的信息提取，剥离了关键的上下文分析信息。

结果就形成了一个悖论：产生的威胁情报越多，但能投入实际运营的却越少。

TI Mindmap HUB 是什么

TI Mindmap HUB 不是一个商业威胁情报平台。它不是一个黑箱AI系统。

它是一个独立的研究平台，探索在保持透明度、可解释性和结构化输出的前提下，人工智能如何增强人类威胁情报分析。

其目标很直接：减少从阅读情报到使用情报之间的摩擦。

从报告到行动：单一化的分析流程

可视化威胁理解

每份被分析的报告都会被转化为一个交互式思维导图，将威胁行为者、攻击活动、恶意软件、TTPs、IOCs 和受影响行业部门表示为一张关联的网络图。

这使得分析师能够直观地分析元素间的关系，而无需翻阅长篇累牍的文本，同时不损失分析的深度。

符合 STIX 2.1 的结构化情报

每次分析都会生成一个完全符合规范的 STIX 2.1 数据包。

该平台能够生成：

• 威胁行为者、攻击活动、恶意软件、工具和攻击模式对象
• 包含标准化 IOC 的指标对象
• 保留分析上下文的关系对象

这不是简单的元数据提取。该系统构建的是语义关系图，能够真实反映真实网络攻击活动中各元素如何相互作用。

带有上下文的 IOC 和 CVE 提取

TI Mindmap HUB 自动提取并标准化以下信息：

• IP地址、域名和URL
• 文件哈希值
• 电子邮件地址
• CVE标识符
• MITRE ATT&CK 技术ID

一个白名单系统可以减少来自公共基础设施和良性服务的干扰。指标(IOC)的存储附带归因信息和上下文，而非孤立的字符串。

分析师可以搜索累积的数据集，以了解某个特定的 IOC 或 CVE 在多个报告中出现的场景、方式和攻击者。

MITRE ATT&CK 映射

每份报告都会根据行为描述（而非关键词匹配）被映射到 MITRE ATT&CK 的战术和技术层面。这种映射同时服务于可视化思维导图和 STIX 数据包的生成，使其能直接与检测工程和威胁狩猎工作流程对齐。

每周多智能体威胁简报

一个基于 Autogen 的多智能体AI架构每周处理50-60份威胁报告，并生成一份结构化的简报，重点突出：

• 新兴威胁行为者和攻击活动
• 值得注意的恶意软件发展
• 被积极利用的漏洞
• 特定行业的攻击目标趋势
• 高优先级 IOC

用于工作流集成的 MCP 服务器

TI Mindmap HUB 通过一个模型上下文协议(MCP)服务器 开放其情报能力。这使得诸如 VS Code、Claude Desktop 和 Microsoft Copilot Studio 等工具中的AI助手可以直接查询该平台。

例如：

• "上次网络威胁报告中讨论的威胁行为者关联了哪些IOC和CVE？"

响应是结构化的、带有上下文的，并且立即可用，无需离开分析师的工作环境。

研究至上的理念

TI Mindmap HUB 是一个独立的研究项目。它与任何供应商、组织或雇主无关。

其设计遵循几个不可妥协的原则：

• 透明度： 分析决策必须是可解释的。
• 结构化输出： 情报必须能够在用户界面之外被重用。
• 人机协同： AI支持分析，但不取代判断。
• 开放研究： 方法、发现和局限性将公开分享。

该项目已受益于早期的学术合作，并旨在支持对AI辅助威胁情报工作流程的进一步研究。

当前状态

该平台已投入运行并正在积极处理威胁情报。目前的能力包括：

• 自动化威胁报告分析
• 交互式思维导图生成
• STIX 2.1 数据包创建和可视化
• IOC 和 CVE 提取与搜索
• MITRE ATT&CK 映射
• 基于多智能体系统的每周威胁简报生成
• 用于AI助手集成的 MCP 服务器

未来的工作重点将放在扩大开源威胁情报(OSINT)覆盖范围、加强跨报告关联分析，以及利用大型语言模型(LLM)辅助构建知识图谱以实现长期威胁分析。

参与其中

如果您从事威胁情报、检测工程或安全研究工作，可以通过以下几种方式参与：

• 探索该平台并处理您自己的报告
• 关注此Medium发布以获取每周威胁简报
• 在GitHub上查看研究方法论和实现细节
• 联系以寻求学术或独立研究合作

展望未来

威胁情报正处于一个转折点。AI的能力已经足够成熟，可以有效地支持分析工作，但前提是应用过程必须严谨、透明，并接受社区的检验。

TI Mindmap HUB 正是朝着这个方向的一次实验性尝试。一个研究驱动的尝试，旨在让威胁情报变得更加结构化、易用且可操作。

TI Mindmap HUB 是一个独立的研究项目。它与任何雇主、供应商或组织没有关联、背书或联系。此处呈现的所有观点和工作仅代表作者个人研究身份。FINISHED

CSD0tFqvECLokhw9aBeRqr+TaYnmUw2TWGqYXbv9gJ/L/sMbrngGYjPYB9qjzD9xO6APaYPemGUFJnENXxcQIa1UtYeQCz0F5iU8mu4/DccsR0Fs5b/8A1XeqogM3lOsfw/3QGILd86C78tBslzBWUu0Gf6eF2w2AysgJZUNlHB2bAVxgd+G3OMngp3Bf9Mb