irisvn/waf-threat-database

# waf-threat-database 一个集中式威胁情报数据库，汇聚了来自多个权威来源的恶意 IP、域名和 C2 基础设施。专为 Web Application Firewall (WAF) 规则生成和威胁检测而设计。 ## 目的 本仓库提供从公开来源自动收集和汇聚威胁情报数据的功能，使安全团队能够为 WAF 配置和威胁检测系统维护最新的威胁源。 ## 数据来源 该数据库汇聚了来自以下来源的威胁情报： 1. **ThreatFox** - 恶意软件 C2 基础设施追踪 2. **Feodo Tracker** - 僵尸网络 C2 和恶意软件追踪 3. **Spamhaus DROP** - 被劫持的 IP 范围和恶意软件来源 4. **ipsum** - 威胁情报汇聚平台 5. **C2-Tracker** - 命令控制服务器追踪 6. **JA4DB** - 用于恶意流量的 TLS 指纹数据库 ## 输出格式 数据以两种格式导出： - **JSON** (`data/*.json`) - 包含元数据、时间戳和来源归属的结构化格式 - **纯文本** (`data/*.txt`) - 简单的换行符分隔格式，用于直接导入 WAF 规则 ## 更新频率 威胁数据在 **UTC 时间每天凌晨 2:00** 自动获取并汇聚。 ## 目录结构 ``` waf-threat-database/ ├── scripts/ # Python fetch and aggregation scripts ├── data/ # Output files (JSON and plain text) ├── tests/ # Unit and integration tests ├── .github/workflows/ # GitHub Actions CI/CD pipelines ├── requirements.txt # Python dependencies ├── README.md # This file └── .gitignore # Git ignore rules ``` ## 如何使用 ### 直接下载 从 `data/` 目录下载最新的威胁数据文件： - `data/ip_reputation.json` - 结构化 IP 信誉数据 - `data/ip_blocklist.txt` - 纯文本 IP 黑名单 - `data/ja4_fingerprints.json` - JA4 TLS 指纹数据库 - `data/stats.json` - 汇聚统计信息和元数据 ### 集成 将 JSON 文件导入您的 WAF 配置系统，或使用纯文本文件直接生成规则。 ### 程序化访问 克隆本仓库并使用汇聚脚本获取最新数据： ``` pip install -r requirements.txt python scripts/aggregate.py ``` ## 贡献 欢迎贡献。请确保所有更改包含适当的测试和文档。 ## 许可证 本项目基于 MIT 许可证授权。

标签：AppImage, Botnet检测, C2服务器追踪, ESC4, Feodo Tracker, GitHub Actions, Homebrew安装, IP信誉库, IP 地址批量处理, IP黑名单, JA4指纹, OSINT, Python, Radare2, Spamhaus, ThreatFox, TLS指纹, WAF规则生成, Web应用防火墙, 僵尸网络, 域名黑名单, 威胁情报, 密码管理, 封禁列表, 开发者工具, 恶意IP数据库, 攻击防御, 数据聚合, 无后门, 网络安全, 自动笔记, 逆向工具, 配置审计, 隐私保护