cybertek605/cybertek-threat-intel
GitHub: cybertek605/cybertek-threat-intel
每日自动聚合多个权威威胁情报源的黑名单,提供多源交叉验证评分系统,开箱即用。
Stars: 0 | Forks: 0
# cybertek-threat-intel
由 [cybertek605](https://github.com/cybertek605) 维护的公共威胁情报黑名单自动化每日聚合。
列表通过 GitHub Actions 每日于 **02:00 UTC** 更新,并由 Cybertek Syncro 网络流量监控器使用。
## 输出文件
| 文件 | 类型 | 描述 |
|---|---|---|
| `lists/ip_blocklist.txt` | IPv4 地址 | 来自所有来源的唯一 IP(扁平列表) |
| `lists/ip_scores.txt` | 评分 IPv4 地址 | `scoreip` — 分数 = 包含该 IP 的来源源数量 |
| `lists/cidr_blocklist.txt` | CIDR 范围 | Spamhaus DROP + EDROP |
| `lists/domain_blocklist.txt` | 主机名 | URLhaus 恶意软件分发域名 |
| `lists/metadata.json` | 统计 | 来源计数、最后更新时间戳、最高分数 |
## 评分系统
每个 IP 来源为 IP 的分数贡献 **1 分**。在多个独立源中出现的 IP 具有更高的分数,表明跨源对恶意性的共识更广。
```
score 1 → single source flagged → Warning alert in Syncro
score 2+ → multiple sources agree → Critical alert in Syncro
```
`ip_scores.txt` 按分数降序排列,因此置信度最高的 IP 排在最前面。
## 来源
### IP 来源(贡献评分)
| 来源 | 源 | 分数权重 |
|---|---|---|
| [Feodo Tracker](https://feodotracker.abuse.ch/) | 僵尸网络 C2 服务器(Emotet, TrickBot, QakBot, Dridex) | 1 分 |
| [Emerging Threats](https://rules.emergingthreats.net/) | 广泛受损/恶意的 IP | 1 分 |
| [CINS Army](http://cinsscore.com/) | 活跃威胁行为者、扫描器、暴力破解来源 | 1 分 |
| [Binary Defense](https://www.binarydefense.com/) | Artillery 威胁情报源 | 1 分 |
| [Greensnow](https://blocklist.greensnow.co/) | 一般攻击/扫描器 IP | 1 分 |
| [Tor Exit Nodes](https://check.torproject.org/) | 所有当前 Tor 出口节点 | 1 分 |
| [Abuse.ch SSLBL](https://sslbl.abuse.ch/) | 具有恶意 SSL 证书/C2 流量的 IP | 1 分 |
| [ThreatFox](https://threatfox.abuse.ch/) | 来自 abuse.ch 数据库的最新 IOC | 1 分 |
| [IPsum](https://github.com/stamparm/ipsum) | 元聚合器(约 30 个源);当 IPsum 分数 >= 3 时包含 | 1 分 |
### CIDR 来源
| 来源 | 源 |
|---|---|
| [Spamhaus DROP](https://www.spamhaus.org/drop/) | 由专业犯罪团伙运营的 IP 范围 |
| [Spamhaus EDROP](https://www.spamhaus.org/drop/) | 扩展 DROP — 被劫持的网络块 |
### 域名来源
| 来源 | 源 |
|---|---|
| [URLhaus](https://urlhaus.abuse.ch/) | 恶意软件分发域名 |
## 原始 URL
```
https://raw.githubusercontent.com/cybertek605/cybertek-threat-intel/main/lists/ip_blocklist.txt
https://raw.githubusercontent.com/cybertek605/cybertek-threat-intel/main/lists/ip_scores.txt
https://raw.githubusercontent.com/cybertek605/cybertek-threat-intel/main/lists/cidr_blocklist.txt
https://raw.githubusercontent.com/cybertek605/cybertek-threat-intel/main/lists/domain_blocklist.txt
https://raw.githubusercontent.com/cybertek605/cybertek-threat-intel/main/lists/metadata.json
```
## 注意事项
- **Spamhaus DROP/EDROP** 供非商业用途免费使用。商业环境请参阅 [Spamhaus 使用条款](https://www.spamhaus.org/organization/dnsblusage/)。
- **IPsum** 是社区维护的元聚合器。将其作为九个来源之一可防止其主导评分,同时仍能从其广度中受益。
- 任何 IP 的最高可能分数为 **9**(出现在所有九个 IP 来源源中)。
标签:C2服务器, Feodo Tracker, GitHub Actions, Homebrew安装, IP黑名单, Libemu, Spamhaus, Tor出口节点, URLhaus, 僵尸网络, 域名黑名单, 威胁情报, 安全运营, 开发者工具, 恶意软件, 情报聚合, 扫描框架, 每日更新, 网络安全, 网络调试, 自动化, 自动笔记, 防火墙规则, 隐私保护