CTI Feeds Aggregator

面向安全团队的开源网络威胁情报源聚合器

一个轻量级、零依赖的 Python 工具，可将**免费**的网络威胁情报 (CTI) 源聚合为标准化、可查询的格式。无需 API 密钥。 由 **[AIguard](https://aiguardai.com)** 背后的团队构建和维护 —— 这是一个 AI 驱动的安全即服务 (SECaaS) 平台。 ## 为什么？ 大多数安全团队都需要 IOC 源，但不希望： - 仅为基本的 IOC 获取而付费购买商业威胁情报平台 - 为每种源格式（CSV、JSON、纯文本）编写自定义解析器 - 维护去重和标准化逻辑 此工具解决了这三个问题。一条命令，6 个源，标准化输出。 ## 支持的源（全部免费，无需 API 密钥） | 源 | 提供商 | IOC 类型 | 更新频率 | |------|----------|-----------|-----------------| | [URLhaus](https://urlhaus.abuse.ch/) | abuse.ch | 恶意 URL | 每 5 分钟 | | [Feodo Tracker](https://feodotracker.abuse.ch/) | abuse.ch | C2 服务器 IP | 每 5 分钟 | | [MalwareBazaar](https://bazaar.abuse.ch/) | abuse.ch | 恶意软件哈希 (SHA256) | 实时 | | [ThreatFox](https://threatfox.abuse.ch/) | abuse.ch | IOC (混合) | 实时 | | [Emerging Threats](https://rules.emergingthreats.net/) | Proofpoint | 受损 IP | 每日 | | [Blocklist.de](https://www.blocklist.de/) | blocklist.de | 攻击 IP | 每小时 | ## 快速开始 ``` pip install cti-feeds-aggregator # Fetch 所有 feeds 并打印摘要 cti-feeds fetch --all # 导出为 JSON cti-feeds fetch --all --format json --output iocs.json # 导出为 CSV cti-feeds fetch --all --format csv --output iocs.csv # 仅 Fetch 指定 feed cti-feeds fetch --feed urlhaus --format json # 在所有 feeds 中检查指定 IOC cti-feeds check --ioc "185.220.101.34" cti-feeds check --ioc "https://malicious-domain.com/payload.exe" cti-feeds check --ioc "a1b2c3d4e5f6..." # SHA256 hash ``` ## Python API ``` from cti_feeds import CTIAggregator agg = CTIAggregator() # Fetch 所有 feeds iocs = agg.fetch_all() print(f"Total IOCs: {len(iocs)}") # 查询指定 IOC result = agg.check("185.220.101.34") if result.found: print(f"MALICIOUS: {result.source} — {result.threat_type}") # 按类型过滤 urls = agg.filter(ioc_type="url") ips = agg.filter(ioc_type="ip") hashes = agg.filter(ioc_type="hash") # 导出 agg.export("iocs.json", format="json") agg.export("iocs.csv", format="csv") ``` ## 标准化 IOC 格式 每个 IOC 都被标准化为一致的模式： ``` { "ioc_value": "185.220.101.34", "ioc_type": "ip", "threat_type": "c2_server", "source": "feodo_tracker", "confidence": 90, "first_seen": "2026-03-20T14:22:00Z", "last_seen": "2026-03-25T08:15:00Z", "tags": ["botnet", "heodo", "emotet"], "reference": "https://feodotracker.abuse.ch/browse/host/185.220.101.34/" } ``` ## 与 AIguard 集成 此工具为 [AIguard SECaaS 平台](https://aiguardai.com)的 CTI 层提供支持，该平台使用这些源作为其 18 层检测流水线（包含 15 个 AI 代理和 12 个 ML 传感器）的输入。如需具备自主响应能力的企业级威胁检测，请参阅 [aiguardai.com](https://aiguardai.com)。 ## 架构 ``` ┌──────────────────────────────────────────────┐ │ CTI Feeds Aggregator │ ├──────────────────────────────────────────────┤ │ │ │ ┌─────────┐ ┌─────────┐ ┌─────────────┐ │ │ │URLhaus │ │ Feodo │ │MalwareBazaar│ │ │ │ Parser │ │ Parser │ │ Parser │ │ │ └────┬────┘ └────┬────┘ └──────┬──────┘ │ │ │ │ │ │ │ ┌────┴────┐ ┌────┴────┐ ┌─────┴───────┐ │ │ │ThreatFox│ │ ET │ │ Blocklist.de│ │ │ │ Parser │ │ Parser │ │ Parser │ │ │ └────┬────┘ └────┬────┘ └──────┬──────┘ │ │ │ │ │ │ │ └────────────┼──────────────┘ │ │ ▼ │ │ ┌─────────────────┐ │ │ │ Normalizer │ │ │ │ (dedup + tag) │ │ │ └────────┬────────┘ │ │ ▼ │ │ ┌─────────────────┐ │ │ │ Exporter │ │ │ │ JSON/CSV/STIX │ │ │ └─────────────────┘ │ └──────────────────────────────────────────────┘ ``` ## 环境要求 - Python 3.10+ - 核心功能无外部依赖 - 可选：`requests` 用于 HTTP 获取（如未安装将回退至 `urllib`） ## 贡献 欢迎贡献！请参阅 [CONTRIBUTING.md](CONTRIBUTING.md) 了解指南。 以下领域需要帮助： - 额外的源解析器（MISP、OTX、VirusTotal 公共源） - STIX 2.1 导出格式 - 异步获取以实现更快的聚合 - 针对源解析中边缘情况的单元测试 ## 许可证 Apache License 2.0 — 详情请参阅 [LICENSE](LICENSE)。 ## 相关项目 - **[AIguard](https://aiguardai.com)** — AI 驱动的 SECaaS 平台，包含 15 个 AI 代理、12 个 ML 传感器和基于 RL 的防御 - [abuse.ch](https://abuse.ch) — 追踪恶意软件和僵尸网络的瑞士非营利组织 - [MISP Project](https://www.misp-project.org/) — 开源威胁情报平台

由位于巴塞罗那的 AIguard 团队用心制作

标签：AMSI绕过, C2服务器, DAST, Feodo Tracker, IOC聚合, IP 地址批量处理, MalwareBazaar, PB级数据处理, Python, SECaas, ThreatFox, URLhaus, 免费安全资源, 域名收集, 威胁情报, 威胁检测, 威胁源, 安全运维, 开发者工具, 开源安全工具, 异常检测, 恶意软件分析, 指标 comprommise, 文档结构分析, 无后门, 网络安全, 逆向工具, 逆向工程平台, 隐私保护, 零依赖