xdrew87/iris

GitHub: xdrew87/iris

IRIS 是一个自动化威胁情报聚合、关联和告警平台，帮助红队和安全运营高效识别和响应威胁。

Stars: 0 | Forks: 0

# IRIS — 威胁情报关联与告警引擎 ![Python](https://img.shields.io/badge/Python-3.10%2B-blue?logo=python) ![License](https://img.shields.io/badge/License-MIT-green) ![Platform](https://img.shields.io/badge/Platform-Linux%20%7C%20Windows%20%7C%20macOS-lightgrey) ![Version](https://img.shields.io/badge/Version-1.0.0-orange) **IRIS** 是一个为红队和安全运营设计的自动化威胁情报聚合、关联和告警平台。它从8+个行业TI源获取数据，将指标与您的目标范围交叉参考，跨源关联发现结果，并生成可操作的告警。 ## 功能特性 - **多源聚合** — VirusTotal, Shodan, AbuseIPDB, URLhaus, abuse.ch, Phishtank, Tor出口节点, Censys - **关联引擎** — 检测跨源共享的ASN、注册人、基础设施；结果带有置信度评分 - **持续监控** — 后台监视目标；发现新结果时发出告警 - **历史数据库** — SQLite（默认）或 PostgreSQL；完整的指标历史记录和趋势分析 - **丰富的CLI** — 彩色输出、表格、进度条 - **多渠道告警** — 邮件、Slack、Discord、syslog - **网络仪表盘** — 可选浏览器界面，实时查看数据源状态、告警、关联可视化 - **灵活范围** — JSON/YAML范围文件，支持IP、CIDR、域名、哈希值 ## 安装说明 ``` git clone https://github.com/xdrew87/iris.git cd iris pip install -r requirements.txt ``` ## 快速入门 ``` # 初始化工作区（创建 config.yaml） python src/main.py init # 扫描单个指标 python src/main.py scan 1.2.3.4 python src/main.py scan malware.example.com python src/main.py scan d41d8cd98f00b204e9800998ecf8427e # 关联一个 scope 文件 python src/main.py correlate --scope scope.json # 持续监视目标 python src/main.py watch --scope scope.json # 生成报告 python src/main.py report --format json --output report.json # 启动网络仪表盘 python src/main.py dashboard --port 8080 ``` ## 配置复制 `config.yaml` 并填写您的API密钥 — 或将其设置为环境变量（推荐）： | 数据源 | 环境变量 | |-------------|------------------------------| | VirusTotal | `IRIS_VT_API_KEY` | | Shodan | `IRIS_SHODAN_API_KEY` | | AbuseIPDB | `IRIS_ABUSEIPDB_API_KEY` | | Censys | `IRIS_CENSYS_API_ID` + `IRIS_CENSYS_API_SECRET` | | Slack 告警 | `IRIS_SLACK_WEBHOOK` | | Discord | `IRIS_DISCORD_WEBHOOK` | URLhaus、abuse.ch、Phishtank 和 Tor 出口节点不需要API密钥。 ## 范围文件格式 ``` { "targets": [ {"type": "ip", "value": "1.2.3.4", "label": "C2 Server"}, {"type": "domain", "value": "evil.example.com"}, {"type": "hash", "value": "d41d8cd98f00b204e9800998ecf8427e", "label": "Malware Sample"} ] } ``` ## 输出示例 ``` ╔══════════════════════════════════════════════╗ ║ IRIS Threat Intelligence Report ║ ╚══════════════════════════════════════════════╝ Target: 1.2.3.4 ───────────────────────────────────────────── Feed Status Confidence Flags VirusTotal MALICIOUS 92% Malware C2 AbuseIPDB MALICIOUS 87% SSH Brute Force Shodan INFO — Port 22,80,443 Tor Exit FLAGGED 100% Known Exit Node Correlation: AbuseIPDB + VirusTotal = Same ASN AS12345 Overall Confidence: 89% — HIGH RISK ``` ## Docker ``` docker-compose up ``` ## 安全性请参阅 [SECURITY.md](SECURITY.md) 报告漏洞。 ## 许可证 MIT © 2026 xdrew87

标签：AMSI绕过, meg, PostgreSQL, Python, SQLite, Web仪表板, 二进制发布, 代码示例, 信息安全, 历史数据库, 多渠道警报, 多源情报, 威胁情报, 威胁检测, 安全运营, 开发者工具, 开源工具, 情报关联, 情报引擎, 情报聚合, 扫描框架, 持续监控, 数据分析, 数据展示, 无后门, 测试用例, 红队, 网络安全, 自动化平台, 警报系统, 请求拦截, 逆向工具, 隐私保护