paxvirs/ioc-scanner

# IOC 扫描器 一个基于 Python 的妥协指标 (IOC) 扫描器，旨在识别日志文件中的可疑 IP 地址和域名。该工具将日志数据与预定义的 IOC 列表进行比较，并在检测到潜在的恶意活动指标时生成警报。 ## 项目概述 妥协指标 (IOC) 是一些取证数据，可以指示潜在的安全事件或系统被入侵。安全运营中心 (SOC) 分析师和威胁追踪者使用 IOC 匹配来识别恶意活动、调查警报并支持事件响应工作。 开发此项目旨在加强对威胁检测、日志分析、威胁情报概念和 Python 自动化的实践技能。 ## 功能 * 扫描日志文件以查找妥协指标 (IOC) * 检测可疑的 IP 地址 * 检测可疑的域名 * 为识别到的指标生成警报 * 轻量级且易于自定义 * 支持基本的威胁情报工作流 * 演示基础 SOC 检测概念 ## 使用的技术 * Python * 威胁情报概念 * 日志分析 * 安全监控 * Git * GitHub ## 项目结构 ``` ioc-scanner/ │ ├── ioc_scanner.py ├── ioc_list.txt ├── sample_log.txt ├── README.md └── screenshots/ ``` ## 工作原理 1. 加载预定义的 IOC 列表。 2. 读取包含网络或系统活动的日志文件。 3. 将日志条目与已知指标进行比较。 4. 找到匹配项时生成警报。 5. 报告检测到的 IOC 总数。 ## IOC 列表示例 ``` 185.220.101.45 malicious-domain.com suspicious-site.net ``` ## 输出示例 ``` ================================================== IOC SCANNER ================================================== [ALERT] IOC Detected: 185.220.101.45 [ALERT] IOC Detected: malicious-domain.com ================================================== Total IOCs Detected: 2 ================================================== ``` ## 安全用例 * 威胁追踪 * 安全监控 * IOC 检测 * 日志分析 * 事件响应支持 * 威胁情报验证 ## 未来改进 * SHA256 哈希检测 * URL 检测 * CSV 报告 * 威胁严重性评分 * 外部威胁情报源集成 * 实时监控能力 ## 学习成果 通过这个项目，我获得了以下方面的实践经验： * 威胁情报基础知识 * 妥协指标 (IOC) 分析 * 检测逻辑开发 * Python 自动化 * 安全监控概念 * SOC 分析师工作流 ## 作者 Gideon Nwachukwu (Paxvirs)

标签：AMSI绕过, BurpSuite集成, CISA项目, IOC扫描, IP 地址批量处理, Python, 威胁情报, 威胁检测, 安全运营, 开发者工具, 扫描框架, 无后门, 逆向工具