barb-andrew/threat-intel-enricher

# 威胁情报增强器 一款简洁、实用的 Python CLI 工具，用于自动化威胁情报增强，支持本地持久化和自定义标签。 ## 项目概述 我开发了一款 Python CLI 工具，它接收 IP 地址，通过公共 API（AbuseIPDB + ip-api.com）对其进行情报增强，并将结果本地存储在 SQLite 中。该工具支持自定义标签、强制刷新数据、查询/过滤、从文件进行批处理，以及将结果导出为 JSON 或 CSV。 其目标是减少手动研究时间，同时为指标构建持久化、可查询的档案——这类似于专业的威胁情报平台在 IP 发生轮换时仍保留其上下文信息的方式。此类工作与 Digital Envoy / Digital Element 所开展的 IP 情报、代理/VPN 检测以及历史追踪等业务高度契合。 ## 功能 - 利用地理位置、ASN/ISP、滥用评分和使用者类型对单个 IP 进行增强 - 自定义标签系统（例如“住宅代理”、“已知 VPN”、“可疑”） - 带有缓存的本地 SQLite 数据库 - 使用 `--force` 标志绕过缓存并重新查询 API - 按 IP 或标签进行查询和过滤 - 从文本文件进行批处理 - 导出为 JSON 或 CSV - 使用 Rich 实现简洁、带颜色的终端输出 ## 安装说明 ``` git clone cd threat-intel-enricher python -m venv .venv .venv\Scripts\activate # Windows # source .venv/bin/activate # Mac/Linux pip install -r requirements.txt ```

标签：IP地理位置, Python, 威胁情报, 威胁情报扩充, 实时处理, 开发者工具, 数据查询与导出, 无后门, 逆向工具