wessorh/signature-feeds
GitHub: wessorh/signature-feeds
每日自动更新的恶意软件特征订阅源,为 YARA、ClamAV 和 Zeek 提供带标签的多格式检测规则。
Stars: 1 | Forks: 0
# 特征订阅源
每日更新的 Holloman 指纹特征订阅源,适用于 YARA、ClamAV 和 Zeek。
由 Redis 上传 pipeline 生成 —— 每天 30–77K 个文件,88–100% 的文件被标记
包含家族标签和类别。
## 订阅源
| 订阅源 | 格式 | 用法 |
|------|--------|-------|
| `yara/feed-YYYYMMDD.yar` | YARA 规则 | `yara-g -r feed-20260630.yar target.exe` |
| `clamav/feed-YYYYMMDD.hlo` | ClamAV `.hlo` 特征 | `clamscan -d feed-20260630.hlo malware.exe` |
| `zeek/feed-YYYYMMDD.intel` | Zeek Intel 订阅源 | `redef Intel::read_files += {"feed-20260630.intel"};` |
## 文档
| 文档 | 仓库 | 描述 |
|----------|------------|-------------|
| [ClamAV 集成](https://github.com/wessorh/clamav-holloman3/blob/main/holloman-integration.pdf) | clamav-holloman3 | ClamAV 中的 Holloman 指纹检测:架构、基准测试(14.2 ms/文件)、测试套件结果 |
| [Zeek 集成](https://github.com/wessorh/clamav-holloman3/blob/main/holloman-integration.pdf) | clamav-holloman3 | ClamAV + Zeek 综合报告:C++ wrapper、OpaqueVal、Intel 框架 |
| [聚类分析](https://github.com/wessorh/yara-be/blob/main/report.tex) | yara-be | 相似度哈希比较:针对 5,000 个恶意软件样本比较 ssdeep、TLSH、SimHash、MinHash、Holloman 和 fpHash |
| [高级集成方案](https://github.com/wessorh/clamav-holloman3/blob/main/ADVANCED-PLAN.md) | clamav-holloman3 | CVD 打包、按订单分区、bytecode 运行时集成 |
| [ClamAV 基准测试](https://github.com/wessorh/clamav-holloman3/blob/main/BENCHMARK-REPORT.md) | clamav-holloman3 | 1,000 个 PE 文件基准测试:14.2 ms/文件,121.4 MB/s |
## 工具
| 工具 | 仓库 | 用途 |
|------|------------|---------|
| `yar2hlo.sh` | [工具](https://github.com/wessorh/tools) | 将 YARA 规则转换为 ClamAV `.hlo` 格式 |
## 仓库
| 仓库 | URL | 描述 |
|------|-----|-------------|
| signature-feeds | [github.com/wessorh/signature-feeds](https://github.com/wessorh/signature-feeds) | 每日特征订阅源 |
| clamav-holloman3 | [github.com/wessorh/clamav-holloman3](https://github.com/wessorh/clamav-holloman3) | ClamAV + Zeek 集成 |
标签:ClamAV, Cutter, Rootkit, Web 安全测试, YARA, Zeek, 云资产可视化, 威胁情报, 开发者工具, 搜索引擎查询, 特征规则