wessorh/signature-feeds

GitHub: wessorh/signature-feeds

每日自动更新的恶意软件特征订阅源,为 YARA、ClamAV 和 Zeek 提供带标签的多格式检测规则。

Stars: 1 | Forks: 0

# 特征订阅源 每日更新的 Holloman 指纹特征订阅源,适用于 YARA、ClamAV 和 Zeek。 由 Redis 上传 pipeline 生成 —— 每天 30–77K 个文件,88–100% 的文件被标记 包含家族标签和类别。 ## 订阅源 | 订阅源 | 格式 | 用法 | |------|--------|-------| | `yara/feed-YYYYMMDD.yar` | YARA 规则 | `yara-g -r feed-20260630.yar target.exe` | | `clamav/feed-YYYYMMDD.hlo` | ClamAV `.hlo` 特征 | `clamscan -d feed-20260630.hlo malware.exe` | | `zeek/feed-YYYYMMDD.intel` | Zeek Intel 订阅源 | `redef Intel::read_files += {"feed-20260630.intel"};` | ## 文档 | 文档 | 仓库 | 描述 | |----------|------------|-------------| | [ClamAV 集成](https://github.com/wessorh/clamav-holloman3/blob/main/holloman-integration.pdf) | clamav-holloman3 | ClamAV 中的 Holloman 指纹检测:架构、基准测试(14.2 ms/文件)、测试套件结果 | | [Zeek 集成](https://github.com/wessorh/clamav-holloman3/blob/main/holloman-integration.pdf) | clamav-holloman3 | ClamAV + Zeek 综合报告:C++ wrapper、OpaqueVal、Intel 框架 | | [聚类分析](https://github.com/wessorh/yara-be/blob/main/report.tex) | yara-be | 相似度哈希比较:针对 5,000 个恶意软件样本比较 ssdeep、TLSH、SimHash、MinHash、Holloman 和 fpHash | | [高级集成方案](https://github.com/wessorh/clamav-holloman3/blob/main/ADVANCED-PLAN.md) | clamav-holloman3 | CVD 打包、按订单分区、bytecode 运行时集成 | | [ClamAV 基准测试](https://github.com/wessorh/clamav-holloman3/blob/main/BENCHMARK-REPORT.md) | clamav-holloman3 | 1,000 个 PE 文件基准测试:14.2 ms/文件,121.4 MB/s | ## 工具 | 工具 | 仓库 | 用途 | |------|------------|---------| | `yar2hlo.sh` | [工具](https://github.com/wessorh/tools) | 将 YARA 规则转换为 ClamAV `.hlo` 格式 | ## 仓库 | 仓库 | URL | 描述 | |------|-----|-------------| | signature-feeds | [github.com/wessorh/signature-feeds](https://github.com/wessorh/signature-feeds) | 每日特征订阅源 | | clamav-holloman3 | [github.com/wessorh/clamav-holloman3](https://github.com/wessorh/clamav-holloman3) | ClamAV + Zeek 集成 |
标签:ClamAV, Cutter, Rootkit, Web 安全测试, YARA, Zeek, 云资产可视化, 威胁情报, 开发者工具, 搜索引擎查询, 特征规则