Siva-R-Git33/Malicious-IP-Intelligence-System
GitHub: Siva-R-Git33/Malicious-IP-Intelligence-System
基于 Python 的自动化威胁情报管道,从网络日志中提取 IP 并通过多平台 API 查询实现实时风险分类与可视化仪表板输出。
Stars: 0 | Forks: 0
# 恶意 IP 威胁情报系统
一个使用 Python 开发的、数据驱动的自动化网络安全威胁情报 pipeline,用于解析网络通信日志归档,通过编程方式查询全球威胁情报平台,利用多层分类逻辑矩阵评估安全风险,并生成实时事件响应遥测仪表板。
## 📋 目录
1. [项目概述](#-project-overview)
2. [核心功能](#-key-features)
3. [系统架构与工作流](#-system-architecture--workflow)
4. [前置条件](#-prerequisites)
5. [安装与配置](#-installation--configuration)
6. [威胁分类阈值](#-threat-classification-thresholds)
7. [输出遥测示例](#-sample-output-telemetry)
8. [事件响应与缓解策略](#-incident-response--mitigation-strategies)
9. [项目亮点与总结](#-project-highlights--conclusion)
## 🔍 项目概述
在现代安全运营中,网络环境每天都会产生包含数千个独立连接请求的海量非结构化日志。手动审计这些实体以确定哪些源 IP 构成可信威胁,给安全分析师造成了严重的瓶颈。
本项目填补了原始非结构化遥测数据与可执行情报之间的空白。通过集成对顶级网络防御库(**AbuseIPDB**、**VirusTotal** 和 **DB-IP**)的编程式 API 访问,该系统自动利用全球威胁情报源、厂商引擎指标和地理数据来丰富原始网络特征,从而实现快速的边界防护。
## 🚀 核心功能
* **内存高效的数据提取:** 逐行读取海量文件,利用正则表达式即时解析 IPv4 地址,且不会占用过多的内存开销。
* **算法去重:** 使用独特的数据结构自动消除冗余的日志字符串,减少目标处理噪声。
* **多平台情报富化:** 通过安全的 API 请求头进行认证,并发分发 HTTP 查询,以获取全球的、众包的以及多厂商引擎的指标。
* **主动威胁注入队列:** 采用切片采样优化执行 pipeline,同时集成验证地址(`185.220.101.5` 和 `45.143.203.2`)以测试引擎准确性。
* **高韧性架构:** 将各个 API 连接封装在健壮的异常处理程序中,确保网络超时阻碍或 payload 异常不会导致执行线程崩溃。
* **可视化遥测仪表板:** 直接在控制台窗口中生成清晰的文本摘要,以便快速验证。
## 🛠️ 系统架构与工作流
```
[ Raw Log Archives ] (logfiles.log)
│
▼
┌──────────────┐
│ Ingestion & │ ──► Regex Pattern Tracking (`\d{1,3}\.\d{1,3}...`)
│ Extraction │ ──► Mathematical Deduplication Layer via Set Arrays
└──────────────┘
│
▼
┌──────────────┐
│ Query Loop │ ──► Multi-threaded Outbound HTTP requests
│ Enriched API │ ──► Header Authentication (AbuseIPDB, VirusTotal, DB-IP)
└──────────────┘
│
▼
┌──────────────┐
│ Parsing & │ ──► Dynamic Threshold Classification Engine
│ Triaging │ ──► Risk-Scoring Evaluator (Safe / Suspicious / Malicious)
└──────────────┘
│
▼
[ Console Dashboard Metrics ] (Actionable Mitigation Telemetry)
```
标签:Python, 威胁情报, 安全运营, 开发者工具, 扫描框架, 无后门, 网络调试, 自动化, 逆向工具