可以免费下载的IDS(入侵检测系统)规则集,除了Snort官方规则集和Emerging Threats之外,还有一些其他资源,具体如下:
- Spamhaus DROP/EDROP 列表
Spamhaus 提供了一些关于已知恶意 IP 地址和网络的列表,可以与IDS结合使用,检测和阻止来自这些地址的流量。
网站:https://www.spamhaus.org/drop/ - Malware Traffic Analysis
这是一个专门提供恶意软件流量样本和分析的站点,可以从中下载特定恶意软件流量的规则集,用于研究和检测。
网站:https://www.malware-traffic-analysis.net/ - Abuse.ch
Abuse.ch 提供与恶意软件、僵尸网络和金融恶意软件相关的规则集,包括关于僵尸网络控制服务器、恶意软件下载URL和恶意IP地址的规则。
网站:https://abuse.ch/ - ET Pro (Emerging Threats Pro) 免费版
虽然ET Pro是付费版,但有些规则可以以延迟发布的方式免费提供。它是Emerging Threats的加强版,涵盖更多高精度的威胁检测。
网站:https://rules.emergingthreats.net/ - CINS Army List
CINs 提供了一个已知恶意IP的规则集,主要用于帮助检测来自这些IP的潜在恶意流量。
网站:https://www.cinsscore.com/ - AlienVault OTX (Open Threat Exchange)
OTX是一个基于社区的威胁情报平台,用户可以分享威胁情报并生成相关的IDS规则。你可以从社区中下载一些免费的规则集。
网站:https://otx.alienvault.com/ - YARA 规则
YARA 主要用于恶意软件检测,但它的规则可以转换成IDS规则,以便在Snort或Suricata中使用。
网站:https://virustotal.github.io/yara/ - SSL Blacklist (SSLBL)这个项目专注于列出与恶意软件相关的恶意SSL证书,IDS可以使用这些证书来检测恶意的HTTPS流量。网站:https://sslbl.abuse.ch/
- Feodo Tracker
由Abuse.ch维护,专门追踪与Feodo僵尸网络相关的恶意IP地址。这些规则可帮助检测与该僵尸网络相关的恶意流量。
网站:https://feodotracker.abuse.ch/ - Zeus Tracker
专注于追踪Zeus(Zbot)恶意软件的服务器,提供的规则集可以帮助阻止来自这些服务器的连接。
网站:https://zeustracker.abuse.ch/ - Bruteforce Blocker
这个规则集用于检测和阻止针对SSH等服务的暴力破解攻击,它会基于频繁的失败登录尝试生成规则。
网站:https://danger.rulez.sk/index.php/bruteforceblocker/ - Talos Intelligence
Talos 是Cisco的安全情报团队,提供大量与恶意软件、网络威胁相关的检测规则,可以免费获取部分开放规则。
网站:https://www.talosintelligence.com/ - BlockList.de
这个站点提供与恶意活动(如暴力破解、垃圾邮件、DDoS等)相关的IP地址列表,可用于生成IDS规则。
网站:https://www.blocklist.de/ - Tor Exit Node Lists
提供Tor网络出口节点的列表,这些节点可能会被用于匿名恶意活动,IDS规则可以检测来自这些节点的连接。
网站:https://check.torproject.org/exit-addresses - FireHOL IP Lists
FireHOL 提供多个恶意IP的汇总列表,这些IP可能涉及各种恶意活动,规则可用于识别与这些IP的交互。
网站:https://iplists.firehol.org/ - Ransomware Tracker
由Abuse.ch维护,专注于追踪与勒索软件相关的IP、域名和URL。
网站:https://ransomwaretracker.abuse.ch/ - CI Army
这是一个基于社区贡献的恶意IP地址黑名单,规则集可用于检测和阻止与这些恶意IP的连接。
网站:https://www.cinsscore.com/list/ci-badguys.txt - URLHaus
同样由Abuse.ch维护,提供与恶意软件相关的恶意URL列表,IDS规则可用于阻止访问这些URL。
网站:https://urlhaus.abuse.ch/ - CyberCrime Tracker
提供与僵尸网络和金融恶意软件(如Zeus、Citadel、Pony等)相关的规则,帮助识别相关恶意活动。
网站:https://cybercrime-tracker.net/ - NoThinkMalware这个项目提供一些与恶意IP、域名和恶意软件相关的规则集,可用于增强现有的IDS规则库。网站:http://www.nothink.org/
- ThreatMiner
ThreatMiner 提供恶意软件、APT攻击、域名和IP的威胁情报,可以用于创建IDS规则,检测相关的恶意活动。
网站:https://www.threatminer.org/ - IPVoid
IPVoid 提供与恶意IP地址相关的规则集,涵盖了恶意软件传播、垃圾邮件和僵尸网络等威胁。
网站:https://www.ipvoid.com/ - PhishTank
专门用于钓鱼网站的数据库,PhishTank提供与钓鱼相关的URL和IP地址,可以用于创建Snort或Suricata的规则来阻止这些攻击。
网站:https://www.phishtank.com/ - Project Honeypot
这是一个追踪垃圾邮件发送者和恶意爬虫的项目,提供与这些恶意活动相关的IP地址和域名。
网站:https://www.projecthoneypot.org/ - DShield Block List
由SANS Internet Storm Center管理,提供一个公共的恶意IP黑名单,IDS可以使用这些IP来阻止已知的威胁来源。
网站:https://www.dshield.org/ - OpenPhish
OpenPhish是一个提供自动化钓鱼网站检测的服务,提供的URL列表可以用于创建规则集,检测钓鱼攻击。
网站:https://openphish.com/ - Cyber Threat Coalition (CTC)
CTC 提供了一个社区驱动的黑名单,专注于追踪恶意IP和域名,特别是与勒索软件和网络钓鱼相关的威胁。
网站:https://www.cyberthreatcoalition.org/ - Bad IPs
这是一个聚合多个来源的恶意IP数据库,可以用于生成IDS规则来阻止这些IP地址的恶意流量。
网站:https://www.badips.com/ - ThreatCrowd
ThreatCrowd 是一个威胁情报平台,提供与域名、IP和恶意软件相关的社区贡献的情报,可用于创建IDS规则。
网站:https://www.threatcrowd.org/ - VX Vault
VX Vault 提供与恶意软件传播相关的域名和IP列表,这些信息可用于生成IDS规则检测和阻止恶意活动。
网站:http://vxvault.net/ - GreyNoise
GreyNoise是一个专注于互联网噪声的威胁情报平台,它提供可用于过滤出与大规模扫描相关的噪声流量的规则。
网站:https://www.greynoise.io/ - Spamcop
专门用于垃圾邮件源的IP黑名单,Spamcop提供的规则可用于阻止来自这些垃圾邮件源的恶意流量。
网站:https://www.spamcop.net/ - Botvrij.eu
这个项目提供了一个与僵尸网络和恶意软件相关的黑名单,特别适合用于Snort和Suricata。
网站:https://www.botvrij.eu/ - ISC Suspicious Domains List
由ISC维护,这个项目提供了一个列出可疑域名的数据库,适用于检测恶意域名访问的IDS规则。
网站:https://www.dshield.org/suspicious_domains.html - Malc0de DatabaseMalc0de 专注于追踪与恶意软件传播相关的域名和IP地址,提供的列表可以用于生成IDS规则。网站:https://malc0de.com/
- Autoshun IP Blacklist
Autoshun 提供了与恶意活动相关的IP黑名单,特别适合用于检测和阻止潜在的恶意流量。
网站:http://www.autoshun.org/ - ThreatConnect
ThreatConnect 提供了一个开放的威胁情报平台,社区用户分享的威胁数据可以转换为IDS规则。
网站:https://www.threatconnect.com/ - SANS Internet Storm Center (ISC) Top IPs
SANS ISC 提供了一个经常更新的前100个恶意IP地址列表,可以用于生成IDS规则。
网站:https://isc.sans.edu/ - Blocklist.net.au
这个网站提供了多种黑名单,包括恶意IP、DDoS源和垃圾邮件源,IDS可以使用这些列表进行检测。
网站:https://www.blocklist.net.au/ - Open Threat Exchange (OTX) Pulses
OTX Pulses 是一个基于社区的威胁情报分享平台,可以从中下载特定威胁的情报和相关规则。
网站:https://otx.alienvault.com/ - BGPmon Threat Feed
BGPmon 提供了与BGP路由劫持相关的威胁情报,可用于检测与这些恶意活动相关的流量。
网站:https://bgpmon.net/ - Anomali Limo
Anomali 提供了一个免费的威胁情报订阅服务,可以获取恶意IP、域名、URL和文件的检测规则。
网站:https://limo.anomali.com/ - CERT-EU Threat Intelligence
欧洲CERT(Computer Emergency Response Team)提供了一些公开的威胁情报和黑名单数据,IDS可以使用这些信息来增强检测能力。
网站:https://cert.europa.eu/ - Cyber Cure
Cyber Cure 提供实时更新的恶意IP和域名信息,可以将这些情报转换为IDS规则。
网站:https://www.cybercure.ai/ - Hailataxii
Hailataxii 是一个STIX/TAXII服务器,提供恶意IP、域名、URL等情报,可以与IDS规则结合使用。
网站:https://hailataxii.com/ - Maltrail
Maltrail 是一个基于社区贡献的恶意流量检测系统,提供多种恶意IP、域名和URL的检测规则。
网站:https://github.com/stamparm/maltrail - MITRE ATT&CK Feed
MITRE ATT&CK 提供与攻击技术相关的情报,IDS可以利用这些技术生成特定的检测规则。
网站:https://attack.mitre.org/ - VirusTotal Retrohunt
VirusTotal Retrohunt 提供威胁情报,可生成与恶意软件相关的规则,适用于IDS检测。
网站:https://www.virustotal.com/ - STIX/TAXII Feeds
多个平台提供基于STIX/TAXII格式的威胁情报,IDS可以通过TAXII服务器获取这些情报并生成规则。
网站:https://oasis-open.github.io/cti-documentation/ - AbuseIPDB这个数据库提供了与恶意IP相关的情报,IDS可以根据这些IP生成规则来检测和阻止恶意流量。网站:https://www.abuseipdb.com/
- ZeusTracker
ZeusTracker 提供与Zeus恶意软件相关的域名和IP地址列表,可用于生成IDS规则,检测恶意软件的传播活动。
网站:https://zeustracker.abuse.ch/ - Feodo Tracker
专注于检测Feodo(C2)僵尸网络,Feodo Tracker提供的恶意IP地址可以直接用于IDS规则检测。
网站:https://feodotracker.abuse.ch/ - SSL Blacklist (SSLBL)
SSLBL 提供与恶意SSL证书相关的IP和证书指纹,可以用于生成IDS规则,检测恶意SSL通信。
网站:https://sslbl.abuse.ch/ - Spamhaus DROP List
Spamhaus 提供的DROP List 是一个专注于恶意网络基础设施的黑名单,IDS可以使用这些IP列表阻止已知恶意流量。
网站:https://www.spamhaus.org/drop/ - Abuse.ch MalwareBazaar
MalwareBazaar 是一个由社区驱动的恶意软件样本数据库,提供与恶意文件哈希和域名相关的情报,可以生成IDS规则。
网站:https://bazaar.abuse.ch/ - Binary Defense
Binary Defense 提供免费的恶意IP黑名单,可以用于IDS规则的创建,保护网络免受已知攻击来源的侵害。
网站:https://www.binarydefense.com/ - URLHaus
URLHaus 是一个追踪恶意URL的项目,提供可用于生成IDS规则的黑名单,检测恶意URL的访问。
网站:https://urlhaus.abuse.ch/ - Ransomware Tracker
Ransomware Tracker 提供与勒索软件相关的C2服务器、IP地址和域名信息,IDS可以利用这些信息生成检测规则。
网站:https://ransomwaretracker.abuse.ch/ - Cybercrime Tracker
这是一个追踪恶意软件和C2服务器的数据库,特别是针对犯罪活动的基础设施,IDS可以使用这些情报生成规则。
网站:https://cybercrime-tracker.net/ - Bad Packets
Bad Packets提供与漏洞利用扫描和恶意IP相关的威胁情报,可以用来增强IDS检测恶意扫描的能力。
网站:https://www.badpackets.net/