python提取iocs(extract_iocs模块)

最新推荐文章于 2023-03-02 16:34:52 发布
最新推荐文章于 2023-03-02 16:34:52 发布
阅读量743 收藏 2
点赞数
文章标签: python pycharm windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Liquor6/article/details/121424956
版权

简介

extract_iocs 是一个 Python 模块,可从文本中提取入侵指标 (IOC),包括域名、IPv4 地址、电子邮件地址和哈希值。它使用了一些巨大而丑陋的正则表达式,具有特殊处理来识别具有相对较低误报率的域名,并尝试通过换行符提取 IOC。

第一步

下载安装包

pip install extract_iocs

第二步

示例代码

import os
from extract_iocs import extract_iocs
def _get_iocs(text):
    """Get IOCs from text."""
    try:
        # python3
        iocs = extract_iocs.extract_iocs(text)
    except AttributeError as e:
        # python2
        iocs = extract_iocs(text)

    return iocs
    
def test_apt28_report():
    """."""
    expected_output = {'md5': ['8B92FE86C5B7A9E34F433A6FBAC8BC3A', 'EAD4EC18EBCE6890D20757BB9F5285B1', '3B0ECD011500F61237C205834DB0E13A', '8C4FA713C5E2B009114ADDA758ADC445', '5882FDA97FDF78B47081CC4105D44F7C', '9EEBFEBE3987FEC3C395594DC57A0C4C', '48656A93F9BA39410763A2196AABC67F', 'DA2A657DC69D7320F2FFC87013F257AD', '272F0FDE35DBDFCCBCA1E33373B3570D', '791428601AD12B9230B9ACE4F2138713', '1259C4FE5EFD9BF07FC4C78466F2DD09'], 'sha1': [], 'sha256': [], 'ipv4': [], 'url': [], 'domain': ['msdn.microsoft.com', 'rnil.am', 'novinite.com', 'police.ge', 'nshq.nato.int', 'login-osce.org', 'online.co.uk', 'baltichost.org', 'kavkazcentr.info', 'voiceofrussia.com', 'qov.hu.com', 'www.kam.lt', 'adobeincorp.com', 'natoexhibition.org', 'uropa.eu', 'mail.ru', 'mia.ge.gov', 'mail.gov.pl', 'windous.kz', 'fireeye.com', 'mail.q0v.pl', 'wind0ws.kz', 'www.freedomhouse.org', 'standartnevvs.com', 'poczta.mon.gov.pl', 'www.nytimes.com', 'nato.nshq.in', 'standartnews.com', 'adawareblock.com', 'q0v.pl', 'kavkazcenter.com', 'mia.gov.ge', 'poczta.mon.q0v.pl', 'www.mil.ee', 'novinitie.com', 'www.upi.com', 'n0vinite.com', 'rt.com', 'malware.prevenity.com', 'ae.norton.com', 'windows-updater.com', 'www.fireeye.com', 'natoexhibitionff14.com'], 'email': ['dr.house@wind0ws.kz', 'nato_pop@mail.ru', 'nato_smtp@mail.ru', 'lisa.cuddy@wind0ws.kz', 'info@fireeye.com']}

    with open(os.path.abspath(os.path.join(os.path.dirname(__file__), "./samples/apt28report.txt"))) as apt28:
        iocs = _get_iocs(apt28.read())

        assert len(iocs) == len(expected_output)

        print(iocs)
        
        for indicator_type in iocs:
            # create sets for the actual and expected values for this indicator type
            actual_set = set(iocs[indicator_type])
            expected_set = set(expected_output[indicator_type])

            # make sure the actual and expected sets match
            try:
                assert len(actual_set - expected_set) == 0
            except AssertionError as e:
                print(actual_set - expected_set)
                raise
            try:
                assert len(expected_set - actual_set) == 0
            except AssertionError as e:
                print(expected_set - actual_set)
                raise


def test_simple_report():
    """."""
    expected_output = {'md5': ['E2021791428601AD12B9230B9ACE4F21'], 'sha1': ['B2021791428601AD12B9230B9ACE4F219ACE4F21'], 'sha256': ['2011201120112012201220122012201220122013201320132013201320132013'], 'url': [], 'ipv4': ['1.2.3.4'], 'domain': ['example.org', 'example.com', 'gmail.org'], 'email': ['bad@gmail.org']}
    # 'url': ['http://example.com', 'https://example.com', 'http://example.com/test/bingo.php', 'ftp://example.com']

    with open(os.path.abspath(os.path.join(os.path.dirname(__file__), "./samples/simple.txt"))) as simple_file:
        iocs = _get_iocs(simple_file.read())

        assert len(iocs) == len(expected_output)
        
        for indicator_type in iocs:
            # create sets for the actual and expected values for this indicator type
            actual_set = set(iocs[indicator_type])
            expected_set = set(expected_output[indicator_type])

            # make sure the actual and expected sets match
            assert len(actual_set - expected_set) == 0
            assert len(expected_set - actual_set) == 0

备注:本文共学习使用,模块原作者地址为:https://github.com/mosesschwartz/extract_iocs

Liquor6
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【转】APT情报IOCs处理须知
tpriwwq的专栏
08-20 1857
APT情报IOCs处理须知
Lupo:一款功能强大的恶意软件IoC提取
小王的储物间
02-07 389
Lupo是一个动态分析工具,可以作为调试器的模块使用。在处理涉及恶意软件的安全事件时,我们经常会遇到这样的情况:由于许多因素(时间、技能、规模等),不可能对每一个案例都进行完整的手动分析,因此我们觉得需要自动化分析其中的一部分内容。该工具基于C++开发, 支持使用Windows调试框架来执行代码,该工具也可以作为插件与WinDbg结合使用,以帮助广大研究人员自动化实现恶意软件分析。Lupo是一款功能强大的恶意软件IoC提取工具,可以帮助广大研究人员在恶意软件分析自动化的任务场景下实现恶意代码分析和调试。
数据平民化之路(一)— IOC数据提取
colorknight的专栏
03-02 623
威胁情报的有效性取决于情报数据的广度和深度,主流的服务商会及时更新和同步最新的威胁分析过程,并提供相关的IOC数据,这些数据分散在不同的公众号、网页、博客、微博等平台上。而公开的威胁情报数据大多以报告、图片、网页等形式存在与网络中,对于各个需求组织来说,如果将这些数据快速转化为有价值的情报数据,一方面可以弥补不同服务商间的情报数据差距,快速补齐威胁情报数据,另一方面也节省一部分开支。以上是对于互联网侧公开的源数据进行提取、加工、处理的整个处理过程,可以批量处理含有IOC数据的HTML、图片、PDF等文件。
APT情报IOCs处理须知
摔不死的笨鸟的博客
03-01 2332
对外公开的IOCs的URL一般都会加上”[ ]“的符号确保安全可观。例如:http://badurl[.] com 处理IOCs的URL情报信息时,尤其注意自己不要点击到URL和IP地址的超链接,notepad++和excel都是默认开启转换为超链接,下面是确保处理时安全可靠的方法。 URL情报信息单独存放一个文件,并用样本的方式压缩加密保存。在处理前要确保工具禁用了超链接,并且没有下载更新软件时改变设置。 WPS禁用超链接 左上角:文件——选项——编辑——嵌入时将Internet链接或网络路径转换为超链接
python入侵手机_Python-Iocextract:高级入侵威胁标识符IoC提取工具
weixin_39664431的博客
11-29 546
工具介绍Python-Iocextract是一款高级入侵威胁标识符IoC提取工具,它可以从文本语料库提取URL、IP地址、MD5/SHA哈希、电子邮件地址和YARA规则,其中还包括某些已编码或已被“破坏”的入侵威胁标识符。因为网络犯罪分子为了防止暴露自己的恶意活动以及攻击内容,通常都会想办法“破坏”类似URL和IP地址这样的入侵威胁标识符。在这种情况下,有效提取和汇总这些IoC对于安全分析人员来说...
VxWorks_em_C_code_for_IOCs_IOCs_em_C_vxworks_
09-30
这个标题“VxWorks_em_C_code_for_IOCs_IOCs_em_C_vxworks_”表明我们将探讨的是如何在VxWorks环境中使用C语言编写输入/输出控制器(IOCs)的代码。 在VxWorks中,C语言是主要的编程语言,因为它的效率高、可移植性...
Python库 | EPICS_CA-3.3.6.tar.gz
03-04
在实际应用中,开发者可能需要了解EPICS的架构,如IOCs(Input/Output Controllers)和数据库配置,以便正确地设置和使用EPICS_CA库。此外,对于大型项目,理解EPICS的其他相关库,如Asyn、AreaDetector等,也是必要...
IOCS-开源
04-27
"IOCS-开源"是一个专为晶体系统识别设计的软件,它采用了开源的开发模式,意味着源代码对外公开,允许用户自由地查看、修改和分发。基于Java语言的实现,使得该软件具有跨平台性,能够在不同操作系统上运行,如...
malware-iocs
05-16
标题 "malware-iocs" 暗示了这个主题与恶意软件相关的危害指标(Indicators of Compromise,简称IOC)有关。IOC是安全领域中一个关键的概念,它是一些可以用来识别、追踪或预防恶意活动的实体,如IP地址、域名、文件...
awesome-iocs:危害指标的集合
01-31
很棒的国际奥委会 一系列折衷指标的(以及一些与IOC相关的工具)。 内容 国际奥委会 指标 研究/ IoC开发目的泄漏Linux.Mirai源代码。 我的扫描仪工具的签名库。 -APTnotes数据。... -与针对民间社会的目标相关的IOC...
python-iocextract:损坏的指示器(IOC提取
02-03
python-iocextract:损坏的指示器(IOC提取
软件联盟IOC图标提取软件(图标提取器)v1.0免费绿色版
07-25
IOC图标其实就是浏览器首段图标显示,你的工作如果需要提取这些图片,那小编有个好软件,就是软件联盟IOC图标提取软件,这款图标提取器可以提取文件ICO图标以及程序内部所有图标,提取成功后的图片为原大小,不失原色,几乎保留了原来的任何属性,想提取图标的用户,使用软件联盟IOC图标提取软件非常不错。 软件联盟IOC图标提取软件使用说明: 可以提取任何一个EXE应用程序的图标,并且将他保存为ICO格
iocminion:只是另一个从文件中提取危害指标(IOC)的工具
05-05
咬合 =======只是另一个从文件中提取IOC的工具。 此工具具有从以下来源提取IOC的功能:pdf文档,包含pdf的url,包含url的文本文件,来自电子邮件和rss feed的ioc。 它还执行白名单以防止误报。 它使用文件whitelist.dat和alexa的前1m个文件。 要求 gmail python lib BeautifulSoup库 pdfminer库 ElementTree库 python-magic lib可以运行以下命令进行安装:apt-get install python-magic 用法 ====== usage: iocminion.py [-h] [--rss RSS] [--url_file URL_FILE] [--url URL] [--pdf PDF] [--email EMAIL EMAIL]
免费IOC图标抓取工具(支持从*.exe|*.dll|*.ico|*.bmp|*.ICL抓取图标)
09-29
本工具支持从*.exe|*.dll|*.ico|*.bmp|*.ICL等格式文件中抓取你看中的所有图标,快来试一试吧。
scrape_pdf:从 PDF 中提取各种 IOCPython 脚本
07-05
基于使用 PDFMiner 解压缩流,然后查看流内部的基本脚本 目前,它尝试提取 IP、哈希、URL 和主机名。 要求: pip 安装 dnspython 从获取 uniaccept pip安装pdfminer 完成此操作后,您可能希望获得最新的 TLD 列表。 打开一个 Python 解释器,然后: import uniaccept uniaccept.refreshtlddb("/tmp/tld-list.txt") 随意更改 tld-list.txt 文件的位置,scrape-pdf.py 脚本期望它在 CWD 中。
Python-Iocextract:高级入侵威胁标识符IoC提取工具
Pythoncxy的博客
07-02 656
工具介绍 Python-Iocextract是一款高级入侵威胁标识符IoC提取工具,它可以从文本语料库提取URL、IP地址、MD5/SHA哈希、电子邮件地址和YARA规则,其中还包括某些已编码或已被“破坏”的入侵威胁标识符。 因为网络犯罪分子为了防止暴露自己的恶意活动以及攻击内容,通常都会想办法“破坏”类似URL和IP地址这样的入侵威胁标识符。在这种情况下,有效提取和汇总这些IoC对于安全分析...
检测工具介绍:Loki的IOCs检测和Pesieve的内存注入检测
摔不死的笨鸟的博客
01-07 680
LOKI控制行命令 命令选项 功能参数 -h 显示此帮助消息并退出 -p 要扫描的路径 -s (千字节为单位) 以KB为单位的最大文件大小(默认为5000 KB) -l 日志文件 -r 远程syslog系统 -t 远程系统日志端口 -a 警报级别的警报分数 -w 警告级别的警报分数 -n 通知级别的通知分数 –printall 打印所有扫描的文件 –allreasons 打印导致得分的所有原因 –noprocscan 跳过进程扫描 –nofi
威胁预警|首现新型RDPMiner挖矿蠕虫 受害主机易被添加恶意账户 ...
weixin_34179968的博客
01-09 309
近日,阿里云安全发现一种新型挖矿蠕虫RDPMiner,通过爆破Windows Server 3389端口RDP服务的方式进行挖矿木马传播,致使用户CPU占用率暴涨,机器卡顿,更被创建名为DefaultAccount的账号。攻击者可畅通无阻远程登录机器威胁用户业务和数据安全。 据该蠕虫连接的某矿池公布的HashRate,预估仅该矿池即有2000+机器连接进...
使用APM破解Imminent rat病毒后我们学到的东西
热门推荐
一个码农的笔记
01-23 2万+
翻译自:https://blog.talosintelligence.com/2019/01/what-we-learned-by-unpacking-recent.html 翻译:聂心明 在过去两个月的时间里,Cisco Talos一直在追踪一系列Imminent rat病毒感染事件,下面的数据来自思科高级恶意软件防护(AMP)漏洞利用防护引擎。在病毒开始感染主机之前,AMP成功的阻止了病毒,但...
PROFINET IOCS和IOPS和APDU的作用区别
最新发布
05-31
PROFINET IO协议中,IOCS、IOPS和APDU的作用如下: 1. IOCS:IO Control System(控制系统)用于控制设备的状态和行为。控制器通过IOCS命令向设备发送读、写、订阅等操作,从而控制设备的行为。IOCS命令可以控制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值