abuse-geodata
收藏github2026-05-05 更新2026-05-06 收录
下载链接:
https://github.com/velvet-rnd/abuse-geodata
下载链接
链接失效反馈官方服务:
资源简介:
自动化威胁情报地理数据,用于Xray、sing-box和ipset。每日从公共滥用源构建,旨在帮助VPN运营商、托管提供商和网络管理员保护基础设施并减少滥用投诉。
Automated Threat Intelligence Geographic Data, tailored for Xray, sing-box and ipset, is constructed daily from public abuse sources. It is designed to assist VPN operators, hosting providers and network administrators in securing their infrastructures and reducing abuse complaints.
创建时间:
2026-04-25
原始信息汇总
好的,这是根据您提供的数据集详情页面信息总结的内容。
数据集概述:abuse-geodata
abuse-geodata 是一个自动化威胁情报地理数据(GeoIP/GeoSite)数据集,专为 Xray、sing-box 和 ipset 设计。该项目从多个公开的 abuse 数据源每日自动构建数据,旨在帮助 VPN 运营商、主机托管商和网络管理员保护其基础设施,并减少滥用投诉。
1. 核心功能与目标用户
- 核心功能:提供用于阻断恶意流量的 IP 和域名规则集,涵盖恶意软件 C2、钓鱼、垃圾邮件、暴力破解等多种威胁。
- 目标用户:VPN 运营商、主机托管提供商、网络管理员。
- 更新频率:每天 03:00 UTC 通过 GitHub Actions 自动重新构建。
2. 提供的数据文件格式
所有文件通过 GitHub Releases 发布,主要包含以下几种格式,适配不同的代理/防火墙工具:
| 文件名模式 | 适用工具 | 用途说明 |
|---|---|---|
abuse-geoip.dat |
Xray/V2Ray | 用于 ext:abuse-geoip.dat:category-* 规则,匹配特定类别的IP地址 |
abuse-geosite.dat |
Xray/V2Ray | 用于 ext:abuse-geosite.dat:category-* 规则,匹配特定类别的域名 |
abuse-geoip.db |
sing-box | MaxMind MMDB 格式,用于 sing-box 的 geoip 规则 |
abuse-category-*.srs |
sing-box | 按类别的二进制规则集文件(如 abuse-category-malware-c2-ip.srs) |
abuse-category-bundle-strict-*.srs |
sing-box | 仅包含“稳定”类别(无高误报或大数据集标记)的捆绑规则集 |
abuse-category-bundle-full-*.srs |
sing-box | 包含所有类别的完整捆绑规则集 |
abuse-category-*.txt |
ipset, hosts, 脚本 | 纯文本格式,包含该类别下的所有IP或域名列表,每行一个 |
3. 安全类别 (Categories)
数据集将威胁情报按类别划分,并提供详细的说明和标记:
| 类别名称 | 类型 | 说明 | 关键标记 |
|---|---|---|---|
category-sinkhole |
IP | 安全研究人员运营的已知 sinkhole IP | 无 |
category-sinkhole-domain |
域名 | 由 CERT.PL 接管的 sinkhole 域名 | large_dataset |
category-malware-c2 |
IP + 域名 | 恶意软件 C2 服务器(僵尸网络、勒索软件、木马) | 无 |
category-phishing |
域名 | 钓鱼域名 | high_volatility |
category-spam |
IP | Spamhaus DROP/EDROP 列表中的被劫持IP段 | 无 |
category-tor-exit |
IP | Tor 网络出口节点 | controversial |
category-brute-force |
IP | 进行暴力破解攻击的IP地址 | high_volatility |
category-torrent |
域名 | 种子站点和盗版资源网站(不含合法站点) | controversial, large_dataset |
category-torrent-legal |
域名 | 合法种子服务(如Linux发行版、FOSS) | 无 |
category-torrent-announce |
IP + 域名 | BitTorrent 追踪器的 announce 服务器 | controversial |
category-threatview |
域名 | Threatview.io 聚合的恶意软件/钓鱼域名 | large_dataset |
category-dga |
域名 | DGA 生成的恶意软件域名 | high_false_positive, large_dataset |
标记说明:
high_false_positive: 高误报风险,使用前请仔细审查,可能误伤正常流量。high_volatility: 高波动性,列表变化迅速,IP 可能重新分配给合法用户。controversial: 有争议,是否应该阻止取决于具体使用场景,存在反方观点。large_dataset: 大数据集,条目很多,可能影响路由性能。
4. 数据来源
项目的数据来源于以下公开的威胁情报源:
- abuse.ch: Feodo Tracker, URLhaus, ThreatFox
- Emerging Threats: ET 规则
- C2IntelFeeds
- Threatview.io
- Disconnect.me
- CyberHost Malware
- ShadowWhisperer BlockLists
- Spamhaus DROP/EDROP
- Tor Project
- blocklist.de
- OpenPhish
- brakmic/Sinkholes
- CERT.PL Sinkhole
- Bambenek DGA feed
- blocklistproject Torrent
- hagezi Anti-Piracy
- ngosang Trackers
搜集汇总
数据集介绍
构建方式
在网络安全领域,恶意流量与滥用行为始终是基础设施运营者面临的严峻挑战。abuse-geodata 数据集通过每日自动化流水线,从 Feodo Tracker、URLhaus、Spamhaus DROP/EDROP、Tor Project 等十余个公开威胁情报源中聚合原始数据,经过去重、格式转换与分类标记后,生成面向不同代理工具的规则文件。构建过程依托 GitHub Actions 每日 UTC 时间 03:00 自动触发,确保数据时效性。
使用方法
用户可根据自身代理工具选择对应文件部署。Xray 用户将 abuse-geoip.dat 与 abuse-geosite.dat 放入资源目录后,在路由规则中以 ext: 语法引用类别标签即可阻断恶意流量。sing-box 用户可通过远程 rule_set 直接引用各类别的 .srs 文件,并设置每日自动更新间隔。Linux 管理员则可利用 .txt 文件配合 ipset 与 iptables 实现网络层阻断。Docker 部署的 Remnawave 环境同样支持挂载文件并配置 crontab 实现自动更新,整个流程简洁高效。
背景与挑战
背景概述
随着网络攻击手段的日益复杂与自动化,恶意流量、钓鱼网站及僵尸网络命令与控制(C2)服务器等威胁的识别与阻断已成为网络安全防护的核心挑战之一。不同于传统的静态黑名单,现代威胁情报需要具备高时效性、多数据源融合及跨平台兼容性,以满足VPN运营商、托管服务商及网络管理员对基础设施防护与减少滥用投诉的迫切需求。在此背景下,由velvet-rnd团队于近年创建的abuse-geodata数据集应运而生。该数据集通过持续追踪Feodo Tracker、URLhaus、Spamhaus及Tor Project等数十个知名公开威胁情报源,每日自动化构建覆盖恶意软件C2、钓鱼域名、垃圾邮件IP、DGA域名及Tor出口节点等十余类威胁特征的规则集,提供了同时兼容Xray、sing-box与ipset三种主流网络代理与防火墙系统的结构化地理威胁数据,在开源社区中成为连接原始威胁情报与实战化网络阻断策略的关键桥梁。
当前挑战
abuse-geodata数据集面临的核心挑战首先体现在领域问题的复杂性上:网络威胁的演进速度极快,以钓鱼和暴力破解为代表的类别具有高度波动性,可能导致IP地址在短时间内被重新分配给合法用户,从而引发误封;同时,DGA域名与窃密网站等类别规模庞大且噪声较高,在提升召回率的同时必须精心平衡规则集的误报率。此外,构建过程的挑战同样显著:数据源分散于全球不同组织,格式、更新频率与可信度参差不齐,每日的自动化合并与去重流程对数据清洗与时效性保障提出了严苛要求;输出的多格式兼容(如MaxMind MMDB、Xray二进制dat及纯文本ipset列表)进一步增加了构建与测试的复杂性,需通过持续集成流水线与Python脚本验证各文件的完整性与结构一致性,以确保生产环境的稳定部署。
常用场景
经典使用场景
在网络空间安全治理的宏观背景下,abuse-geodata数据集最为经典的应用场景在于为代理与路由基础设施(如Xray、sing-box及ipset)提供自动化、多维度的威胁情报阻断能力。研究人员与网络运维人员通过加载该数据集中预编译的IP与域名黑名单规则,能够精准识别并屏蔽来自已知恶意软件命令与控制(C2)服务器、钓鱼域名、垃圾邮件源、蜜罐陷阱及暴力破解节点的流量。其模块化的category设计,使得安全策略能够灵活组合,实现对高危、高波动性或争议性流量的差异化管控,从而在保障网络服务可用性的前提下,有效遏制滥用行为。
解决学术问题
该数据集系统性地解决了网络安全研究领域长期存在的真实恶意流量样本采集难与特征时效性低的核心痛点。通过每日自动聚合Spamhaus、abuse.ch、Emerging Threats等多个权威开源威胁情报源,abuse-geodata为学术工作者提供了结构化、持续更新的恶意IP与域名清单。这极大便利了针对僵尸网络演化规律、钓鱼攻击生命周期及DGA域名生成算法等课题的大规模实证分析,推动了从攻击模式识别到防御策略优化的闭环研究,其开源属性也为研究结果的可复现性提供了坚实保障。
实际应用
在实际产业部署中,abuse-geodata主要服务于VPN运营商、主机托管商及企业网络管理员,作为基础设施层面的第一道防线。其提供的多种格式输出(如.dat、.srs及.txt)能够无缝集成至Xray、sing-box、iptables等常见路由与防火墙组件中,实现毫秒级的恶意流量阻断。特别地,标准包与完整包的分类设计兼顾了低误报率与高覆盖率的实际需求,允许运维团队根据自身业务风险容忍度进行审慎选择,从而在减少滥用投诉、提升网络信誉的同时,避免对合法用户造成不必要的干扰。
数据集最近研究
最新研究方向
在网络安全态势日益严峻的当下,自动化威胁情报地理数据领域正聚焦于构建实时、精准且多维度的恶意流量阻断体系。abuse-geodata数据集作为该方向的代表性工具,前沿研究已不再局限于简单的IP或域名黑名单维护,而是深度融合了多源异构威胁情报的自动化聚合与标准化输出。其最新方向体现在对Xray、sing-box等现代代理框架的原生支持,以及针对sinkhole、malware C2、phishing、DGA等细分攻击场景的精细化规则集设计,实现了从被动防御向主动威胁狩猎的范式跃迁。此外,该数据集通过每日更新机制和Strict/Full双轨分类策略,有效平衡了阻断精度与误报风险,为VPN运营商和网络基础设施管理者应对大范围botnet活动、勒索软件通信及域名生成算法攻击等热点事件,提供了高时效性的战术级决策支持,对推动端侧安全策略的自动化编排与响应具有里程碑意义。
以上内容由遇见数据集搜集并总结生成
