Automatyczna identyfikacja infrastruktury przestępczej w przestrzeni IPv4 i IPv6 przy użyciu lokalnych skryptów OSINT: metody, ograniczenia i praktyczne zastosowania w cyberbezpieczeństwie.
More details
Hide details
1
Wydział Dowodzenia i Operacji Morskich, Akademia Marynarki Wojennej w Gdyni, Poland
Submission date: 2025-12-08
Final revision date: 2026-04-10
Acceptance date: 2026-04-23
Publication date: 2026-07-02
Corresponding author
Tomasz Janczewski
Wydział Dowodzenia i Operacji Morskich, Akademia Marynarki Wojennej w Gdyni, Śmiodowicza 64, Gdynia, Poland
Cybersecurity and Law 2026;1:60-68
KEYWORDS
TOPICS
ABSTRACT
Objectives:
Celem badania było sprawdzenie, czy pasywne techniki OSINT uruchamiane lokalnie w postaci skryptów Python mogą skutecznie identyfikować wzorce strukturalne oraz anomalie w przestrzeni adresowej IPv4/IPv6. Analiza dotyczyła przydatności zróżnicowanych metadanych OSINT — takich jak ASN, DNS, certyfikaty TLS i dane reputacyjne — w profilowaniu infrastruktury potencjalnie złośliwej, z uwzględnieniem ograniczeń technicznych, metodologicznych i etycznych.
Methods:
Opracowano pięcioetapowy pipeline OSINT obejmujący pobór adresów IP, pozyskiwanie danych z publicznych źródeł, normalizację i agregację metadanych w lokalnej bazie SQLite oraz analizę korelacyjną i statystyczną. Wykorzystano wyłącznie pasywne źródła, w tym rejestry ASN, zapisy DNS, logi certyfikatów TLS, geolokalizację i bazy reputacyjne. Pipeline pozwolił ocenić spójność danych oraz ich wartość w wykrywaniu zależności infrastrukturalnych.
Results:
Metadane wykazywały dużą zmienność pod względem kompletności. Adresy wzbogacone danymi z wielu źródeł były łatwiejsze do klasyfikacji i częściej ujawniały powtarzalne wzorce. Dane DNS i TLS okazały się najbardziej informacyjne, natomiast geolokalizacja miała ograniczoną wartość analityczną. Zaobserwowano także grupowanie podejrzanej aktywności w określonych ASN oraz niewielkie, zwarte klastry IP o podwyższonym ryzyku, pojawiające się w wielu publicznych repozytoriach.
Conclusions:
Badanie potwierdza, że pasywny pipeline OSINT może skutecznie wspierać wczesne wykrywanie infrastruktury złośliwej oraz wzbogacanie danych w procesach analitycznych. Modularna konstrukcja umożliwia integrację z systemami Threat Intelligence. Kierunki dalszych prac obejmują analizę zmian infrastruktury w czasie, ocenę wiarygodności źródeł OSINT oraz rozwój modeli automatycznej oceny ryzyka.