“聚焦威胁情报feed,盯需求持续优化”实践谈

围观次数:969 views

守望者一直在关注国外的开源威胁情报feed站点,同时通过流量分析系统等收集一手的数据。感谢各位小伙伴的帮忙与协助!近期完成的主要优化工作如下:

 

开源情报feed的数据整合优化再分析:

  • 增加字段(标签):通过守望者的技术测试,增加相关字段,更便利使用。

比如“存活性”、比如“开放端口”、比如“操作系统banner”、比如“地理位置”,“初次发现时间”和“累计信誉”等。

  • 应用分类:针对业务欺诈提出了专门的proxy-feed、Tor-feed;针对web安全专门推出了webshell-feed;针对恶意ip专门推出了Cn-ip-feed。
  • 时间版优化:根据用户的需求推出1Day、3Day、7 Day版。

 

关注“一手数据”的收集分析:

  • 基于流量的Webshell检测系统从上线以来就获得了很多的一手数据包括最近的Webshell攻击情况、Webshell名称和密码、Webshell字典等。结合我们收集的webshell大量的样本库,对互联网上的webshell行为进行捕捉分析,针对攻击行为进行详尽告警。
  • 提供基于Webshell攻击的数据提取的Feed,便于适用WAF、websoc、SIEM等web安全相关的监测和防护产品使用的feed。

1  feed格式

CN- IPV4-feed:

# 主题:恶意IP

# 来源:守望者实验室数据及互联网收集和整理

# 维护者:守望者实验室

# 维护者网站:http://feed.watcherlab.com

# 类别:IPv4 For CN

# 更新周期:24小时

# 保留策略:可与其它列表合并保存

# 标签分析:

## [+/=]:关联标签;

##  [0.0.0.0]:恶意IP;

##  [2016-05-15 01:12:50]:发现时间;

## [2016-05-15 01:12:50]:更新时间;

## [‘botnet’]:恶意行为;

##  [‘ssh’]:协议;

## [watcherlab.com]:情报来源;

## [75]:可信度;

##  [0/1]:存活性;

## [2016-05-15 01:12:50]:初次发现时间;

## [100]:累积信誉;

## [‘Microsoft Windows Server 2003 R2 SP1′]:操作系统标识;

##  [’22-80-135-443-1109’]:端口开放;

## [CN]:国家代码

 

IPV4-feed:

# 主题:恶意IP

# 来源:守望者实验室数据及互联网收集和整理

# 维护者:守望者实验室

# 维护者网站:http://feed.watcherlab.com

# 类别:IPv4

# 更新周期:24小时

# 保留策略:可与其它列表合并保存

# 标签分析:

## [+/=]:关联标签;

##  [0.0.0.0]:恶意IP;

##  [2016-05-15 01:12:50]:发现时间;

## [2016-05-15 01:12:50]:更新时间;

## [‘botnet’]:恶意行为;

##  [‘ssh’]:协议;

## [watcherlab.com]:情报来源;

## [75]:可信度;

##  [0/1]:存活性;

## [2016-05-15 01:12:50]:初次发现时间;

## [CN]:国家代码

 

URL-feed:

# 主题:恶意URL

# 来源:守望者实验室数据及互联网收集和整理

# 维护者:守望者实验室

# 维护者网站:http://feed.watcherlab.com

# 类别:URL

# 更新周期:24小时

# 保留策略:可与其它列表合并保存

# 标签分析:

## [+/=]:关联标签;

##  [http://down.XXXX.net/cx/setup.exe]:恶意URL;

##  [2016-05-15 01:12:50]:发现时间;

## [2016-05-15 01:12:50]:更新时间;

## [‘malware’]:恶意行为;

## [watcherlab.com]:情报来源;

##  [0/1]:存活性;

## [75]:可信度;

 

DNS-feed:

# 主题:恶意DNS

# 来源:守望者实验室数据及互联网收集和整理

# 维护者:守望者实验室

# 维护者网站:http://feed.watcherlab.com

#

# 类别:DNS

# 更新周期:24小时

# 保留策略:可与其它列表合并保存

# 标签分析:

## [+/=]:关联标签;

##  [alt.XXXX.info]:恶意URL;

##  [2016-05-15 01:12:50]:发现时间;

## [2016-05-15 01:12:50]:更新时间;

## [‘botnet’]:恶意行为;

##  [‘ssh’]:协议;

## [watcherlab.com]:情报来源;

## [75]:可信度;

 

Email-feed:

# 主题:恶意Email

# 来源:守望者实验室数据及互联网收集和整理

# 维护者:守望者实验室

# 维护者网站:http://feed.watcherlab.com

#

# 类别:Email

# 更新周期:24小时

# 保留策略:可与其它列表合并保存

# 标签分析:

## [+/=]:关联标签;

##  [frost_kaye@XXXX.com]:恶意URL;

##  [2016-05-15 01:12:50]:发现时间;

## [2016-05-15 01:12:50]:更新时间;

## [‘uce’, ‘uce-email-address’]:恶意行为;

## [watcherlab.com]:情报来源;

## [75]:可信度;

 

Proxy-feed:

# 主题:Proxy

# 来源:守望者实验室数据及互联网收集和整理

# 维护者:守望者实验室

# 维护者网站:http://feed.watcherlab.com

#

# 类别:Proxy

# 更新周期:24小时

# 保留策略:可与其它列表合并保存

# 标签分析:

## [+/=]:关联标签;

##  [frost_kaye@XXXX.com]:可疑Proxy IP;

##  [2016-05-15 01:12:50]:发现时间;

##  [0/1]:存活性;

## [‘Microsoft Windows Server 2003 R2 SP1′]:操作系统标识;

##  [’22-80-135-443-1109’]:端口开放;

## [CN]:国家代码

## [watcherlab.com]:情报来源;

 

Webshell-feed

# 主题:恶意IP

# 来源:守望者实验室数据

# 维护者:守望者实验室

# 维护者网站:http://feed.watcherlab.com

#

# 类别:IPv4 For WebshellFeed

# 更新周期:24小时

# 保留策略:可与其它列表合并保存

# 标签分析:

## [+/=]:关联标签;

##  [0.0.0.0]:恶意IP;

##  [2016-05-15 01:12:50]:发现时间;

## [2016-05-15 01:12:50]:更新时间;

## [‘webshell’]:恶意行为;

##  [‘http’]:协议;

## [watcherlab.com]:情报来源;

## [75]:可信度;

##  [0/1]:存活性;

## [2016-05-15 01:12:50]:初次发现时间;

## [100]:累积信誉;

## [‘Microsoft Windows Server 2003 R2 SP1′]:操作系统标识;

##  [’22-80-135-443-1109’]:端口开放;

## [CN]:国家代码

Tor-feed

##  [+/=]:关联标记,+标记表示该条数据在和昨天的数据对比中是新增的,=标记表示该条数据也同样出现在昨天的数据中;

##  [1.0.168.111]:Tor出口ip地址;

##  [www.watcherlab.com]:情报源,该条情报的来源,权威的机构或者组织等;

2  http下载样例

22222222

3  获取方式

关注 守望者实验室 微信公众号;回复关键词“feed即可获取相关feed文件。我们后续会继续优化,并推出API访问模式。

 2

发表评论

邮箱地址不会被公开。 必填项已用*标注

广告赞助