守望者一直在关注国外的开源威胁情报feed站点，同时通过流量分析系统等收集一手的数据。感谢各位小伙伴的帮忙与协助！近期完成的主要优化工作如下：

 

开源情报feed的数据整合优化再分析：

• 增加字段（标签）：通过守望者的技术测试，增加相关字段，更便利使用。

比如“存活性”、比如“开放端口”、比如“操作系统banner”、比如“地理位置”，“初次发现时间”和“累计信誉”等。

• 应用分类：针对业务欺诈提出了专门的proxy-feed、Tor-feed；针对web安全专门推出了webshell-feed；针对恶意ip专门推出了Cn-ip-feed。
• 时间版优化：根据用户的需求推出1Day、3Day、7 Day版。

 

关注“一手数据”的收集分析：

• 基于流量的Webshell检测系统从上线以来就获得了很多的一手数据包括最近的Webshell攻击情况、Webshell名称和密码、Webshell字典等。结合我们收集的webshell大量的样本库，对互联网上的webshell行为进行捕捉分析，针对攻击行为进行详尽告警。
• 提供基于Webshell攻击的数据提取的Feed，便于适用WAF、websoc、SIEM等web安全相关的监测和防护产品使用的feed。

1  feed格式

CN- IPV4-feed:

# 主题:恶意IP

# 来源:守望者实验室数据及互联网收集和整理

# 维护者:守望者实验室

# 维护者网站:http://feed.watcherlab.com

# 类别:IPv4 For CN

# 更新周期:24小时

# 保留策略:可与其它列表合并保存

# 标签分析:

## [+/=]:关联标签;

##  [0.0.0.0]:恶意IP;

##  [2016-05-15 01:12:50]:发现时间;

## [2016-05-15 01:12:50]:更新时间;

## [‘botnet’]:恶意行为;

##  [‘ssh’]:协议;

## [watcherlab.com]:情报来源;

## [75]:可信度;

##  [0/1]:存活性;

## [2016-05-15 01:12:50]:初次发现时间;

## [100]:累积信誉;

## [‘Microsoft Windows Server 2003 R2 SP1′]:操作系统标识;

##  [’22-80-135-443-1109’]:端口开放;

## [CN]:国家代码

 

IPV4-feed:

# 主题:恶意IP

# 来源:守望者实验室数据及互联网收集和整理

# 维护者:守望者实验室

# 维护者网站:http://feed.watcherlab.com

# 类别:IPv4

# 更新周期:24小时

# 保留策略:可与其它列表合并保存

# 标签分析:

## [+/=]:关联标签;

##  [0.0.0.0]:恶意IP;

##  [2016-05-15 01:12:50]:发现时间;

## [2016-05-15 01:12:50]:更新时间;

## [‘botnet’]:恶意行为;

##  [‘ssh’]:协议;

## [watcherlab.com]:情报来源;

## [75]:可信度;

##  [0/1]:存活性;

## [2016-05-15 01:12:50]:初次发现时间;

## [CN]:国家代码

 

URL-feed:

# 主题:恶意URL

# 来源:守望者实验室数据及互联网收集和整理

# 维护者:守望者实验室

# 维护者网站:http://feed.watcherlab.com

# 类别:URL

# 更新周期:24小时

# 保留策略:可与其它列表合并保存

# 标签分析:

## [+/=]:关联标签;

##  [http://down.XXXX.net/cx/setup.exe]:恶意URL;

##  [2016-05-15 01:12:50]:发现时间;

## [2016-05-15 01:12:50]:更新时间;

## [‘malware’]:恶意行为;

## [watcherlab.com]:情报来源;

##  [0/1]:存活性;

## [75]:可信度;

 

DNS-feed:

# 主题:恶意DNS

# 来源:守望者实验室数据及互联网收集和整理

# 维护者:守望者实验室

# 维护者网站:http://feed.watcherlab.com

#

# 类别:DNS

# 更新周期:24小时

# 保留策略:可与其它列表合并保存

# 标签分析:

## [+/=]:关联标签;

##  [alt.XXXX.info]:恶意URL;

##  [2016-05-15 01:12:50]:发现时间;

## [2016-05-15 01:12:50]:更新时间;

## [‘botnet’]:恶意行为;

##  [‘ssh’]:协议;

## [watcherlab.com]:情报来源;

## [75]:可信度;

 

Email-feed:

# 主题:恶意Email

# 来源:守望者实验室数据及互联网收集和整理

# 维护者:守望者实验室

# 维护者网站:http://feed.watcherlab.com

#

# 类别:Email

# 更新周期:24小时

# 保留策略:可与其它列表合并保存

# 标签分析:

## [+/=]:关联标签;

##  [frost_kaye@XXXX.com]:恶意URL;

##  [2016-05-15 01:12:50]:发现时间;

## [2016-05-15 01:12:50]:更新时间;

## [‘uce’, ‘uce-email-address’]:恶意行为;

## [watcherlab.com]:情报来源;

## [75]:可信度;

 

Proxy-feed:

# 主题:Proxy

# 来源:守望者实验室数据及互联网收集和整理

# 维护者:守望者实验室

# 维护者网站:http://feed.watcherlab.com

#

# 类别:Proxy

# 更新周期:24小时

# 保留策略:可与其它列表合并保存

# 标签分析:

## [+/=]:关联标签;

##  [frost_kaye@XXXX.com]:可疑Proxy IP;

##  [2016-05-15 01:12:50]:发现时间;

##  [0/1]:存活性;

## [‘Microsoft Windows Server 2003 R2 SP1′]:操作系统标识;

##  [’22-80-135-443-1109’]:端口开放;

## [CN]:国家代码

## [watcherlab.com]:情报来源;

 

Webshell-feed

# 主题:恶意IP

# 来源:守望者实验室数据

# 维护者:守望者实验室

# 维护者网站:http://feed.watcherlab.com

#

# 类别:IPv4 For WebshellFeed

# 更新周期:24小时

# 保留策略:可与其它列表合并保存

# 标签分析:

## [+/=]:关联标签;

##  [0.0.0.0]:恶意IP;

##  [2016-05-15 01:12:50]:发现时间;

## [2016-05-15 01:12:50]:更新时间;

## [‘webshell’]:恶意行为;

##  [‘http’]:协议;

## [watcherlab.com]:情报来源;

## [75]:可信度;

##  [0/1]:存活性;

## [2016-05-15 01:12:50]:初次发现时间;

## [100]:累积信誉;

## [‘Microsoft Windows Server 2003 R2 SP1′]:操作系统标识;

##  [’22-80-135-443-1109’]:端口开放;

## [CN]:国家代码

Tor-feed

##  [+/=]：关联标记，+标记表示该条数据在和昨天的数据对比中是新增的，=标记表示该条数据也同样出现在昨天的数据中；

##  [1.0.168.111]：Tor出口ip地址；

##  [www.watcherlab.com]：情报源，该条情报的来源，权威的机构或者组织等；

2  http下载样例

3  获取方式

关注 守望者实验室 微信公众号；回复关键词“feed”即可获取相关feed文件。我们后续会继续优化，并推出API访问模式。