守望者威胁情报Feed之FAQ (2016/5/4):恶意ip-feed格式

围观次数:796 views

1  问题?

守望者发布开源威胁情报feed数据一段时间来,小伙伴们在数据质量上提了不少问题和建议,有小伙伴问:恶意ip-feed文件的各字段格式含义是什么?

2  恶意IP-feed字段说明

  • [+/=]:关联标记,+标记表示该条数据在和昨天的数据对比中是新增的,=标记表示该条数据也同样出现在昨天的数据中;
  • [52.58.120.225]:恶意IP的主体,主要的数据;
  • [2016-05-02 23:14:38]:发现时间,该恶意IP被发现具有恶意企图的时间;
  • [2016-05-02 23:14:38]:终止时间,该恶意IP停止攻击或者从监控系统中消失的时间;
  • [[‘scanner’]]:恶意行为,恶意IP是如何被发现的,例如:scanner表示进行恶意扫描行为;
  • [[‘ssh’]]:协议,在何种协议中发现的恶意IP,例如:ssh表示在ssh协议中发现的,结合恶意行为可判断该恶意IP的操作是:进行了扫描式的恶意SSH登陆尝试;
  • [blocklist.de]:情报源,该条情报的来源;
  • [75]:可信度,该恶意IP的可信度,数值越大表示可信度越高;
  • [AR]:国家,该恶意IP的发现国家代码;

目前恶意IP地址库存在有九个标签字段,可以用来做过滤或者重点检测。

3  样例

=,78.39.252.125,2016-05-03 00:34:59,2016-05-03 00:34:59,[‘proxy’],[],txt.proxyspy.net,75,IR

+,82.209.49.196,2016-05-03 00:34:59,2016-05-03 00:34:59,[‘proxy’],[],txt.proxyspy.net,75,CZ

=,78.40.181.45,2016-05-03 00:34:59,2016-05-03 00:34:59,[‘proxy’],[],txt.proxyspy.net,75,Unknow

=,104.156.239.154,2016-05-03 00:34:59,2016-05-03 00:34:59,[‘proxy’],[],txt.proxyspy.net,75,US

=,117.102.48.44,2016-05-03 00:34:59,2016-05-03 00:34:59,[‘proxy’],[],txt.proxyspy.net,75,PK

=,52.87.246.34,2016-05-03 00:34:59,2016-05-03 00:34:59,[‘proxy’],[],txt.proxyspy.net,75,Unknow

=,178.212.195.54,2016-05-03 00:34:59,2016-05-03 00:34:59,[‘proxy’],[],txt.proxyspy.net,75,UA

=,74.123.74.209,2016-05-03 00:34:59,2016-05-03 00:34:59,[‘proxy’],[],txt.proxyspy.net,75,US

=,154.73.28.212,2016-05-03 00:34:59,2016-05-03 00:34:59,[‘proxy’],[],txt.proxyspy.net,75,LY

 

4  下载方式

关注 守望者实验室 微信公众号;回复关键词“feed即可获取相关feed文件。

1

 

 

2

发表评论

邮箱地址不会被公开。 必填项已用*标注

广告赞助