守望者一直在关注国外的开源威胁情报feed站点，我们会结合一手数据+开源情报，目前开源情报收集每天有15-20万+的TI-feed数据，恶意ip-feed去重后基本在4-5万数量。我们会按照标准格式每天提供一个DAT格式文件供使用。

本文针对单天的feed，进行了统计分析，以便更好的了解整体情况。原始的文件为watcherlab-ipv4-2016-05-03.txt。具体源文件可见本文最后下载方式。

对原始数据的统计分析结果如下：

1 国家分布

2016年5月3日涉及到恶意IP高达52443个，已知国家175个。其中中国占到5.5%，美国占到26.44%。

前五位的国家是1）美国、 2）RU-俄罗斯、 3）MX-墨西哥4）中国、5）、BR-巴西(BRAZIL)

2 时间分布

凌晨0-1点、6点、上午9-10点是恶意IP活动的高峰期。

Smtp的恶意ip数据最多。

最高的依旧是僵尸主机、恶意软件、扫描行为。垃圾邮件紧随其后排在第四位。

可以看出恶意ip的活动规律。

关注守望者实验室 微信公众号；回复关键词“feed”即可获取相关feed文件。