一、案例

之前使用“网页流量木马分析系统”发现了很多异常线索，现在我们可以使用“Alice威胁情报平台”对这些信息作进一步分析，获取更多的信息。

1.对 www.samair.ru 域名进行分析

以下是“网页流量木马分析与检测系统”发现的异常行为：有内网ip访问 www.samair.ru 这个可疑域名，接下来对 www.samair.ru 进行威胁情报收集，判断该行为是不是一个恶意行为。

如下图，/proxy/proxy-11.html说明这有可能是内网某些用户设置了该网站的代理访问境外网站，也有可能是内网中了恶意程序，成了这个网站所属僵尸网络的一部分。

继续分析，曾经有恶意的病毒程序使用这个网站的域名，同时，此域名与正常业务无关的，表明 www.samair.ru 是一个应该被禁止访问，或者限制访问的域名。

2.对59.106.13.47进行分析

以下是“网页流量木马分析与检测系统”发现的异常行为，有一个ip 59.106.13.47需要进一步分析

使用天际友盟Alice分析，没有发现明显的异常信息，但是该系统可以对59.106.13.x的c段所有ip进行威胁情报展示。

接下来可以对c段中与59.106.13.47间隔最近的59.106.13.35、59.106.13.40进行分析。

以下是59.106.13.40的分析结果，可以看到与多种恶意样本关联。

以下是59.106.13.35的分析结果，可以看到与多种病毒名称关联。

以上分析结果表明，两个ip与多种病毒样本有关联，属于恶意ip地址，进一步分析得知，这两个ip同处在一个c段的59.106.13.47也是有风险的，应当禁止访问。

3.该系统在其它领域的应用

输入ms08067，可以查询到哪些恶意程序是与ms08067远程溢出漏洞有关的。

输入“熊猫烧香”，可以看到那些网站曾经与该病毒关联过。

二、结论

通过“天际友盟Alice平台”，可以对很多疑似的恶意行为进行威胁情报收集。本次实例中，“天际友盟Alice系统”对异常访问 www.samair.ru 、 59.106.13.47 的行为做了进一步分析，提供了大量有价值的威胁情报。最后得出结论，两个行为均属于恶意行为，对局域网的安全性有很大的威胁，其主要威胁在于，这两个域名或ip都与多种病毒有关联，局域网用户访问这些网址，或者将其设置为代理ip，很可能会感染病毒或者木马。当然也可能局域网的某一台ip已经成为了其僵尸网络的一部分，这需要管理员结合这些威胁情报到现场做进一步排查。