watcherlab威胁情报Feed之“标准字段说明”

围观次数:1,808 views

为便于小伙伴更好的理解feed文件,现在我们免费的文件字段含义总结如下:

1,恶意DNS字段说明

  • [+/=]:关联标记,+标记表示该条数据在和昨天的数据对比中是新增的,=标记表示该条数据也同样出现在昨天的数据中;
  • [www.xxxxx.cm]:恶意域名的主体,主要的数据;
  • [2016-05-05 03:32:53]:发现时间,该恶意域名被发现有恶意行为的时间;
  • [2016-05-05 03:32:49]:更新时间,最近一次更新信息的时间;
  • [[‘phishing’]]:恶意行为,,例如:phishing表示具有网络钓鱼的行为;
  • [[‘dns’]]:协议,在何种协议中发现的恶意域名,例如:dns表示在dns协议中发现的,结合恶意行为可判断该恶意域名的定义是:在DNS解析过程中发现的钓鱼网站;
  • [penphish.cm]:情报源,该条情报的来源,权威的机构或者组织等;
  • [43.661]:可信度(目前正在统一);

样例如下:

111

2,恶意URL字段说明

  • [+/=]:关联标记,+标记表示该条数据在和昨天的数据对比中是新增的,=标记表示该条数据也同样出现在昨天的数据中;
  • [http://dwn.xxxx.pw/cx/setup.exe]:恶意RUL主体;
  • [2016-05-05 00:31:56]:发现时间,该恶意IP被发现具有恶意企图的时间;
  • [2016-05-05 00:31:56]:更新时间,最近一次更新信息的时间;
  • [[‘malware’]]:恶意行为,恶意URL的行为,例如:malware表示恶意软件;
  • [malwareurls.jxeankret.cm]:情报源,该条情报的来源,权威的机构或者组织等;
  • [1]: 存活性;
  • [65]:可信度,该恶意URL的可信度,数值越大表示可信度越高;

样例如下:

222

3,下载方式

关注 守望者实验室 微信公众号;回复关键词“feed”即可获取相关feed文件

2

1人评论了“watcherlab威胁情报Feed之“标准字段说明””

发表评论

邮箱地址不会被公开。 必填项已用*标注

广告赞助