1  问题？

守望者发布开源威胁情报feed数据一段时间来，小伙伴们在数据质量上提了不少问题和建议，有小伙伴问：恶意ip-feed文件的各字段格式含义是什么？

2  恶意IP-feed字段说明

• [+/=]：关联标记，+标记表示该条数据在和昨天的数据对比中是新增的，=标记表示该条数据也同样出现在昨天的数据中；

• [52.58.120.225]：恶意IP的主体，主要的数据；

• [2016-05-02 23:14:38]：发现时间，该恶意IP被发现具有恶意企图的时间；

• [2016-05-02 23:14:38]：终止时间，该恶意IP停止攻击或者从监控系统中消失的时间；

• [['scanner']]：恶意行为，恶意IP是如何被发现的，例如：scanner表示进行恶意扫描行为；

• [['ssh']]：协议，在何种协议中发现的恶意IP，例如：ssh表示在ssh协议中发现的，结合恶意行为可判断该恶意IP的操作是：进行了扫描式的恶意SSH登陆尝试；

• [blocklist.de]：情报源，该条情报的来源；

• [75]：可信度，该恶意IP的可信度，数值越大表示可信度越高；

• [AR]：国家，该恶意IP的发现国家代码；

目前恶意IP地址库存在有九个标签字段，可以用来做过滤或者重点检测。

3  样例

=,78.39.252.125,2016-05-0300:34:59,2016-05-03 00:34:59,['proxy'],[],txt.proxyspy.net,75,IR

+,82.209.49.196,2016-05-0300:34:59,2016-05-03 00:34:59,['proxy'],[],txt.proxyspy.net,75,CZ

=,78.40.181.45,2016-05-0300:34:59,2016-05-03 00:34:59,['proxy'],[],txt.proxyspy.net,75,Unknow

=,104.156.239.154,2016-05-0300:34:59,2016-05-03 00:34:59,['proxy'],[],txt.proxyspy.net,75,US

=,117.102.48.44,2016-05-0300:34:59,2016-05-03 00:34:59,['proxy'],[],txt.proxyspy.net,75,PK

=,52.87.246.34,2016-05-0300:34:59,2016-05-03 00:34:59,['proxy'],[],txt.proxyspy.net,75,Unknow

=,178.212.195.54,2016-05-0300:34:59,2016-05-03 00:34:59,['proxy'],[],txt.proxyspy.net,75,UA

=,74.123.74.209,2016-05-0300:34:59,2016-05-03 00:34:59,['proxy'],[],txt.proxyspy.net,75,US

=,154.73.28.212,2016-05-0300:34:59,2016-05-03 00:34:59,['proxy'],[],txt.proxyspy.net,75,LY

 

4  下载方式

关注 守望者实验室 微信公众号；回复关键词“feed”即可获取相关feed文件。

原文始发于微信公众号（守望者实验室）：威胁情报Feed之FAQ (2016/5/5)：恶意ip-feed格式