威胁情报服务支持威胁情报搜索功能,可以对全网IP、域名和搜索,帮助您及时有效排查存在风险的恶意IP、域名和可疑文件。

背景信息

威胁情报服务会在搜索结果中为您展示指定IP、域名和文件的详细信息和威胁关联数据,您可以通过搜索结果中的信息判断是否存在恶意IP(仅支持IPv4)、域名或存在威胁的进程文件。

说明 免费试用期间,您最多有10次IP地址查询的额度。您查询过10次IP地址后,免费查询额度将为0,您需要充值续费才可以继续使用威胁情报服务。

操作步骤

  1. 登录威胁情报控制台
  2. 在左侧导航栏单击搜索
  3. 阿里云威胁情报搜索栏中输入您需要查询的可疑或恶意IP地址、域名或文件MD5值,然后单击搜索图标图标。输入IP地址
    说明 仅支持搜索单个IP地址,不支持同时搜索多个IP地址;IPv6地址暂不支持。
    执行搜索操作后,会跳转至对应的报告页面。不同的报告页面介绍如下:
    • 搜索【IP报告】
      您可以在搜索【IP报告】页面查看该IP地址的基本信息、已知的入侵次数、攻击风险程度分析等信息。详细说明如下:
      • 查看该可疑或恶意IP的威胁等级。

        威胁情报服务将全球范围内的IP地址划分为正常、可疑和高危3个威胁等级。如果检索的IP地址被识别为高危等级,建议您立即对该IP地址进行处理。

      • 查看该可疑或恶意IP的基本信息。

        该IP地址的基本信息包括所在国家、城市、ASN编码、存在关联的域名、文件数量、IP标签等信息。

        说明 威胁情报服务对该IP地址进行威胁检测和分析后,会提供该IP的风险威胁标签。标签包括暴力破解、失陷主机、僵尸网络、木马、蠕虫、矿池、Web攻击等主要威胁类型,不支持自定义。如果威胁情报判定该IP地址存在威胁,IP标签模块会展示红色标签和具体的标签名称为您提供警示,请您及时关注。如果威胁情报判定该IP地址是正常IP,IP标签模块会展示为绿色标签,并提供具体的标签名称供您参考。
      • 查看该可疑或恶意IP的威胁统计数据。

        您可以在威胁统计模块查看该IP的威胁概述、IP详情和威胁详情。

        威胁概述页签为您展示了该IP地址的Top 5攻击偏好、攻击数量、攻击风险程度分类和威胁活动信息。

        IP详情页签为您展示了该IP地址的Whois值和IP反查信息。

        威胁详情页签为您展示了该IP地址的情报来源、首次发现时间、最后活跃时间和威胁标签。

    • 搜索【域名报告】
      您可以在搜索【域名报告】页面查看该域名是否存在威胁和对应的威胁等级、域名的Whois信息、域名注册时间和有效期、域名的威胁详情等信息。详细说明如下:
      • 查看该域名的威胁等级。

        威胁情报服务将全球范围内的域名划分为正常、可疑和高危3个威胁等级。如果检索的域名被识别为高危等级,建议您立即对该域名进行处理。

      • 查看该域名的报告摘要信息。
        报告摘要信息包括该域名历史上检测出的恶意IP数量、域名上的恶意URL地址、该域名的恶意子域名数量、与该域名进行过恶意通信的样本数量、该域名的注册时间和过期时间。报告摘要中如果有项目为空,表示当前该项未产生检测结果。
        说明 威胁情报服务对该域名行威胁检测和分析后,会提供该域名的风险威胁标签。标签包括暴力破解、失陷主机、僵尸网络、木马、蠕虫、矿池、Web攻击等主要威胁类型,标签不支持自定义。如果威胁情报判定该域名存在威胁,域名标签模块会展示红色标签和具体的标签名称为您提供警示,请您及时关注。绿色标签表示该文件的基础属性,为您了解该域名提供更多信息。
      • 查看该域名的威胁统计信息。

        域名详情页签展示了您搜索的域名的Whois信息。

        威胁概述页签展示了该域名的攻击风险程度分类和威胁活动信息。

        威胁详情页签展示了该域名的威胁情报来源、首次发现时间、最后活跃时间和威胁标签。

        相关威胁指标页面展示了该域名关联的恶意文件、恶意IP和恶意子域名信息。

        威胁关联页面通过图形和表单两种形式,展示该域名的关联域名的威胁等级等信息。

    • 搜索【文件报告】
      您可以在搜索【文件报告】页面查看该文件是否存在威胁和对应的威胁等级、文件报告摘要、静态威胁分析、域名的威胁详情等信息。详细说明如下:
      • 查看该文件的威胁等级。

        威胁情报服务将文件划分为正常、可疑和高危3个威胁等级。如果检索的文件被识别为高危等级,建议您立即对该文件进行处理。

      • 查看该文件的报告摘要信息。

        报告摘要信息包括该文件的文件标签、文件名称(即MD5值)、首次发现时间。

        说明 威胁情报服务对该文件行威胁检测和分析后,会提供该文件的风险威胁标签。标签包括暴力破解、失陷主机、僵尸网络、木马、蠕虫、矿池、Web攻击等主要威胁类型,标签不支持自定义。如果威胁情报判定该文件存在威胁,文件标签模块会展示红色标签和具体的标签名称为您提供警示,请您及时关注。绿色标签表示该文件的基础属性,为您了解该文件提供更多信息。
      • 查看该文件的静态威胁分析和动态威胁分析结果。

        静态威胁分析采用阿里云自研的威胁检测引擎,有效检测出二进制文件(例如:病毒)和脚本文件(例如:Webshell等)。威胁情报服务使用威胁标签对静态威胁分析结果进行标签分类,标签类别包括恶意、正常、可疑、未检测(表示当前文件不适用于检测引擎),帮助您更精准地判断威胁的类型。

        动态威胁分析是指使用沙箱模拟运行该文件时,监控到的释放文件、发起网络连接和DNS请求这三种动态行为的记录。对于这些相关文件、IP和域名,如果已经被威胁情报服务识别为恶意,则会展示对应的标签信息,帮助您分析该恶意文件可能会涉及到的影响,并进一步发现该文件关联的恶意文件、IP和域名。标签类别包括恶意、正常、可疑、未检测(表示当前文件不适用于指定的检测引擎)。
        说明 释放文件表示将该文件写入到其他路径;网络连接表示该文件与网络进行通信的信息;DNS请求表示该文件访问的域名信息。