您可以通过威胁情报搜索功能,对全网IP、域名和文件进行搜索,帮助您及时有效排查存在风险的恶意IP、域名和可疑文件。

背景信息

威胁情报服务会在搜索结果中为您展示指定IP、域名和文件的详细信息和威胁关联数据,您可以通过搜索结果中的信息判断是否存在恶意IP(仅支持IPv4)、域名或存在威胁的进程文件。

每个阿里云主账号针对每类IOC(即IP、域名或MD5)的查询上限为20次/天。如果当天的查询额度耗尽,您需要根据页面提示购买服务或申请更高权限。

说明 免费试用期间,您每天最多有20次(包括IP、域名、文件MD5)查询的额度。您查询过20次后,免费查询额度将为0,您需要充值续费才可以继续使用威胁情报服务。

操作步骤

  1. 登录威胁情报控制台
  2. 在左侧导航栏单击搜索
  3. 阿里云威胁情报搜索栏中输入您需要查询的可疑或恶意IP地址、域名或文件MD5值,或者上传需要检测的文件,然后单击【搜索】按钮进行查询。
    说明 仅支持搜索单个IP地址,不支持同时搜索多个IP地址;IPv6地址暂不支持。
    执行搜索操作后,会跳转至对应的报告页面。不同的报告页面介绍如下:
    • IP报告
      您可以在IP报告页面查看该IP地址的基本信息、攻击风险程度分析等信息。详细说明如下:
      • 威胁等级

        威胁情报服务将全球范围内的IP地址划分为高危、中危、低危、正常和未知5个威胁等级。如果检索的IP地址被识别为高危等级,建议您立即对该IP地址进行处理。

      • 该可疑或恶意IP的基本信息

        该IP地址的基本信息包括所在国家、城市、ASN编码、存在关联的域名、文件数量、IP标签等信息。

        说明 威胁情报服务对该IP地址进行威胁检测和分析后,会提供该IP的风险威胁标签。标签包括暴力破解、失陷主机、僵尸网络、木马、蠕虫、矿池、Web攻击等主要威胁类型,不支持自定义。如果威胁情报判定该IP地址存在威胁,IP标签模块会展示红色标签和具体的标签名称为您提供警示,请您及时关注。如果威胁情报判定该IP地址是正常IP,IP标签模块会展示为绿色标签,并提供具体的标签名称供您参考。
      • 威胁概述

        威胁概述页签为您展示了该IP地址的Top5攻击偏好、ATT&CK MATRIX阶段、攻击数量和IP进一个活跃信息。

      • 攻击路径测绘

        攻击路径测绘页签为您展示了该IP地址的情报标签、首次发现时间、最后活跃时间和威胁标签。

      • RDNS

        RDNS页签展示了该IP的反向域名解析信息,包括首次发现时间、最后活跃时间、关联度、以及对应域名的威胁标签。

      • 相关样本

        相关样本页签展示了该IP的访问样本和下载样本信息,包括文件MD5、扫描时间、威胁标签。

      • 相关URL

        相关URL页签展示了该IP相关的URL、扫描时间、威胁标签。

      • 相关安全咨询

        相关安全咨询页签展示了该IP相关安全分析报告或者咨询文章URL。

      • 相关攻击组织

        相关攻击组织页签展示了该IP关联的软件家族和组织团伙点,击攻击组织名称则可以跳转到相关家族和团伙具体详情【如果无相关家族团伙则无此菜单】。

    • 域名报告
      您可以在域名报告页面查看该域名是否存在威胁和对应的威胁等级、域名的Whois信息、域名注册时间和有效期、域名的威胁详情等信息。详细说明如下:
      • 威胁等级

        威胁情报服务将全球范围内的域名划分为高危、中危、低危、正常和未知5个威胁等级。如果检索的域名被识别为高危等级,建议您立即对该域名进行处理。

      • 报告摘要信息

        报告摘要信息包括该域名历史上检测出的恶意IP数量、域名上的恶意URL地址、该域名的恶意子域名数量、与该域名进行过恶意通信的样本数量、该域名的注册时间和过期时间。报告摘要中如果有项目为空,表示当前该项未产生检测结果。

      • 域名的标签

        威胁情报服务对该域名行威胁检测和分析后,会提供该域名的风险威胁标签。标签包括暴力破解、失陷主机、僵尸网络、木马、蠕虫、矿池、Web攻击等主要威胁类型,标签不支持自定义。如果威胁情报判定该域名存在威胁,域名标签模块会展示红色标签和具体的标签名称为您提供警示,请您及时关注。绿色标签表示该文件的基础属性,为您了解该域名提供更多信息。

      • 威胁概述

        威胁概述页签展示了该域名的威胁ATT&CK MATRIX阶段和域名进一个月活跃情况。

      • 威胁详情

        威胁详情页签下的详情页签中,展示了该域名的威胁情报标签、首次发现时间、最后活跃时间和威胁标签。

      • Whois

        Whois页签展示了该域名的注册Whois数据,包括注册商、注册人邮箱、创建时间、过期时间等。

      • 域名解析

        域名解析页签展示了该域名的历史解析记录,包括解析IP、首末次时间,解析关联强度,高表示解析次数多,低表示解析次数相对较少。

      • 相关子域名

        相关子域名页签展示了该域名相关的恶意子域名。

      • 相关样本

        相关样本页签展示了该域名的访问样本和下载样本信息,包括文件MD5、扫描时间、威胁标签。

      • 相关URL

        相关URL页签展示了该域名相关URL、扫描时间、威胁标签。

      • 数字签名

        数字签名页签展示了该域名相关的数字签名信息。

      • 相关安全咨询

        相关安全咨询页签展示了该域名相关安全分析报告或者咨询文章URL。

      • 相关攻击组织

        相关攻击组织页签展示了该域名关联的软件家族和组织团伙,点击攻击组织名称则可以跳转到相关家族和团伙具体详情【如果无相关家族团伙则无此菜单】。

    • MD5文件报告
      您可以在MD5文件报告页面查看该文件是否存在威胁和对应的威胁等级、文件报告摘要、静态威胁分析、域名的威胁详情等信息。详细说明如下:
      • 威胁等级

        威胁情报服务将文件划分为高危、中危、低危、正常和未知5个威胁等级。如果检索的文件被识别为高危等级,建议您立即对该文件进行处理。

      • 报告摘要信息

        报告摘要信息包括该文件的文件标签、文件名称(即MD5值)、首次发现时间等。

        说明 威胁情报服务对该文件行威胁检测和分析后,会提供该文件的风险威胁标签。标签包括暴力破解、失陷主机、僵尸网络、木马、蠕虫、矿池、Web攻击等主要威胁类型,标签不支持自定义。如果威胁情报判定该文件存在威胁,文件标签模块会展示红色标签和具体的标签名称为您提供警示,请您及时关注。绿色标签表示该文件的基础属性,为您了解该文件提供更多信息。
      • 静态威胁分析和动态威胁分析结果

        静态威胁分析采用阿里云自研的威胁检测引擎,有效检测出二进制文件(例如:病毒)和脚本文件(例如:WebShell等)。威胁情报服务使用威胁标签对静态威胁分析结果进行标签分类,标签类别包括恶意、正常、可疑、未检测(表示当前文件不适用于检测引擎),帮助您更精准地判断威胁的类型。

        动态威胁分析是指使用沙箱模拟运行该文件时,监控到的释放文件、发起网络连接和DNS请求这三种动态行为的记录。对于这些相关文件、IP和域名,如果已经被威胁情报服务识别为恶意,则会展示对应的标签信息,帮助您分析该恶意文件可能会涉及到的影响,并进一步发现该文件关联的恶意文件、IP和域名。标签类别包括恶意、正常、可疑、未检测(表示当前文件不适用于指定的检测引擎)。
        说明 释放文件表示将该文件写入到其他路径;网络连接表示该文件与网络进行通信的信息;DNS请求表示该文件访问的域名信息。
      • 相关安全咨询

        相关安全咨询页签展示了该域名相关安全分析报告或者咨询文章URL。

    热门IOC示例表示当天用户搜索量排名前10的IP、域名和文件MD5值。

  4. 可选:如果有存在误报或漏洞的情况,您可以在对应报告页面,单击页面右上角的IOC反馈,反馈至阿里云威胁情报团队进行进一步分析。