对威胁情报ip-Feed之数据进行再分析

守望者一直在关注国外的开源威胁情报feed站点，我们会结合一手数据+开源情报，目前开源情报收集每天有15-20万+的TI-feed数据，恶意ip-feed去重后基本在4-5万数量。我们会按照标准格式每天提供一个DAT格式文件供使用。本文针对单天的feed，进行了统计分析，以便更好的了解整体情况。原始的文件为watcherlab-ipv4-2016-05-03.txt。具体源文件可见本文最后下载方式。对原始数据的统计分析结果如下：1  国家分布2016年5月3日涉及到恶意IP高达52443个，已知国家175个。其中中国占到5.5%，美国占到26.44%。 前五位的国家是1）美国、  2）RU-俄罗斯、  3）MX-墨西哥4）中国、5）、BR-巴西(BRAZIL)2  时间分布凌晨0-1点、6点、上午9-10点是恶意IP活动的高峰期。3  应用分布Smtp的恶意ip数据最多。4  行为分布最高的依旧是僵尸主机、恶意软件、扫描行为。垃圾邮件紧随其后排在第四位。 5      按行为&时间分布图可以看出恶意ip的活动规律。6  下载方式关注 守望者实验室 微信公众号；回复关键词“feed”即可获取相关feed文件。  原文始发于微信公众号（守望者实验室）：对威胁情报ip-Feed之数据进行再分析