微步在线云 API

IP 分析

可针对业务日志，以及从防火墙、WAF等安防设备中获取的外部IP，进行分析。获取IP相关地理位置、ASN信息，综合判定威胁类型如:远控（C2）、傀儡机（Zombie）、失陷主机（Compromised）、扫描（Scanner）、钓鱼（Phishing）等，相关攻击团伙或安全事件标签，原始情报，相关样本信息等。

调用脚本

调用脚本下载

请求方法

请求地址： https://api.threatbook.cn/v3/ip/query

请求方式：POSTGET

请求参数说明

序号	参数名称	必选	类型	描述
1	apikey	是	string	API请求的身份识别标识。
2	resource	是	string	仅支持单个查询。支持IPv4、IPv6查询。
3	exclude	可选	string	可根据实际使用场景排除以下参数，返回结果信息，多个参数请以逗号分隔（注意不要有空格）。 asn：asn信息。 ports：端口信息。 cas：SSL证书等信息。 rdns_list：rdns记录信息。 intelligences：威胁情报。 judgments：从威胁情报中分析，综合判定的威胁类型。 tags_classes：相关攻击团伙或安全事件信息标签等。 samples：相关样本。 update_time：情报最近更新时间。 sum_cur_domains：当前指向域名的数量。 scene：应用场景。
4	lang	可选	string	返回结果语言。不输入该参数时，默认返回英文。取值二者选其一： zh：所有返回结果内容中文显示。 en：所有返回结果内容英文显示。

响应参数说明

序号	参数名称	类型	描述
1	response_code	int	响应正常会返回"0"。其他Response code及对应描述参见"响应Code和Msg对照表"
2	verbose_msg	string	响应正常会返回"Ok"。其他Response code及对应描述参见"响应Code和Msg对照表"
3	ips	map	查询的IP地址，是一个JSON Map，key是ip，value是一个JSON对象，字段说明见下"4~12"项所述。
4	basic	object	basic返回是一个JSON对象，字段说明如下： carrier: 运营商/服务商 location: ip对应的位置信息，JSON对象，说明如下： country: 国家 country_code：国家代码 province: 省 city: 城市 lng: 经度 lat: 纬度
5	judgments	array	从威胁情报中分析，结合判定模型，综合判定的威胁类型，返回数据见" 威胁类型全集"。
6	tags_classes	array	相关攻击团伙或安全事件信息，JSON数组，每个item包含字段说明如下： tags_type：标签类别，如"industry(行业)"、"gangs（团伙）"、"virus_family（家族）"等。 tags：具体的攻击团伙或安全事件标签，例如：APT、海莲花等。
7	intelligences	object	威胁情报，是一个JSON对象，每个item的字段定义如下： threatbook_lab：微步在线情报，JSON数组，每个item字段定义如下： source: 情报来源。 find_time: 发现时间。 update_time: 更新时间。 confidence: 可信度评分。 expired：布尔类型，false代表情报仍在有效期，true表示情报已过期。 intel_types: 威胁类型，是一个数组，数组的元素取值见" 威胁类型全集"。 intel_tags:该条情报的标签信息，包含相关攻击团伙或安全事件等。JSON数组，每个item的字段定义同"tag_classes"。 x_reward：X情报中心奖励计划来源情报（微步在线安全分析实验室已验证），JSON数组，每个item字段定义同上"threatbook_lab"。 open_source：开源情报，不建议直接作为决策依据。JSON数组，每个item字段定义同上"threatbook_lab"。注：开源情报当中除独有情报源外，还包含以下非独有情报来源： mirc.com danger.rulez.sk alexa.com binarydefense.com blocklist.de cinsscore.com sslbl.abuse.ch phishtank.com packetmail.net spamhaus.org vxvault.net alienvault.com nothink.org feodotracker.abuse.ch openphish.com hosts-file.net 持续新增中……
8	samples	array	相关样本，最多返回20条。是一个JSON数组，每个item的字段定义如下： sha256: 文件hash scan_time: 检测时间 ratio: 检出率 malware_type: 恶意类型 malware_family: 恶意家族 threat_level: 威胁等级（malicious-恶意、suspicious-可疑、clean-安全、unknown-未知）
9	asn	object	asn信息。一个JSON对象，包含： number: ASN号码 info: AS名称 rank: 风险值（0~4，越大代表风险越高）
10	ports	array	IP开放的相关端口信息，是一个JSON数组，每个item字段定义如下： port: IP开放的端口号 module: 应用协议 product: 应用名称 version: 应用版本 detail: 应用详情
11	cas	array	SSL相关证书信息。JSON数组，每个item包含信息如下： protocol：协议。 port：端口信息。 period：证书在IP上使用的时期。 digital_certificate：证书详情。 subject：证书使用者，字符串。 issuer：颁发证书机构，字符串。 fingerprint：证书指纹，字符串。 purpose：证书用途，字符串。 verify：签名算法，字符串。 status：证书状态，0 正常、1过期、2无效、3自签名，字符串。 revoked：布尔值，证书撤销与否。 begin：证书开始时间，字符串。 end：证书失效时间，字符串。 is_trusted：是否可信，布尔类型，true代表可信，false代表不可信。 status_desc：证书状态描述，Normal正常、Expired过期、Invalid无效、Self-signed自签名。字符串。 serial_number：序列号，字符串。 revoked_time：证书撤销时间，字符串。
12	rdns_list	array	Rdns记录。
13	update_time	string	情报的最近更新时间。
14	sum_cur_domains	string	反查当前域名数量。
15	scene	string	应用场景。如：企业专线，数据中心等。全集请见："应用场景分类"。
16	permalink	string	IP对应的情报查询结果页链接

请求示例

微步在线云API支持cURL、Python、PHP、Java、Go语言的请求，以Python为例：

Python

cURL

PHP

Java

Python

import requests

url = "https://api.threatbook.cn/v3/ip/query"

query = {
  "apikey":"请替换apikey",
  "resource":"8.8.8.8"
}

response = requests.request("GET", url, params=query)

print(response.json())

响应示例（JSON）

{
    "data": {
        "8.8.8.8": {
            "samples": [
                {
                    "sha256": "766c9a7d7dda6fadde2b6a53e799e684a7fa6ca4283211bb82ee6d9186b8e1d6",
                    "ratio": "17/26",
                    "scan_time": "2021-12-16 05:25:33",
                    "malware_type": "病毒",
                    "malware_family": "Kolabc"
                },
                {
                    "sha256": "f4c11cd3f6839a2dcc0116096ddc0e4b88663d77cc01cc6950346229feaec19a",
                    "ratio": "15/26",
                    "scan_time": "2021-12-16 05:01:43",
                    "malware_type": "病毒",
                    "malware_family": "Kolabc"
                }
            ],
            "tags_classes": [
                {
                    "tags": [
                        "GoogleCloud"
                    ],
                    "tags_type": "public_info"
                }
            ],
            "judgments": [
                "Gateway",
                "Whitelist",
                "CDN"
            ],
            "intelligences": {
                "threatbook_lab": [
                    {
                        "source": "ThreatBook Labs",
                        "confidence": 75,
                        "expired": false,
                        "intel_tags": [],
                        "find_time": "2025-12-09 06:17:42",
                        "intel_types": [
                            "Gateway"
                        ],
                        "update_time": "2026-05-19 06:01:01"
                    },
                    {
                        "source": "ThreatBook Labs",
                        "confidence": 85,
                        "expired": false,
                        "intel_tags": [],
                        "find_time": "2023-10-19 23:30:02",
                        "intel_types": [
                            "CDN"
                        ],
                        "update_time": "2024-06-08 23:30:02"
                    }
                ],
                "x_reward": [],
                "open_source": [
                    {
                        "source": "phishtank.com",
                        "confidence": 55,
                        "expired": false,
                        "intel_tags": [],
                        "find_time": "2023-03-17 02:06:22",
                        "intel_types": [
                            "Phishing"
                        ],
                        "update_time": "2025-01-28 04:39:33"
                    },
                    {
                        "source": "Open Source ",
                        "confidence": 65,
                        "expired": false,
                        "intel_tags": [],
                        "find_time": "2021-01-23 03:26:28",
                        "intel_types": [
                            "Suspicious"
                        ],
                        "update_time": "2026-03-20 05:26:47"
                    }
                ]
            },
            "scene": "Cloud Provider",
            "permalink": "https://x.threatbook.com/v5/ip/8.8.8.8",
            "basic": {
                "carrier": "Google LLC",
                "location": {
                    "country": "United States",
                    "province": "",
                    "city": "",
                    "lng": "-101.407912",
                    "lat": "39.765054",
                    "country_code": "US"
                }
            },
            "asn": {
                "rank": 4,
                "info": "GOOGLE",
                "number": 15169
            },
            "ports": [
                {
                    "port": 853,
                    "module": "domain",
                    "product": "",
                    "version": "",
                    "detail": ""
                },
                {
                    "port": 443,
                    "module": "https",
                    "product": "HTTP server (unknown)",
                    "version": "",
                    "detail": ""
                },
                {
                    "port": 80,
                    "module": "unknown",
                    "product": "",
                    "version": "",
                    "detail": ""
                },
                {
                    "port": 53,
                    "module": "dns",
                    "product": "PowerDNS Recursor",
                    "version": "4.6.0",
                    "detail": ""
                }
            ],
            "cas": [
                {
                    "protocol": "https",
                    "port": 443,
                    "digital_certificate": {
                        "subject": "dns.google",
                        "issuer": "WR2",
                        "fingerprint": "731bceed54fa81fc066acd8324f47dd16be28757",
                        "purpose": "SSL server|Netscape SSL server|Any Purpose|Any Purpose CA|OCSP helper",
                        "verify": "SHA256WITHRSA",
                        "status": "1",
                        "revoked": false,
                        "begin": "2025-07-07 16:35:58",
                        "end": "2025-09-29 16:35:57",
                        "status_desc": "Expired",
                        "serial_number": "f6dd595b0c2839cd0912a6e66311be3a",
                        "revoked_time": ""
                    }
                },
                {
                    "protocol": "domain",
                    "port": 853,
                    "digital_certificate": {
                        "subject": "dns.google",
                        "issuer": "WR2",
                        "fingerprint": "731bceed54fa81fc066acd8324f47dd16be28757",
                        "purpose": "SSL server|Netscape SSL server|Any Purpose|Any Purpose CA|OCSP helper",
                        "verify": "SHA256WITHRSA",
                        "status": "1",
                        "revoked": false,
                        "begin": "2025-07-07 16:35:58",
                        "end": "2025-09-29 16:35:57",
                        "status_desc": "Expired",
                        "serial_number": "f6dd595b0c2839cd0912a6e66311be3a",
                        "revoked_time": "",
                        "is_trusted": true
                    }
                },
                {
                    "protocol": "https",
                    "port": 443,
                    "digital_certificate": {
                        "subject": "dns.google",
                        "issuer": "WR2",
                        "fingerprint": "1b2a519beb42061800248e7293e669e1a85355d9",
                        "purpose": "SSL server|Netscape SSL server|Any Purpose|Any Purpose CA|OCSP helper",
                        "verify": "SHA256WITHRSA",
                        "status": "1",
                        "revoked": false,
                        "begin": "2025-06-23 16:42:18",
                        "end": "2025-09-15 16:42:17",
                        "status_desc": "Expired",
                        "serial_number": "995a41cfdf4fcdfa108e77426ba2026a",
                        "revoked_time": "",
                        "is_trusted": true
                    }
                }
            ],
            "update_time": "2026-05-19 06:01:01",
            "rdns_list": [
                {
                    "rdns": "dns.google",
                    "get_time": "2023-11-22 00:00:00"
                }
            ],
            "sum_cur_domains": "1000+"
        }
    },
    "response_code": 0,
    "verbose_msg": "OK"
}

云API是北京微步在线科技有限公司旗下产品了解微步在线《用户服务条款》《数据保护政策》

联系我们：api@threatbook.cn

#IP 分析

#调用脚本

#请求方法

#请求参数说明

#响应参数说明

#请求示例

#响应示例（JSON）