微步在线云 API

IP 分析

可针对业务日志，以及从防火墙、WAF等安防设备中获取的外部IP，进行分析。获取IP相关地理位置、ASN信息，综合判定威胁类型如:远控（C2）、傀儡机（Zombie）、失陷主机（Compromised）、扫描（Scanner）、钓鱼（Phishing）等，相关攻击团伙或安全事件标签，原始情报，相关样本信息等。

调用脚本

调用脚本下载

请求方法

请求地址： https://api.threatbook.cn/v3/ip/query

请求方式：POSTGET

请求参数说明

序号	参数名称	必选	类型	描述
1	apikey	是	string	API请求的身份识别标识。
2	resource	是	string	仅支持单个查询。支持IPv4、IPv6查询。
3	exclude	可选	string	可根据实际使用场景排除以下参数，返回结果信息，多个参数请以逗号分隔（注意不要有空格）。 asn：asn信息。 ports：端口信息。 cas：SSL证书等信息。 rdns_list：rdns记录信息。 intelligences：威胁情报。 judgments：从威胁情报中分析，综合判定的威胁类型。 tags_classes：相关攻击团伙或安全事件信息标签等。 samples：相关样本。 update_time：情报最近更新时间。 sum_cur_domains：当前指向域名的数量。 scene：应用场景。
4	lang	可选	string	返回结果语言。不输入该参数时，默认返回英文。取值二者选其一： zh：所有返回结果内容中文显示。 en：所有返回结果内容英文显示。

响应参数说明

序号	参数名称	类型	描述
1	response_code	int	响应正常会返回"0"。其他Response code及对应描述参见"响应Code和Msg对照表"
2	verbose_msg	string	响应正常会返回"Ok"。其他Response code及对应描述参见"响应Code和Msg对照表"
3	ips	map	查询的IP地址，是一个JSON Map，key是ip，value是一个JSON对象，字段说明见下"4~12"项所述。
4	basic	object	basic返回是一个JSON对象，字段说明如下： carrier: 运营商/服务商 location: ip对应的位置信息，JSON对象，说明如下： country: 国家 country_code：国家代码 province: 省 city: 城市 lng: 经度 lat: 纬度
5	judgments	array	从威胁情报中分析，结合判定模型，综合判定的威胁类型，返回数据见" 威胁类型全集"。
6	tags_classes	array	相关攻击团伙或安全事件信息，JSON数组，每个item包含字段说明如下： tags_type：标签类别，如"industry(行业)"、"gangs（团伙）"、"virus_family（家族）"等。 tags：具体的攻击团伙或安全事件标签，例如：APT、海莲花等。
7	intelligences	object	威胁情报，是一个JSON对象，每个item的字段定义如下： threatbook_lab：微步在线情报，JSON数组，每个item字段定义如下： source: 情报来源。 find_time: 发现时间。 update_time: 更新时间。 confidence: 可信度评分。 expired：布尔类型，false代表情报仍在有效期，true表示情报已过期。 intel_types: 威胁类型，是一个数组，数组的元素取值见" 威胁类型全集"。 intel_tags:该条情报的标签信息，包含相关攻击团伙或安全事件等。JSON数组，每个item的字段定义同"tag_classes"。 x_reward：X情报社区奖励计划来源情报（微步在线安全分析实验室已验证），JSON数组，每个item字段定义同上"threatbook_lab"。 open_source：开源情报，不建议直接作为决策依据。JSON数组，每个item字段定义同上"threatbook_lab"。注：开源情报当中除独有情报源外，还包含以下非独有情报来源： mirc.com danger.rulez.sk alexa.com binarydefense.com blocklist.de cinsscore.com sslbl.abuse.ch phishtank.com packetmail.net spamhaus.org vxvault.net alienvault.com nothink.org feodotracker.abuse.ch openphish.com hosts-file.net 持续新增中……
8	samples	array	相关样本，最多返回20条。是一个JSON数组，每个item的字段定义如下： sha256: 文件hash scan_time: 检测时间 ratio: 检出率 malware_type: 恶意类型 malware_family: 恶意家族
9	asn	object	asn信息。一个JSON对象，包含： number: ASN号码 info: AS名称 rank: 风险值（0~4，越大代表风险越高）
10	ports	array	IP开放的相关端口信息，是一个JSON数组，每个item字段定义如下： port: IP开放的端口号 module: 应用协议 product: 应用名称 version: 应用版本 detail: 应用详情
11	cas	array	SSL相关证书信息。JSON数组，每个item包含信息如下： protocol：协议。 port：端口信息。 period：证书在IP上使用的时期。 digital_certificate：证书详情。
12	rdns_list	array	Rdns记录。
13	update_time	string	情报的最近更新时间。
14	sum_cur_domains	string	反查当前域名数量。
15	scene	string	应用场景。如：企业专线，数据中心等。全集请见："应用场景分类"。
16	permalink	string	IP对应的情报查询结果页链接

请求示例

微步在线云API支持cURL、Python、PHP、Java、Go语言的请求，以Python为例：

Python

cURL

PHP

Java

Python

import requests

url = "https://api.threatbook.cn/v3/ip/query"

query = {
  "apikey":"请替换apikey",
  "resource":"159.203.93.255"
}

response = requests.request("GET", url, params=query)

print(response.json())

响应示例（JSON）

{
    "data": {
        "159.203.93.255": {
            "samples": [],
            "tags_classes": [],
            "judgments": [
                "IDC"
            ],
            "intelligences": {
                "threatbook_lab": [
                    {
                        "source": "ThreatBook Labs",
                        "confidence": 70,
                        "expired": false,
                        "intel_tags": [],
                        "find_time": "2016-05-17 20:18:33",
                        "intel_types": [
                            "IDC"
                        ],
                        "update_time": "2016-05-17 20:18:33"
                    },
                    {
                        "source": "ThreatBook Labs",
                        "confidence": 90,
                        "expired": true,
                        "intel_tags": [],
                        "find_time": "2018-05-04 17:56:17",
                        "intel_types": [
                            "IDC"
                        ],
                        "update_time": "2018-08-02 21:02:25"
                    }
                ],
                "x_reward": [],
                "open_source": []
            },
            "scene": "",
            "basic": {
                "carrier": "digitalocean.com",
                "location": {
                    "country": "United States",
                    "province": "New York",
                    "city": "New York City",
                    "lng": "-74.006",
                    "lat": "40.713",
                    "country_code": "US"
                }
            },
            "asn": {
                "rank": 2,
                "info": "DIGITALOCEAN-ASN",
                "number": 14061
            },
            "ports": [],
            "cas": [],
            "update_time": "2016-05-17 20:18:33",
            "rdns_list": [],
            "sum_cur_domains": "0",
            "permalink": "https://x.threatbook.com/v5/ip/159.203.93.255"
        }
    },
    "response_code": 0,
    "verbose_msg": "OK"
}

云API是北京微步在线科技有限公司旗下产品了解微步在线《用户服务条款》《数据保护政策》

联系我们：api@threatbook.cn

#IP 分析

#调用脚本

#请求方法

#请求参数说明

#响应参数说明

#请求示例

#响应示例（JSON）