获取IP地址相关地理位置信息、域名解析信息、威胁类型、相关攻击团伙或安全事件信息。
默认接口请求频率限制:100次/秒。
调试
您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。
请求参数
名称 | 类型 | 是否必选 | 示例值 | 描述 |
---|---|---|---|---|
Action | String | 是 | DescribeIpReport |
系统规定参数。取值:DescribeIpReport。 |
Ip | String | 是 | 192.0.XX.XX |
要查询的IP。 |
Field | String | 否 | TagsThreatTypes,Intelligences,AttackPreferenceTop5,AttackCntByThreatType |
要查询的字段。可以输入多个参数值,以英文逗号分隔。 取值:
|
返回数据
名称 | 类型 | 示例值 | 描述 |
---|---|---|---|
Context | String | "" |
暂空,保留字段 |
Intelligences | String | [{"last_find_time": "2021-01-29 10:50:00", "threat_type_l2": "一句话木马扫描", "first_find_time": "2021-01-29 00:28:43", "source": "aliyun"}] |
威胁情报事件信息。 字段含义:
|
Whois | String | { "serial_number": "18395475168054001104",...} |
IP 的Whois信息。 |
RequestId | String | BE036526-FE84-46A8-9165-F086E9810E2F |
阿里云为此次调用请求生成的唯一标识符。 |
AttackPreferenceTop5 | String | [{"event_cnt":586,"industry_name":"Gaming","gmt_last_attack":"2020-06-14 21:54:04"}] |
该 IP 攻击目标的 Top 5 行业分布。 字段含义:
|
Confidence | String | "98" |
对判定结果的置信程度,置信度值越高,说明对判定结果(判定结果是ThreatLevel字段)有多少信心。通常认为置信度大于90的结果可以作为精准结果,对于恶意的高威胁等级的指标可以进行拦截。对于正常(ThreatLevel等于0)的结果可以放行。 取值范围0-100:
|
ThreatTypes | String | [{"threat_type_desc": "漏洞扫描", "last_find_time": "2021-01-29 10:50:00", "risk_type": 2, "scenario": "攻击指标", "threat_type": "Exploit Scanning", "first_find_time": "2021-01-29 00:28:43", "attck_stage": "initial access" }, {"threat_type_desc": "SQL注入", "last_find_time": "2021-02-28 00:18:40", "risk_type": 3, "scenario": "攻击指标", "threat_type": "SQL Injection", "first_find_time": "2021-02-25 15:54:09", "attck_stage": "" }] |
从威胁情报、安全事件分析出来的风险标签,例如远程控制、恶意软件等。 字段含义:
常见的威胁标签(threat_type字段)取值:
|
Scenario | String | "攻击指标" |
该 IP 所适用的攻击场景。 取值:
|
Ip | String | { "country": "美国", "province": "加利福尼亚州", "city": "洛杉矶", "ip": "X.X.X.X", "isp": "example.com", "idc_name": "*", "asn": "XXXXXX", "asn_label": "VNET" } |
IP的基础信息。 字段含义:
|
ThreatLevel | String | "3" |
威胁等级,命中以后造成的危害等级,恶意的等级有高危、中危、低危、正常和未知五个等级。使用的时候可以结合置信度(Confidence字段)来使用,对高危并且高置信度的数据进行拦截。对于正常(即白名单)的类型可以进行放行。 取值:
|
AttackCntByThreatType | String | [{"event_cnt": 2536, "threat_type": "应用层入侵"}] |
不同攻击阶段的攻击次数。 该参数使用JSON数组表示,数组中的字段含义说明如下: 字段含义:
|
Group | String | "" |
暂空,保留字段 |
示例
请求示例
http(s)://[Endpoint]/?Action=DescribeIpReport
&Ip=X.X.X.X
&Field=ThreatTypes%2CIntelligences%2CAttackPreferenceTop5%2CAttackCntByThreatType
&<公共请求参数>
正常返回示例
XML
格式
HTTP/1.1 200 OK
Content-Type:application/xml
<DescribeIpReportResponse>
<Context/>
<Whois/>
<AttackCntByThreatType>
<event_cnt>2536</event_cnt>
<threat_type>应用层入侵</threat_type>
</AttackCntByThreatType>
<RequestId>A736BB54-4819-475E-813B-B466968B18B9</RequestId>
<ThreatLevel>3</ThreatLevel>
<Confidence>98</Confidence>
<Ip>
<country>美国</country>
<province>加利福尼亚州</province>
<city>洛杉矶</city>
<ip>X.X.X.X</ip>
<isp>example.com</isp>
<idc_name>*</idc_name>
<asn>XXXXXX</asn>
<asn_label>VNET</asn_label>
</Ip>
<ThreatTypes>
<threat_type_desc>SQL注入</threat_type_desc>
<last_find_time>2021-02-28 00:18:40</last_find_time>
<risk_type>3</risk_type>
<scenario>攻击指标</scenario>
<threat_type>SQL Injection</threat_type>
<first_find_time>2021-02-25 15:54:09</first_find_time>
<attck_stage/>
</ThreatTypes>
<ThreatTypes>
<threat_type_desc>网络服务扫描</threat_type_desc>
<last_find_time>2021-03-17 23:52:39</last_find_time>
<risk_type>2</risk_type>
<scenario>攻击指标</scenario>
<threat_type>Network Service Scanning</threat_type>
<first_find_time>2020-11-09 02:04:25</first_find_time>
<attck_stage>initial access</attck_stage>
</ThreatTypes>
<Intelligences>
<last_find_time>2021-01-29 10:50:00</last_find_time>
<threat_type_l2>一句话木马扫描</threat_type_l2>
<first_find_time>2021-01-29 00:28:43</first_find_time>
<source>aliyun</source>
</Intelligences>
<Intelligences>
<last_find_time>2021-02-28 00:18:40</last_find_time>
<threat_type_l2>SQL注入攻击</threat_type_l2>
<first_find_time>2021-02-25 15:54:09</first_find_time>
<source>aliyun</source>
</Intelligences>
<Intelligences>
<last_find_time>2021-03-12 14:59:18</last_find_time>
<threat_type_l2>请求etcpasswd</threat_type_l2>
<first_find_time>2021-03-12 14:59:18</first_find_time>
<source>aliyun</source>
</Intelligences>
<AttackPreferenceTop5>
<event_cnt>4</event_cnt>
<industry_name>互联网</industry_name>
<gmt_last_attack>2021-02-23 08:01:11</gmt_last_attack>
</AttackPreferenceTop5>
<AttackPreferenceTop5>
<event_cnt>42</event_cnt>
<industry_name>零售</industry_name>
<gmt_last_attack>2021-03-17 12:00:21</gmt_last_attack>
</AttackPreferenceTop5>
<Scenario>攻击指标</Scenario>
</DescribeIpReportResponse>
JSON
格式
HTTP/1.1 200 OK
Content-Type:application/json
{
"Context" : "",
"Whois" : "",
"AttackCntByThreatType" : [ {
"event_cnt" : 2536,
"threat_type" : "应用层入侵"
} ],
"RequestId" : "A736BB54-4819-475E-813B-B466968B18B9",
"ThreatLevel" : "3",
"Confidence" : "98",
"Ip" : {
"country" : "美国",
"province" : "加利福尼亚州",
"city" : "洛杉矶",
"ip" : "X.X.X.X",
"isp" : "example.com",
"idc_name" : "*",
"asn" : "XXXXXX",
"asn_label" : "VNET"
},
"ThreatTypes" : [ {
"threat_type_desc" : "SQL注入",
"last_find_time" : "2021-02-28 00:18:40",
"risk_type" : 3,
"scenario" : "攻击指标",
"threat_type" : "SQL Injection",
"first_find_time" : "2021-02-25 15:54:09",
"attck_stage" : ""
}, {
"threat_type_desc" : "网络服务扫描",
"last_find_time" : "2021-03-17 23:52:39",
"risk_type" : 2,
"scenario" : "攻击指标",
"threat_type" : "Network Service Scanning",
"first_find_time" : "2020-11-09 02:04:25",
"attck_stage" : "initial access"
} ],
"Intelligences" : [ {
"last_find_time" : "2021-01-29 10:50:00",
"threat_type_l2" : "一句话木马扫描",
"first_find_time" : "2021-01-29 00:28:43",
"source" : "aliyun"
}, {
"last_find_time" : "2021-02-28 00:18:40",
"threat_type_l2" : "SQL注入攻击",
"first_find_time" : "2021-02-25 15:54:09",
"source" : "aliyun"
}, {
"last_find_time" : "2021-03-12 14:59:18",
"threat_type_l2" : "请求etcpasswd",
"first_find_time" : "2021-03-12 14:59:18",
"source" : "aliyun"
} ],
"AttackPreferenceTop5" : [ {
"event_cnt" : 4,
"industry_name" : "互联网",
"gmt_last_attack" : "2021-02-23 08:01:11"
}, {
"event_cnt" : 42,
"industry_name" : "零售",
"gmt_last_attack" : "2021-03-17 12:00:21"
} ],
"Scenario" : "攻击指标"
}