Milastream/domain-threat-intelligence-scorer

[域名威胁情报评分器](https://apify.com/ntriqpro/domain-threat-intelligence-scorer?fpr=data) # 域名威胁情报评分器 即时检查任何域名或 URL 是否为钓鱼网站、恶意软件托管主机或滥用 IP —— 无需运行您自己的威胁情报源基础设施。并行交叉检查 PhishTank、URLhaus (abuse.ch) 和 AbuseIPDB，生成 0–100 的威胁评分、评级以及具有指导性的判定结果，帮助安全团队和平台大规模拦截威胁。 ## 域名威胁情报评分器能做什么？ - 通过 POST API 检查域名是否匹配 PhishTank 已验证的钓鱼 URL 数据库 - 查询 URLhaus (abuse.ch) 恶意软件源，获取活跃的恶意 URL 以及 Spamhaus/SURBL 黑名单状态 - 将域名解析为 IP 地址，并检查 AbuseIPDB 的置信度评分和总滥用报告数 - 从 URLhaus 元数据中提取恶意软件家族标签（例如 Emotet、Cobalt Strike） - 返回综合威胁评分、评级（Clean/Low/Medium/High/Critical）以及特定的威胁标志 ## 核心功能 - **多源交叉验证**：结合 PhishTank、URLhaus/abuse.ch 和 AbuseIPDB，提供涵盖钓鱼、恶意软件和 IP 滥用向量的全面威胁情报 - **评分系统**：生成 0–100 的威胁评分，评级从 Clean 到 Critical - **威胁标志检测**：标记 `CONFIRMED_PHISHING`、`ACTIVE_MALWARE_HOST`、`RANSOMWARE`、`BLACKLISTED` 等 - **恶意软件家族识别**：从 URLhaus 标签中揭示与该域名相关的特定恶意软件家族 - **批处理**：支持在单次运行中分析多个域名 - **按事件付费**：每次分析仅需 $0.05 —— 无需订阅 ## 输入 | 参数 | 类型 | 必填 | 描述 | | --- | --- | --- | --- | | `domains` | array | 是 | 要分析的域名或 URL 列表（协议和路径会被自动去除） | ## 输出示例 ``` { "domain": "evil-phishing-example.com", "threatScore": 75, "grade": "High", "verdict": "High risk — active threats identified, blocking recommended", "phishingStatus": "Confirmed phishing site", "phishDetailPage": "https://www.phishtank.com/phish_detail.php?phish_id=12345", "malwareUrls": 2, "malwareBlacklisted": true, "abuseConfidence": 87, "resolvedIp": "192.0.2.45", "ipTotalReports": 234, "ipUsageType": "Data Center/Web Hosting/Transit", "threatTypes": ["Emotet", "phishing"], "flags": ["CONFIRMED_PHISHING", "MALWARE_URLS_DETECTED", "BLACKLISTED", "HIGH_ABUSE_CONFIDENCE"], "scoreBreakdown": { "phishing": 40, "malware": 20, "ipAbuse": 25, "total": 75 }, "sources": [ "PhishTank (https://www.phishtank.com)", "URLhaus / abuse.ch (https://urlhaus.abuse.ch)", "AbuseIPDB (https://www.abuseipdb.com)" ], "timestamp": "2024-01-15T10:30:00Z" } ``` ## 使用场景 - **邮件安全网关**：利用实时的钓鱼和恶意软件判定结果增强入站链接扫描 - **SOC 威胁狩猎**：批量筛查来自日志文件、SIEM 警报或威胁情报源的域名 - **品牌保护**：监控使用您的品牌名称分发钓鱼工具包的冒充域名 - **威胁情报平台**：将域名评分作为现有工作流中的一个信息富集步骤进行集成 ## 数据源 | 数据源 | 覆盖范围 | 速率限制 | | --- | --- | --- | | PhishTank | 200万+ 已验证的钓鱼 URL | 免费；提供 API key 可提升限额 | | URLhaus / abuse.ch | 活跃恶意软件 URL 源，Spamhaus/SURBL 黑名单 | 免费，无需 API key | | AbuseIPDB | 800万+ IP 滥用报告（90天窗口期） | 免费层：使用 API key 每天 1,000 次请求 | ## 评分明细 | 维度 | 最高分 | 衡量标准 | | --- | --- | --- | | 钓鱼 (PhishTank) | 40 | 已验证 = 40，未验证 = 25，未发现 = 0 | | 恶意软件 (URLhaus) | 35 | 5个及以上活跃 URL = 35，1–4个 = 20，仅在黑名单中 = 30 | | IP 滥用 (AbuseIPDB) | 25 | 置信度 >80% = 25，50–80% = 15，20–50% = 8 | ## 定价 此 actor 采用按事件付费定价，**每次分析 $0.05**。您只需为成功的分析付费。 ## API Key（可选） 部分数据源配合 API key 使用效果更好。请将这些设置为环境变量： - `ABUSEIPDB_API_KEY`：IP 信誉查询必需 —— [在此获取免费 key](https://www.abuseipdb.com/register) - `PHISHTANK_APP_KEY`：提升 PhishTank 速率限制 —— [在此获取免费 key](https://www.phishtank.com/api_register.php) 如果没有 AbuseIPDB key，IP 滥用维度将被跳过，最高可能得分为 75/100。PhishTank 和 URLhaus 无需任何 key 即可正常工作。 ## 🔗 ntriqpro 的相关 Actor 使用 ntriqpro 情报网络扩展此 actor： - [**cve-threat-prioritizer**](https://apify.com/ntriqpro/cve-threat-prioritizer) — 根据可利用性和活跃威胁对 CVE 进行优先级排序 - [**nist-cve-vulnerability-scanner**](https://apify.com/ntriqpro/nist-cve-vulnerability-scanner) — NIST NVD CVE 漏洞查询 - [**first-cvss-severity-index**](https://apify.com/ntriqpro/first-cvss-severity-index) — FIRST CVSS 严重性评分 ## ⭐ 喜欢它？留下评价吧 您的评分有助于专业人士发现此 actor。[在此处评分](https://apify.com/ntriqpro/domain-threat-intelligence-scorer/reviews)。

标签：Apify, MITM代理, Sigma 规则, 域名分析, 威胁情报, 安全, 开发者工具, 网络信息收集, 网络调试, 自动化, 超时处理