Skip to main content

威脅情報

威脅情報提供已知攻擊者、惡意 IP、domain、URL、malware 特徵的結構化資訊。Panguard 自動查這些資料庫,判斷你系統上的活動是不是跟已知威脅有關。
你不需要懂技術細節。Guard 自動查詢,結果用白話跟你說。

5 個內建威脅情報 feed

abuse.ch 系列

來源指標類型說明
ThreatFoxIP、domain、URL、hashmalware 攻擊活動的入侵指標 (IoC) 資料庫
URLhausURLmalware 散布 URL 資料庫
Feodo TrackerIP殭屍網路 C2 server 追蹤

其他來源

來源指標類型說明
GreyNoiseIP分辨針對性攻擊和大規模掃描
AbuseIPDBIP社群回報的惡意 IP 資料庫,附信心度評分

Feed 更新排程

Feed更新頻率查詢方式
ThreatFox每小時本地 cache
URLhaus每小時本地 cache
Feodo Tracker每小時本地 cache
GreyNoise即時查詢API call
AbuseIPDB即時查詢API call
1 小時的更新間隔可以改。頻寬有限的話可以調成 6 或 24 小時。

本地 Cache

查詢結果會 cache 在本地,避免重複查:
  • Cache 時間:依來源 1-24 小時
  • Cache 位置:Guard 資料目錄
  • 過期的自動清掉

入侵指標 (IoC)

威脅情報追蹤這些指標類型:
類型說明範例
IP已知惡意 IP203.0.113.50
Domain惡意 domainmalware.example.com
URL惡意 URLhttp://evil.com/payload.exe
File Hashmalware 指紋(SHA-256)e3b0c44298fc1c149a...
Email釣魚信地址phish@attacker.com

自動查詢

Guard 偵測到可疑活動時自動查威脅情報: 
偵測到可疑 IP 203.0.113.50 連線
       |
       v
  查 ThreatFox  -> 已知 C2 server
  查 AbuseIPDB  -> 被回報 1,247 次
  查 GreyNoise  -> 大規模掃描器
       |
       v
  結論:高風險 -- 自動封鎖 + 通知

Threat Cloud — 集體情報

除了公開 feed,Panguard 使用者還能貢獻和受益於 Threat Cloud — 社群驅動的集體情報網路,專注 ATR 規則共識。

結晶化飛輪

Threat Cloud 的核心價值是結晶化飛輪 — 自我強化的循環,把個別掃描發現提煉成社群確認的偵測規則: 
  掃描 skill --> 發現問題 --> TC 提案 --> 共識(3+ 確認)--> 正式規則
       ^                                                          |
       └──────────────── 分發給所有掃描器 ─────────────────────────┘
每次循環都讓整個網路更強:
  1. 掃描 — 任何 Panguard 掃描器(CLI、Website、Guard)掃一個 MCP skill
  2. 提案 — 高嚴重性發現產生 ATR 提案,用 pattern hash 識別
  3. 確認 — 其他掃描器碰到同樣的 pattern hash 就確認
  4. 升格 — 3+ 次獨立確認後,自動升格為正式規則
  5. 分發 — 正式規則透過 GET /api/atr-rules 給所有掃描器
  6. 強化 — 掃描器載入新規則,偵測能力提升,產生更多提案
Pattern hash 格式是 scan:{skillName}:{findingSummary},SHA-256 截斷成 16 個 hex 字元。因為所有掃描器用同一個 @panguard-ai/scan-core 函式庫,不管掃描從 CLI、Website 還是 Guard 來的,同樣的威脅 pattern 都會算出一樣的 hash。

LLM 審查

Threat Cloud 有自動化 LLM 審查員(Claude Sonnet 4),評估 ATR 提案的誤報風險、覆蓋度、偵測精確度和 YAML 有效性。提案可以純靠社群共識(3+ 確認)升格,也可以 LLM 核准加社群確認一起升格。

IoC Feed

Threat Cloud 也分發傳統 IoC feed(IP 黑名單、domain 黑名單)和社群 skill 黑名單。這些補充 ATR 規則 pipeline 在網路層級的偵測。

隱私和資料保護

隱私保證: 只上傳威脅指標(IP、hash、pattern)。絕不分享系統資訊、帳號名稱、內部 IP、檔案內容或任何個資。
隱私措施細節
IP 匿名化來源 IP 上傳前做 /16 匿名化
GDPR 合規不收集也不儲存個資
零原始資料不傳 log 內容、檔案內容、系統細節
零遙測不收使用分析、crash report、行為追蹤
可以關掉Threat Cloud 可以完全停用

離線模式

Panguard 完全支援離線。威脅情報 feed 連不上的時候:
  • Layer 1 規則引擎繼續跑,用本地 cache 的規則
  • 之前 cache 的 feed 資料在過期前還能用
  • 新的偵測只靠 ATR 規則和行為基線
  • 分數會反映情報覆蓋率降低
# 關掉所有外部情報(純規則模式)
panguard guard start --offline
離線模式停用 Threat Cloud 和即時 feed 查詢。Cache 的資料在過期前照用。

看威脅情報

Guard 狀態

panguard guard status

  -- Threat Intelligence --------------------

  Feeds:        5 active, last update 2h ago
  IoC matched:  3 in last 24h
  Blocked IPs:  12 total

通知

威脅情報命中時,會依你的使用者角色用不同格式通知: 
[Panguard AI Security Alert]

Your server was communicating with a known malicious server.
That IP has been reported 1,247 times globally.
The connection has been automatically blocked. No action needed.

Risk level: High
Status: Automatically resolved

相關內容

部署 Threat Cloud

部署你自己的 Threat Cloud server。

三層式 AI 漏斗

威脅情報怎麼整合進偵測 pipeline。