Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 763

MISP

审核人Cybersecurity entrepreneur & security researcher

MISP 是什么?

MISPMISP 是一个开源威胁情报平台,用于收集、存储、关联并在可信社区之间共享结构化指标和分析师上下文。


恶意软件信息共享平台与威胁共享(MISP)是一款部署广泛的开源 TIP,最初由 CIRCL 开发。它以事件(Event)的形式存储情报,事件中包含属性(IoC)、对象、Galaxy 与标签。多个 MISP 实例之间可同步,实现 CERT、ISAC 与私有社区之间的联邦共享,并支持细粒度的分发级别和 TLP 标记。MISP 支持 STIX 2.1、OpenIOC 与自定义订阅源,可导出 Suricata、Snort、Sigma 等 IDS 可直接使用的特征,并通过 API 或 ZeroMQ 与 SIEM、EDR 集成。分析师常用它在不同案例间关联目击事件、用 MITRE ATT&CK 标注攻击活动,并低成本地把指标投入运营。

示例

  1. 01

    国家级 CERT 通过 MISP 联邦同步,与行业成员共享勒索软件指标。

  2. 02

    从 MISP 事件中导出 Suricata 规则,部署到边界 IDS。

常见问题

MISP 是什么?

MISP 是一个开源威胁情报平台,用于收集、存储、关联并在可信社区之间共享结构化指标和分析师上下文。 它属于网络安全的 防御与运营 分类。

MISP 是什么意思?

MISP 是一个开源威胁情报平台,用于收集、存储、关联并在可信社区之间共享结构化指标和分析师上下文。

如何防御 MISP?

针对 MISP 的防御通常结合技术控制与运营实践,详见上方完整定义。

MISP 还有哪些其他名称?

常见的别称包括: 恶意软件信息共享平台, MISP 项目。

相关术语