在叙述怎样搭建威胁情报查询系统前,务必强调,不同的应用群体,对威胁情报查询系统的应用意愿是不同的。如:对于招标方的安全运营技术人员:主要是查看IOCs的标识和一点基本上的信息内容,用于精确定位是不是产生攻击事情、事情的种类这些;对于承包方的安全运营技术人员:除开标识查看和判定外,大量的用于做情报信息拓线、追溯等。除此之外还必须 具有相对应的事情发觉(发掘)工作能力。对于大招标方:除开承包方安全运营技术人员所应用的基本功能外,更关心的事情的趋势、落地式机器设备、机器设备遍布等。鉴于此,我们可以分成基本上工作能力和订制工作能力两部位设计制作关键基本功能。
一、基本上基本功能
基本上基本功能主要是对于键入实际情报信息的查看工作能力,实际的键入情报信息包括文档hash、IP地址、domain等。不同的键入,查看的信息会有所区别,但是也存有一点常用的信息。不管哪一个查看层面,都必须 存有的一点因素。特性:安全、故意、不明、风险等级高、低隐患这些,开源系统情报信息:键入的信息,是不是击中某一开源系统情报信息,如某一篇文章、某条新浪微博或twitter等,相对应的文章标题和网页链接.标识:键入信息相对应的标识,如行隶属机构、氏族、种类等。人气值:深度广度、关注度,检索度:检索频次统计分析等。多模块检测信息内容:多模块的扫描结果展现。因为存有版权问题,能够不会有此项。数据可视化:展现每个层面间的关联,用图来展现。
2、hash
该层面是对于文档的,键入的信息为文档的hash,能够是md5、sha1、sha256等,能够是三选一,选对于文档层面,基本上的查看信息关键必须 有:文档的基本上特性:文档hash(md5、sha1、sha256都表明)、图片大小、文件属性、文件夹名称、文件路径、文件列表时长、文档入库时长等;文档信息内容:不同的文档有不同的信息内容。如pe文档,一点pe信息内容,如节信息内容、文档叙述、电子签名、导入导出表、pdb信息内容等;如offce文档,建立时长、修改时间、创始人、改动者、是不是有宏、文章标题这些;如apk文件,包名、签字信息内容、有关管理权限、打包时长等。总而言之,不同的文件属性,必须 展现不同的文档信息内容。
文档动态性行为信息:沙盒报告书
文档数据模型:父子文档、文档在野下载地址(文档传递详细地址)、文档中包括的域IP地址/domain/url地址、文档会进行的数据网络请求IP地址/domain/url地址等。IP地址基本资料:所在位置、隶属NSS、ipwhois、IP地址下对外开放的服务器端口或服务、IP地址证书信息内容等;关联信息内容:浏览过该IP地址的文档(hash)、包括该IP地址的文档(hash)、IP地址下的url地址。ip域名查取,domain基本资料:whois信息内容(当今+历史时间)、解析的dns信息内容(当今+历史时间)、二级域名、Alexa排名等;关联信息内容:浏览过该domain的文档、包括该domain的文档、该domain下的url地址、来源于该domain的文档。