威胁情报安全平台的一些缺点探讨

   平台的功能模块差别、便捷性以外,干扰网络平台工作能力最重要的因素必定是大数据技术的工作能力。抛来大数据技术谈威胁情报,是个很瞎扯的事儿。自然,光具备大数据技术还不够,还须要具备充分的威胁情报加工能力,包含大数据技术的解决、威胁情报制造的标准、实体模型、优化算法等。

outputo-20210825-092433-661-kulx.png

综合性而言,从现在的公布的好多个威胁情报网络平台来说,电脑端数据信息数最多最齐全的必定是电脑管家,电脑端上的威胁情报也必定是最丰富多彩的,可是云、B端数据信息相对性会少一点;B端数据信息奇安信有相应的优点,可是电脑端数据信息和云技术基本上沒有;酷米客是精致化运营做的搞好的,可是数据信息上对比电脑管家,或是存有缺点。ES是功能模块数最多的,包含各种各样模糊查询、发掘等,基本数据类型也十分的丰富多彩,数据库也来自于全球各地,与此同时还有相应的精致化,包含评价、协作等。可是ES的数据信息首要来自客户递交,信息量相对性较小,并且对我国的本土化数据信息实际上并不是很多。

自然以上仅仅本人形象化的体会,且也只有从公布版本号来完成评定,并不意味着生产商真正的工作能力,终究有一些生产商在订制化情景有更为丰富多彩的功能模块和工作能力。下边主要谈一谈一点重要因素:

1、大数据技术

做威胁情报的生产商许多,首要的安全数据信息的主要来源包含:终端设备数据收集、计算机设备收集、PDNS、客户积极递交、开源系统数据库收集、社交媒体抓取、暗网等。

2、情报信息制造

拥有大数据技术,必定要对大数据技术完成制造,产生最后的安全威胁情报。威胁情报的生产过程有很多,包含最根本的标准、实体模型、深度学习的优化算法等。这方面下一次独立进行再而言。3、标识和情报信息內容查看的情报信息是不是有情报信息标识、标识是不是准确、情报信息的內容是不是丰富多彩,也是干扰网络平台工作能力的重要因素。标识有是否、准确,首要由威胁情报的加工能力确定。自然许多情报信息都是有相应的周期时间,因而须要有一个周期时间的管控。例如,一次APT攻击行动中,应用水坑攻击,攻占了某一政府部门网站。因而在攻击行动周期时间内,该网站应当标明为失守网站。可是,伴随着该政府部门网站的人员发觉网站失守,必定会对网站完成应急处置,清除恶意程序等。因而,超出了期限再查看该政府网站域名时,再标明为恶意,那毫无疑问不适合。又例如某IP地址,两年前被攻击者用以C&C云服务器,可是过段时间后,该IP地址又分派给了别的的常规使用人。因而再把该IP地址标明为C&C,也毫无疑问不适合。又例如,网站域名和IP地址的解析关联是多样化的,假如始终依据解析关联关联情报信息,那毫无疑问也是不适合。因而除开在情报库中须要有主要表现外,标识中还须要标明主要的攻击行动时间来完成区别。除此之外,还需要对情报信息有主要的详细介绍,包含组织內容详细介绍、家族详细介绍、伤害等。


分享: