时间,情报分析最好的朋友

  • A+
所属分类:安全闲碎

所谓情报的本质无非是经过加工的信息。

所以信息没有好坏之分,而情报则有好有坏,这取决于加工的过程和方法。

而时间则是在信息加工过程中最容易被忽略的一个关键要素。



【时间的快与慢】


在日常的情报(或信息)跟踪、分析和响应过程中,对时间狭义上的理解可以与“速度”去挂钩,如,漏洞信息的及时发现和处置能力


此类能力多仰仗于自动化的采集能力,但比采集能力更为重要的则是其后续的分析与处置能力,这大概也是SOAR被抛出的原因之一。


但这并非今天的重点。


【时间是一个独立维度】


关于时间作为一个独立维度的重要性,在之前有过描述:

面向数据分析的道与术

闲扯,基于图的数据关联分析


总结下来大概有两点:


第一,时间维度可以有效帮助分析工作圈定范围

将时间轴框选住1至2月份来缩小范围这类操作并不罕见,也是对限定范围的一种常见做法,但多数时候,分析本身是具备强烈的主观性,说的更直白一点,很多分析需要靠猜,所以可以考虑一下反向的方式 —— 用某一个单一特征或一系列行为特征的聚集去反推时间,然后再用时间去框选其他数据。

第二,时间这个独立维度会让事件分析从扁平到立体

在多数情况下,时间维度能做到的就是帮助分析圈定范围,但在部分场景下,时间可以帮助鉴别真相甚至定位真相:

  • 上午10:00,小明和小华说:XXX(fake news)

  • 上午10:10,小明和小胡说:XXXX(经过加工的fake news)

  • 上午10:10,小华和小萌说:XXXY(经过加工的fake news)


XXX、XXXX、XXXY,其内容是不一样的,三段消息放到一起,并无法鉴定其源头,源头只能依靠时间来界定 —— 如此举例,简直如同废话一样,但就是这么朴实无华的道理,在很多分析中,却极其容易被忽略。


那些“最早发布”的人,在分析领域中被大量应用,而时间上的细微差异往往就会暴露很多细节 —— 例如,为什么有两个人可以几乎同时发布?


【时间也是一道不可逾越的门槛】


和很多创业的朋友聊过,有些人相信“技术门槛”的存在。

我则认为,民用领域中极难出现“技术门槛”。什么黑科技都可能被迅速的抄袭或超越。


而在分析领域,时间却是构建门槛的一个可能的切入点。

毕竟,这个世界上有很多“现在不获取以后就不会再有”的信息,而有些分析工作必须经过足够长的跨度才容易被理解、才可能发现其规律。

例如,对人员或组织的跟踪,没有长期的分析与刻画,很难圈定一个组织,所以很多时候我们会知道“他们一定是一个团伙但我不知道他们都是谁”的情况。因为对这个团伙的刻画不是来自于对他们本人的定位和了解,而是源于对他们所留下痕迹的不断跟踪与分析。


关于这一点,在之前一篇关于反情报的文章里我也大概有过描述。



【所以,这篇文章到底想干什么?】


写到这里,主要是因为近来无力再承担个人域名和空间的高昂费用,所以在接下来的一个到期日时,我打算不再续费我的空间,而我的硬盘里却积攒了一些长时间采集的信息,这些信息可能并不值钱、但很可能会很有价值,所以,我打算分享出来,但为了给这次分享加上一些仪式感,就临时拼凑了这些废话。


这次分享的包括了三个部分的数据:

  • 第一部分是一些勒索相关的站点,这个数据时间跨度为2017-12-26到2020-4-24;

  • 第二部分是Alexa的top1m和Cisco umbrella 的top 1m,这两个东西是什么就再科普了。时间跨度为2017-9-4到2020-4-25;

  • 第三部分是Tor2Web的每日数据,关于Tor2Web的数据是什么,之前写过一篇关于暗网的文章,可以点击链接跳转;这里的ORIG目录下是抓来的原始数据,而外层目录则是做过格式化的数据,时间跨度为2017-4-14到2019-12-31;


三部分数据地址是:

http://n7kr.com/feeds/

http://n7kr.com/AlexaTop1mPerDay/

http://n7kr.com/DarkWebAcsFromTor2WebEveryday/


带宽不大、性能不高,切勿用力过猛。


谢谢。

本文始发于微信公众号(ZLabs):时间,情报分析最好的朋友

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: