【PPT】在早期预警信息中整合开源信息中的谣言和事实

今天给大家推送的是德国软件公司PRESENSE Technologies GmbH的专家的PPT《在早期预警信息中整合开源信息中的谣言和事实》

目录介绍/动机

使用术语/定义

开源信息

处理开源信息

原型

结论/展望

早期预警-经典方法

目标

尽早发出警告

属性

通常基于传感器数据

很容易收集的

有时很难解释

通常基于不完整的信息/事实

例如:传感器数据

示例:传感器数据(续)

例如:解释

是什么导致了峰值?

EW -经典方法-重新审视

目标

尽早发出警告

属性

通常基于传感器数据

很容易收集的

有时很难解释

通常基于不完整的信息/事实

缺少的信息/背景

如何提供背景信息？

对事件进行更深入的分析

开源信息

Conficker: 传感器数据 (I)

Conficker: 传感器数据 (II)

Conficker: 传感器数据 (III)

Conficker:时间轴(事后)

Conficker:深层分析(I)

Conficker:深层分析(II)

甚至在CVE预订之前就有提示吗?

使用术语/定义

定义

信息

任何与你的目标/任务相关的东西

数据

测量

机器可记录/处理的信息

传感器数据

传感器测量/记录的数据(例如:NetFlow或IDS)

预警(系统)

警告未受影响的用户

定义

开源信息

所有公开的信息(新闻，…)

显然包括谣言

开源情报

收集公开可用的信息

信息情报分析(即“理解”)

背景资料

充分了解传感器所需的信息数据

开源信息

开源信息

OSINF:帮助解释传感器数据

"产品A有问题"重点关注A产品相关的传感器数据

传感器数据:帮助查找/判断OSINF

无法解释的传感器数据可能与A产品有关，查找与产品A相关的操作系统信息

开源Inf.:不同的来源

仅仅使用搜索引擎?

不够的

邮件列表

订阅/Atom

网上论坛

聊天/ IRC

新闻网站

网页

谣言

处理开源信息

收集信息

部分回到传感器数据问题

爬虫

电子邮件

但有些事情就是不能自动化

“直觉”作为输入?

理解信息…

在语义上

那副本呢?

信息很难用机器来解释

信息是关于什么的?

信息很难用机器来解释

信息质量

信息很难用机器来解释

来源的质量

...

需要人类的知识和信息!

OSINF处理工具的要求

模块化

工作流支持

质量保证

国际化

合作的工作环境

与出版/咨询系统集成

信息的聚合和分类

工作流

管理开源信息

原型

实现(原型)

后端

独立的

模块化

可伸缩

Ruby

前端

基于OTRS 2.4.x

Perl,XML

像样的模块系统

国际化

基于Web的

关键建模元素

候选名单

队列

处理

信息以表的形式显示

列表

一条信息

质量管理

信息质量

来源质量

整个过程的质量

信息/来源的质量管理

信息质量管理

严格评估人类领域

时事性

信誉

相关性

重复检测

来源的质量管理

来自评级信息的反馈回路

可能的人为干预

过程的质量管理

工作流程相关部分

评级

列表是预先分级

评级

人工评级

反馈回路自动(源)评级

分类

队列可以自定义

重复的

Simhash

Manassas“带状打印”算法

http://wiki.cs.pdx.edu/forge/simhash.html

出版

单队列

队列层次结构

可定制(模块)

电子邮件

谘询系统的输入

...

结论/展望

结论/展望

集成操作系统信息

典型的实现

人际互动是必要的

源处理困难

通用解析器模块困难

网站更改

工作流程"整合”

与传感器数据的相关性

配置文件生成

原文及机器翻译已上传知识星球

长按识别下面的二维码可加入星球

里面已有6000多篇资料可供下载

越早加入越便宜

续费五折优惠

原文始发于微信公众号（丁爸 情报分析师的工具箱）：【PPT】在早期预警信息中整合开源信息中的谣言和事实