考完N1终于有时间继续更新这个系列了。如果加入了公众号的群,那就应该知道其实这个系列就是国外某机构的关于威胁情报的课程FOR五七八。这个系列其实也是我自己学习过程中总结的笔记。一些晦涩难懂的地方我都偷懒直接删掉了,又或者为了更贴近国内的情况原创了一些内容。因此想要深入学习还是推荐去看原教材,甚至原教材中推荐的书籍。
另外,在国内闭塞的学习环境下,优质的网络安全资料比较少,这里推荐一下大佬翻译的俄语书:
https://zgao.top/%e5%8a%a0%e5%af%86%e7%a8%8b%e5%ba%8f%ef%bc%9a%e5%a6%82%e4%bd%95%e5%ba%94%e5%af%b9%e5%8b%92%e7%b4%a2%e8%bd%af%e4%bb%b6%e6%94%bb%e5%87%bb/
下面是正文。
链式分析(link analysis)
第一种分析方式以两种事物之间的联系作为依据,将两者进行关联,我们称之为链式分析。这应该是最常见的分析方法,例如在微步情报社区,通过恶意IP关联域名情报、样本情报等等。如下图所示
可以看出,链式分析必须依赖一些可视化的工具,这里列出一些工具仅供参考:
paterva:
https://www.maltego.com/?utm_source=paterva.com&utm_medium=referral&utm_campaign=301IBM
https://i2group.com/i2-analysts-notebook
palantir:
https://www.palantir.com/products/
centrifuge:
https://www.centrifuge.tech/
gephi/graphviz:
https://gephi.org/
neo4j:
https://neo4j.com
titan:
http://titan.thinkaurelius.com/
数据分析(data analysis)
数据分析包括数据清洗、数据分析和数据建模。通过各种方法(例如机器学习)从数据集中挖掘出有价值的信息。尤其是在分析入侵趋势相关数据时,数据科学家能有效地弥补情报分析团队的不足。
时序数据分析,指根据时间因素对数据进行分析,以呈现数据在时间上的变化。弥补在链式分析时被忽略的时间因素。
原文始发于微信公众号(Desync InfoSec):第十六课 不同的情报分析方法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论