本文目录一览:
什么是开源情报
指通过对公开的信息或其它资源进行分析后所得到的情报。
开源情报的原理:
1、数据挖掘:分布式大数据全覆盖采集方式,在开源网络信息中抓取有效数据。
2、数据过滤:可视化查询搜索任意类型和格式的数据,自动匹配提取去重,实现数据质量监控。
3、数据分析:环环相扣的数据处理模块,联合多维分析架构、关联逻辑引擎等一起建立完整数据分析框架。
4、数据可视:构建分析思维导图,提供可视化信息整理报告。
扩展资料
研究开源情报的方法:
1、数学分析法:
现代数学的许多分支在情报学的研究中都在应用,如在情报检索理论、情报传递的机制、情报采集方案的确定中,概率论、集合论、模糊数学、微分方程、运筹学等均在应用,甚至数论、图论、泛函分析、变分法等,也可以应用。
2、系统分析与评价方法:
系统分析与评价方法。对于情报系统各个侧面与总体,可通过引进系统论等方法,进行分析与评价、规划与设计。从中选择最佳方法,以期获得最优的结果。
参考资料来源:百度百科-开源网络情报
什么是开源网络情报?有什么特点?
开源网络情报,是指通过对公开的信息或其它资源进行分析后所得到的情报。
根据美国公共法,开源网络情报的特点有:
· 根据公开可用信息制作
· 及时收集,分析并分发给适当的听众
· 满足特定的情报要求
术语“开源”专门指可供公众使用的信息。如果需要任何专业技能,工具或技术来访问一条信息,则不能合理地将其视为开源。
威胁情报之开源情报搜集
根据Gartner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。本文所说的威胁情报属于狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。
2.1注册VirusTotal账户,VT提供一个免费的API,可以进行IP,Domain,File类信息的查询,免费账户有查询速率限制,每分钟查询四次限制,可以注册多个账户轮训。
目前国内外主流的安全公司都有自己的威胁情报业务,例如VT,360,奇安信,微步在线,天际友盟等。关于IP,domain的部分情报实际上来自于恶意样本在沙箱中的网络行为,可以利用开源沙箱 Cuckoo 分析恶意样本,实现IOC的生产。
可以部署蜜罐进行IOC的生产和相关Tag的标注,这边推荐我使用过的开源蜜罐 HFish
国内的安全厂商都会定期更新安全分析文章,文章末尾有高质量IOC,可以利用爬虫技术实现对公开安全报告中的IOC实现爬取。
可以通过订阅一些免费的开源情报平台获取高质量的威胁情报
AlienVault 开放威胁交换(OTX)是全球权威的开放威胁信息共享和分析网络。OTX提供了一个由威胁研究人员和安全专业人员组成的全球社区,有来自140个国家的5万多名参与者,每天贡献400多万个威胁指标。
Twitter等国外社交媒体上经常有第一手的攻击信息,实效性强,老外的研究成果确实要领先于国内,经常出现国外前一天发布,国内第二天炒冷饭的情况,但是此类信息的缺点同样明显:信息准确性未经验证,信息碎片化,难以规范化。
