威胁情报定义(威胁情报评估内容包括)

文章前言

情报本质上是高纬度的信息,对于信息/数据的评价一般可以分为:完整性、一致性、准确性和及时性,本篇不从高屋建瓴的方法论入手,而是直接关注于实际的威胁情报使用场景,具体来说是威胁情报中IOC类型的使用

评估方法

对于IOC实际使用方法而言,单纯堆量是没有意义的,整体需要关注的方面包括:

  • IOC数据量大小

  • 命中数量/比例

  • 活跃/存活IOC数量

  • 误报情况(准确率)

  • 漏报情况(召回率)

  • 更新频率

  • 更新数据是否稳定

  • 更新中的新增数量

  • 更新中的淘汰数量

  • ……

静态评估项

威胁情报定义(威胁情报评估内容包括)

威胁情报定义(威胁情报评估内容包括)

附表1: IOC数据源静态评估项重合度

威胁情报定义(威胁情报评估内容包括)

动态评估指标

威胁情报定义(威胁情报评估内容包括)

附表2:IOC数据源动态评估项重合度

原创文章,作者:七芒星实验室,如若转载,请注明出处:https://www.sudun.com/ask/34298.html

(0)
七芒星实验室's avatar七芒星实验室
上一篇 2024年4月13日 上午10:05
下一篇 2024年4月13日 上午10:07

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注