时间,情报分析最好的朋友
所谓情报的本质无非是经过加工的信息。
所以信息没有好坏之分,而情报则有好有坏,这取决于加工的过程和方法。
而时间则是在信息加工过程中最容易被忽略的一个关键要素。
【时间的快与慢】
在日常的情报(或信息)跟踪、分析和响应过程中,对时间狭义上的理解可以与“速度”去挂钩,如,漏洞信息的及时发现和处置能力。
此类能力多仰仗于自动化的采集能力,但比采集能力更为重要的则是其后续的分析与处置能力,这大概也是SOAR被抛出的原因之一。
但这并非今天的重点。
【时间是一个独立维度】
关于时间作为一个独立维度的重要性,在之前有过描述:
总结下来大概有两点:
第一,时间维度可以有效帮助分析工作圈定范围
将时间轴框选住1至2月份来缩小范围这类操作并不罕见,也是对限定范围的一种常见做法,但多数时候,分析本身是具备强烈的主观性,说的更直白一点,很多分析需要靠猜,所以可以考虑一下反向的方式 —— 用某一个单一特征或一系列行为特征的聚集去反推时间,然后再用时间去框选其他数据。
第二,时间这个独立维度会让事件分析从扁平到立体
在多数情况下,时间维度能做到的就是帮助分析圈定范围,但在部分场景下,时间可以帮助鉴别真相甚至定位真相:
-
上午10:00,小明和小华说:XXX(fake news)
-
上午10:10,小明和小胡说:XXXX(经过加工的fake news)
-
上午10:10,小华和小萌说:XXXY(经过加工的fake news)
XXX、XXXX、XXXY,其内容是不一样的,三段消息放到一起,并无法鉴定其源头,源头只能依靠时间来界定 —— 如此举例,简直如同废话一样,但就是这么朴实无华的道理,在很多分析中,却极其容易被忽略。
那些“最早发布”的人,在分析领域中被大量应用,而时间上的细微差异往往就会暴露很多细节 —— 例如,为什么有两个人可以几乎同时发布?
【时间也是一道不可逾越的门槛】
和很多创业的朋友聊过,有些人相信“技术门槛”的存在。
我则认为,民用领域中极难出现“技术门槛”。什么黑科技都可能被迅速的抄袭或超越。
而在分析领域,时间却是构建门槛的一个可能的切入点。
毕竟,这个世界上有很多“现在不获取以后就不会再有”的信息,而有些分析工作必须经过足够长的跨度才容易被理解、才可能发现其规律。
例如,对人员或组织的跟踪,没有长期的分析与刻画,很难圈定一个组织,所以很多时候我们会知道“他们一定是一个团伙但我不知道他们都是谁”的情况。因为对这个团伙的刻画不是来自于对他们本人的定位和了解,而是源于对他们所留下痕迹的不断跟踪与分析。
关于这一点,在之前一篇关于反情报的文章里我也大概有过描述。
【所以,这篇文章到底想干什么?】
写到这里,主要是因为近来无力再承担个人域名和空间的高昂费用,所以在接下来的一个到期日时,我打算不再续费我的空间,而我的硬盘里却积攒了一些长时间采集的信息,这些信息可能并不值钱、但很可能会很有价值,所以,我打算分享出来,但为了给这次分享加上一些仪式感,就临时拼凑了这些废话。
这次分享的包括了三个部分的数据:
-
第一部分是一些勒索相关的站点,这个数据时间跨度为2017-12-26到2020-4-24;
-
第二部分是Alexa的top1m和Cisco umbrella 的top 1m,这两个东西是什么就再科普了。时间跨度为2017-9-4到2020-4-25;
-
第三部分是Tor2Web的每日数据,关于Tor2Web的数据是什么,之前写过一篇关于暗网的文章,可以点击链接跳转;这里的ORIG目录下是抓来的原始数据,而外层目录则是做过格式化的数据,时间跨度为2017-4-14到2019-12-31;
三部分数据地址是:
http://n7kr.com/AlexaTop1mPerDay/
http://n7kr.com/DarkWebAcsFromTor2WebEveryday/
带宽不大、性能不高,切勿用力过猛。
谢谢。
