第十六课 不同的情报分析方法
考完N1终于有时间继续更新这个系列了。如果加入了公众号的群,那就应该知道其实这个系列就是国外某机构的关于威胁情报的课程FOR五七八。这个系列其实也是我自己学习过程中总结的笔记。一些晦涩难懂的地方我都偷懒直接删掉了,又或者为了更贴近国内的情况原创了一些内容。因此想要深入学习还是推荐去看原教材,甚至原教材中推荐的书籍。
另外,在国内闭塞的学习环境下,优质的网络安全资料比较少,这里推荐一下大佬翻译的俄语书:
下面是正文。
链式分析(link analysis)
第一种分析方式以两种事物之间的联系作为依据,将两者进行关联,我们称之为链式分析。这应该是最常见的分析方法,例如在微步情报社区,通过恶意IP关联域名情报、样本情报等等。如下图所示
可以看出,链式分析必须依赖一些可视化的工具,这里列出一些工具仅供参考:
paterva:
https://www.maltego.com/?utm\_source=paterva.com&utm\_medium=referral&utm\_campaign=301IBM
https://i2group.com/i2-analysts-notebook
palantir:
https://www.palantir.com/products/
centrifuge:
gephi/graphviz:
neo4j:
titan:
http://titan.thinkaurelius.com/
数据分析(data analysis)
数据分析包括数据清洗、数据分析和数据建模。通过各种方法(例如机器学习)从数据集中挖掘出有价值的信息。尤其是在分析入侵趋势相关数据时,数据科学家能有效地弥补情报分析团队的不足。
时序数据分析,指根据时间因素对数据进行分析,以呈现数据在时间上的变化。弥补在链式分析时被忽略的时间因素。
