情报资料│基于OSINT的威胁分析技术和工具

来源：丁爸 情报分析师的工具箱（ID：dingba2016）

作者：dingba

【摘要】本报告深入分析了与安全相关的OSINT数据源以及如何从这些源提取信息，包括对可用于此目的的工具和方法的描述。

确定并描述了相关的开源和付费工具，以及可用的服务。还提供了由DiSIEM工业合作伙伴选择的OSINT资源的完整列表，目前该项目正在收集这些资源。它的主要目的是创建现实的案例研究，使之能够对正在开发的技术进行合理的评估。

还描述了可用于处理OSINT数据以预测对给定组织的IT基础设施的威胁的模型和技术方面的初步工作。

此外，还回顾了可用于以标准化方式表达和共享收集的OSINT的技术。

最后提出了基础设施感知的OSINT集成的体系结构，即如何将相关的OSINT与基础设施中的事件进行集成，并提供相关的威胁得分。

总体而言，本文主要成果是：

·项目中考虑的OSINT源类型的分类；

·项目合作伙伴正在使用的各种源；

·可用于处理和分析OSINT的相关工具和服务的列表；

·使用与安全相关的OSINT的最新技术描述；

·项目中正在开发的OSINT处理工具及其目标；

·如何在SIEM中集成OSINT事件；

【目录】

1           导言

1.1        文件的组织

2           开源情报数据源

2.1        来源类型

2.1.1      结构化数据来源

2.1.2      非结构化数据来源

2.1.3      Darkweb

2.2         开源情报提取工具

2.3         DiSIEM考虑的数据源

3           开源情报分析技术及工具

3.1         重复工作

3.1.1       收集基础设施特定的开源情报

3.1.2       开源情报收集和提取方法

3.1.3       为了安全，将用户行为与开源情报相关

3.1.4       开源情报资源保护系统

3.1.5       收集开源情报的数据挖掘

3.1.6       黑名单IPs

3.1.7       其他

3.2          现有工具

3.2.1       通用开源工具

3.2.2       开源情报付费工具

3.2.3       开源情报有偿服务

4            开源情报加工的初步结果

4.1          黑名单IPs开源情报加工

4.1.1       安全信息和事件管理(SIEM)系统的可信黑名单

4.1.2       IPs收集器

4.1.3       信任评估

4.1.4       可信赖的评估黑名单接口

4.2          基础设施相关的开源情报加工

4.2.1       探索性机器学习方法

4.2.2       DigitalMRListening247平台

5           上下文感知开源情报集成

5.1         威胁情报数据交换格式

5.1.1       STIX

5.1.2       TAXII

5.2         将开源情报数据与基础设施事件集成

5.2.1       体系结构建议

5.3         上下文感知威胁得分

5.3.1       基于启发式的威胁得分

5.3.2       威胁得分方法

5.3.3       试探性特征的初步分析

6           摘要和结论

参考文献

缩略语列表

附录A-开源情报来源

编辑：佩德罗·费雷拉（Pedro Ferreira）

Pedro Ferreira是亨氏学院以及卡内基梅隆大学工程与公共政策系的助理教授。

他的研究工作集中于人们如何使用技术来消费体验商品并影响他人进行消费。这些与公司的行为方式以及公共政策如何影响市场结构有着千丝万缕的联系。费雷拉（Ferreira）的工作重点是运用稳健的经验识别方法来分析从有机体内大规模以网络为中心的随机实验中获得的大型数据集 。他的研究涉及两个相互关联的应用领域-信息和通信技术对媒体行业的教育以及同业影响力和消费的影响。他的大部分工作是针对媒体解析–使用大数据分析来了解媒体行业的未来。此外，费雷拉还一直在研究电信业的竞争，消费者流失和交换成本。