黑灰产情报生产概论
数据源
真实设施中采集
从黑灰产的真实设施中进行数据的采集。
监控中间平台
分析黑灰产链条,监控上下游聚集并在进行信息、物品交换的中间平台。
图:业务安全情报的生产 - 数据来源[1]
数据加工
数据提炼
要素采集
以下是一个QQ群组监控中进行要素(自己定义:在黑产事件中的可观察指标,称为黑产要素)采集的归类。
P.S. 这是一个数据采集环节
- 人
- 群号
- 昵称
- 身份(群主/管理员)
- 所在群
- 入群时间
- 发送消息数量
- 群
- 群ID
- 群成员
- 群公告
- 群消息数量
- 群共享文件
- 消息
- 消息内容
- 发送时间
- 发送者
- 发送的群
- 发送的数量
图:业务安全情报的生产 - 数据加工[1]
话术处理[TODO]
在年黑灰产行业常用着一些”黑词“、“黑话“,需要进行这些专业名词的处理。
关于术语请详可见本文档的《黑词及黑话大全》一篇。
关于话术处理仍需补充 [TODO]
要素聚合
根据事件要素进行关联、聚合,输出为高纬度的数据,例如:
- 风险场景
- 置信度
- 攻击手段
- 角色
- 情报来源
- ...
参考:业务风险情报平台
图:业务风险情报平台[1]
References
[1] 基于业务安全情报的攻防实践,邓欣,2020CIS网络安全创新大会