【PPT】在早期预警信息中整合开源信息中的谣言和事实
今天给大家推送的是德国软件公司PRESENSE Technologies GmbH的专家的PPT《在早期预警信息中整合开源信息中的谣言和事实》目录介绍/动机使用术语/定义开源信息处理开源信息原型结论/ 2023-1-3 23:35:11 Author: 丁爸 情报分析师的工具箱(查看原文) 阅读量:14 收藏

今天给大家推送的是德国软件公司PRESENSE Technologies GmbH的专家的PPT《在早期预警信息中整合开源信息中的谣言和事实》

目录介绍/动机
使用术语/定义
开源信息
处理开源信息
原型

结论/展望

早期预警-经典方法

目标

尽早发出警告

属性

通常基于传感器数据

很容易收集的
有时很难解释

通常基于不完整的信息/事实

例如:传感器数据

示例:传感器数据(续)

例如:解释
是什么导致了峰值?

EW -经典方法-重新审视
目标
尽早发出警告
属性
通常基于传感器数据
很容易收集的
有时很难解释
通常基于不完整的信息/事实
缺少的信息/背景
如何提供背景信息?
对事件进行更深入的分析
开源信息

Conficker: 传感器数据 (I)

Conficker: 传感器数据 (II)

Conficker: 传感器数据 (III)

Conficker:时间轴(事后)

Conficker:深层分析(I)

Conficker:深层分析(II)

甚至在CVE预订之前就有提示吗?

使用术语/定义

定义
信息
任何与你的目标/任务相关的东西
数据
测量
机器可记录/处理的信息
传感器数据
传感器测量/记录的数据(例如:NetFlow或IDS)
预警(系统)
警告未受影响的用户

定义
开源信息
所有公开的信息(新闻,…)
显然包括谣言
开源情报
收集公开可用的信息
信息情报分析(即“理解”)
背景资料
充分了解传感器所需的信息数据

开源信息

开源信息
OSINF:帮助解释传感器数据
"产品A有问题"重点关注A产品相关的传感器数据
传感器数据:帮助查找/判断OSINF
无法解释的传感器数据可能与A产品有关,查找与产品A相关的操作系统信息

开源Inf.:不同的来源
仅仅使用搜索引擎?
不够的
邮件列表
订阅/Atom
网上论坛
聊天/ IRC
新闻网站
网页
谣言

处理开源信息

收集信息
部分回到传感器数据问题
爬虫
电子邮件
但有些事情就是不能自动化
“直觉”作为输入?
理解信息…

在语义上
那副本呢?
信息很难用机器来解释
信息是关于什么的?
信息很难用机器来解释
信息质量
信息很难用机器来解释
来源的质量
...
需要人类的知识和信息!

OSINF处理工具的要求
模块化
工作流支持
质量保证
国际化
合作的工作环境
与出版/咨询系统集成
信息的聚合和分类

工作流
管理开源信息

原型

实现(原型)
后端
独立的
模块化
可伸缩
Ruby

前端
基于OTRS 2.4.x
Perl,XML
像样的模块系统
国际化
基于Web的
关键建模元素
候选名单
队列

处理
信息以表的形式显示

列表
一条信息
质量管理
信息质量
来源质量
整个过程的质量

信息/来源的质量管理
信息质量管理
严格评估人类领域
时事性
信誉
相关性
重复检测
来源的质量管理
来自评级信息的反馈回路
可能的人为干预

过程的质量管理
工作流程相关部分

评级
列表是预先分级

评级
人工评级
反馈回路自动(源)评级

分类
队列可以自定义

重复的
Simhash
Manassas“带状打印”算法
http://wiki.cs.pdx.edu/forge/simhash.html

出版
单队列
队列层次结构
可定制(模块)
电子邮件
谘询系统的输入
...

结论/展望

结论/展望
集成操作系统信息
典型的实现
人际互动是必要的
源处理困难
通用解析器模块困难
网站更改
工作流程"整合”
与传感器数据的相关性
配置文件生成

原文及机器翻译已上传知识星球

长按识别下面的二维码可加入星球

里面已有6000多篇资料可供下载

越早加入越便宜

续费五折优惠


文章来源: http://mp.weixin.qq.com/s?__biz=MzI2MTE0NTE3Mw==&mid=2651134277&idx=1&sn=aba5b8bbd90e834aaadaf37259dcb225&chksm=f1af6e7fc6d8e7696d60f803c561ee07113e68d5029c1ff853d461ad67836694ded02e5f1aea#rd
如有侵权请联系:admin#unsafe.sh