指示器(indicator)的分类

参考

David Bianco在2015年发布的博文: http://detect-respond.blogspot.com/2013/07/on-misuse-of-indicators.html

定义:

指示器:指向特定结论的一条信息

indicator:an indicator is a piece of information that points to a certain conclusion.

意义:

一条单独的指示器可能不足以支撑其指向的结论,但足够多的指示器可以最终得到正确的结论。指示器是证明结论的证据(数据点)。

形式:

可以认为是可能重复的任何数据类型或者特定模式。例如恶意软件使用的一条域名或者IP地址,交易中反复出现的数据,对手特定操作的组合。

分类:

  • 归因指示器(Attribution Indicators):用于溯源特定威胁角色(threat actor)
  • 检测指示器(Detection Indicators):用于发现安全事件的可观察物(也被称为IOC)
  • 预测指示器(Prediction Indicators):用于预示其他事件的行为模式
  • 分析指示器(Profiling Indicators):用于帮助发现哪些用户、设施、项目可能成为被攻击对象。

注:

  • 预测指示器和分析指示器可能难以落地。
  • 归因指示器和检测指示器可能共享某些信息,反例:动态域名3322.org,连接到该域名的流量大部分是高度可疑的,是一个很好的检测指标,但可能有上百个威胁角色使用该域名,难以溯源/归因,不是很好的归因指标
上一篇:联合循环—25(了解P&ID原理图2)


下一篇:Ubuntu常用操作(Updateing...)