文章前言
情报本质上是高纬度的信息,对于信息/数据的评价一般可以分为:完整性、一致性、准确性和及时性,本篇不从高屋建瓴的方法论入手,而是直接关注于实际的威胁情报使用场景,具体来说是威胁情报中IOC类型的使用
评估方法
对于IOC实际使用方法而言,单纯堆量是没有意义的,整体需要关注的方面包括:
- IOC数据量大小
- 命中数量/比例
- 活跃/存活IOC数量
- 误报情况(准确率)
- 漏报情况(召回率)
- 更新频率
- 更新数据是否稳定
- 更新中的新增数量
- 更新中的淘汰数量
- ……
静态评估项
附表1: IOC数据源静态评估项重合度
动态评估指标
附表2:IOC数据源动态评估项重合度
© 版权声明
THE END
暂无评论内容