热门威胁情报库深入分析

 本文主要围绕了现有的几个热门情报库进行了部分分析,包括VirusTotal,ThreatCrowd,IBMX-force,VirusBook以及VirusMiner。分析点包括数据来源分析,提供的功能及服务,以及情报质量。废话不多说,直接上干货~

一、VirusTotal

1.1 数据来源:

VirusTotal 共有 51 个防毒引擎进行侦测,数据主要来源于这些引擎提供的资料,最近增加一些自己分析的数据结果。

1.2 主要功能与服务形式

1. 搜索文件的扫描报告,可以只输入其哈希

2. 搜索URL扫描报告 

3. 寻找IP地址信息

4. 搜索域名信息

5. 搜索VirusTotal Community users 

6. 搜索VirusTotal Community comments

7. 包含其他的功能,YARA规则匹配,样本聚类等。

8. 提供免费公共的API

    https://www.virustotal.com/zh-cn/documentation/public-api/  

9. 提供服务交互的桌面应用程序

热门威胁情报库深入分析_第1张图片

热门威胁情报库深入分析_第2张图片

热门威胁情报库深入分析_第3张图片

1.3 情报质量

质:VirusTotal搜索到的信息来自于其他的防毒引擎,自身并不做任何更改与删减,但是近期做了一些自主的分析报告,增加了对于情报的筛选工作。增加了信息的可靠性和自主控制性。

量:VirusTotal 共有 51个防毒引擎对威胁信息进行侦测,基本可覆盖网络中公开的资源。

1.4 附加  YARA规则匹配样本聚类

YARA是帮助研究人员识别和分类恶意样本。可以使用YARA创建恶意团队的文本描述或二进制模式描述。每种描述或者规则,需要包含字符串和布尔表达式。

使用命令行接口或者从Python script使用yarapython接口。

热门威胁情报库深入分析_第4张图片

未完待续~




你可能感兴趣的:(信息安全学习整理)