8、安全数据分析探索：IP地址剖析与应用

安全数据分析探索：IP地址剖析与应用

安全数据分析基础过滤与分析

在安全数据分析中，过滤是一项重要的操作。通过一系列过滤操作，可将数据列表缩减至原始数据的不到6%，从而聚焦于真正需要关注的节点。若想进一步缩小范围，可依据可靠性（Reliability）和风险（Risk）的不同组合进行过滤，甚至可以将之前过滤掉的部分类别数据重新纳入分析。

简单的数据解析和切片虽不能明确指出哪些变量最为重要，但有助于理解变量间的关系及其出现频率。例如，即便90%的数据为扫描主机（Scanning Hosts），你可能仅希望过滤出风险等级为2或更低的主机。这种分析有助于识别出可生成高优先级警报的节点集合，而其他类型的数据可归类为低优先级或记录到信息日志中。

由于某些数据（如AlienVault数据）每小时更新一次，你可以编写脚本在将新数据导入安全工具之前进行过滤。同时，跟踪过滤掉的节点百分比，以此作为可能需要重新调整规则的标志。此外，建议定期进行探索性分析，以重新审视哪些节点是重要的。

探索性安全数据分析：IP地址的核心地位

“安全数据”的定义因人而异。恶意软件分析师关注进程、内存和系统二进制转储；漏洞研究人员剖析新的补丁发布；网络安全专业人员则通过监听有线和无线网络，从数据包中挖掘信息。

本文聚焦于IP地址的探索性分析，先从AlienVault IP信誉数据库入手，接着从IP地址角度研究ZeuS僵尸网络（一种恶意软件），并对真实的防火墙数据进行基础分析。若要深入理解后续示例，需熟悉AlienVault数据集的描述，并完成之前的初步分析。

IP地址、域名和路由概念是互联网的基石。RFC 791对IP地址有精妙的描述：“