facebook在去年的时候曾向外公开自家的威胁情报分析框架ThreatData
(Understanding Online Threats with ThreatData) ,消息发出后更多的人关心的是是否开源,反正我是没有找到这个开源框架。
For us to do our part effectively, we must continually search for new types of attacks and deeply understand existing ones. Given the pace of criminals today, one of the hard parts is actually keeping track of all the data related to malware, phishing, and other risks. We wanted an easier way to organize our work and incorporate new threat information we receive so that we can do more to protect people.
从官方的描述来说,这个系统的初衷是用于持续跟踪恶意信息,并从历史教训中分析,总结,从而预防新的威胁,然而并没有涉及到关于情报分享的部分。
关于情报源头信息组织的杂乱无序,无论是不是需要分享,都需要解决这个问题,因此文中提到这个系统一大部分是在将杂乱无章的情报转化transform
成一种高效标准的格式来进行存储和分析,这就是文章中提到的ThreatDatum
。
系统组成有三个重要部分:
Data Collecti