@Sophia
2年前 提问
1个回答
威胁情报质量判断指标有哪些
在下炳尚
2年前
威胁情报质量的好坏可以从以下三个指标入手:
恶意性:恶意性指的是判定该情报具备威胁的恶意证据,是否是多维度的,误报率是否是生产环境所能接受的,如果做不到强依据的恶意性判定,只会导致生产环境大量的误报,徒增安全运营成本。
关联性:是指该情报所关联的上下文信息是否足够丰富,能提供更多辅助的判断依据和信息。
更新率:威胁情报有一定的生命周期,比如一个远控的域名或者IP可能会过期,及时的威胁情报回扫和更新,以确保在使用时其仍然是一个恶意的威胁指标。