威胁情报质量判断指标有哪些

威胁情报质量的好坏可以从以下三个指标入手：

• 恶意性：恶意性指的是判定该情报具备威胁的恶意证据，是否是多维度的，误报率是否是生产环境所能接受的，如果做不到强依据的恶意性判定，只会导致生产环境大量的误报，徒增安全运营成本。

• 关联性：是指该情报所关联的上下文信息是否足够丰富，能提供更多辅助的判断依据和信息。

• 更新率：威胁情报有一定的生命周期，比如一个远控的域名或者IP可能会过期，及时的威胁情报回扫和更新，以确保在使用时其仍然是一个恶意的威胁指标。