威胁情报评估内容

文章前言

情报本质上是高纬度的信息，对于信息/数据的评价一般可以分为：完整性、一致性、准确性和及时性，本篇不从高屋建瓴的方法论入手，而是直接关注于实际的威胁情报使用场景，具体来说是威胁情报中IOC类型的使用

评估方法

对于IOC实际使用方法而言，单纯堆量是没有意义的，整体需要关注的方面包括：

• IOC数据量大小
• 命中数量/比例
• 活跃/存活IOC数量
• 误报情况(准确率)
• 漏报情况(召回率)
• 更新频率
• 更新数据是否稳定
• 更新中的新增数量
• 更新中的淘汰数量
• ......

静态评估项

附表1: IOC数据源静态评估项重合度

动态评估指标

附表2：IOC数据源动态评估项重合度