IoC关系数据

1.网络与基础架构安全 高级持续性威胁防护（APT）：APT攻击往往涉及多个阶段的复杂操作，IoC关系库可以帮助安全团队快速关联和追踪APT攻击过程中使用的域名、IP、URL和恶意文件，从而及时发现并阻断攻击。 防火墙/UTM/第二代防火墙：防火墙等网络设备可以利用IoC关系库中的情报，实时识别并拦截包含已知恶意IoC的网络流量，提升网络边界的防御能力。 入侵检测预防御：IDS/IPS系统结合IoC关系库可以更加精准地识别网络中的异常行为，减少误报和漏报，提高安全检测的效率。 2.安全解决方案 威胁管理/XDR：在XDR（扩展检测与响应）方案中，IoC关系库为安全团队提供了强大的威胁识别能力，帮助分析网络中的异常行为，实现快速响应和处置。 3.端点安全 终端防病毒：防病毒软件利用IoC关系库中的恶意文件Hash信息，可以快速检测并清除已知恶意软件，保护终端安全。 终端安全管理：IoC关系库有助于终端安全管理系统监测终端上的恶意活动，如访问恶意URL或下载恶意文件，确保终端的安全合规。 终端检测与响应（EDR）：EDR解决方案结合IoC关系库，可以实时监测终端上的异常行为。数据采集：通过事件采集系统获取网络安全攻击相关事件，通过恶意文件监控系统获取内外部流行恶意文件样本。 数据清洗：对采集到的数据进行结构化转换和标准化处理，清洗不必要的字段，并进行多维信息的聚合。以更好地满足后续对IOC关系库进行数据分析和生产的需求。 数据加工： 1. 使用公司自主研发的新一代沙箱对恶意文件样本进行动态分析，从中获取样本的各项维度信息，基于这些维度信息分析提取与IOC相关vt释放关联文件、vt解压关联文件以及脱壳关联文件的文件ID。 2. 利用AI大模型、LSTM+CRF算法等技术进行自然语言处理和安全文章分析，提取分析相关IOC关联关系。 3. 结合图谱与聚类算法，对IOC关联关系进行聚合，最终形成详细IOC关联关系库。