IC-Score 概览
Google Security Operations 中的应用威胁情报会使用指标置信度分数 (IC-Score) 评估失陷指标 (IOC) 并为其添加标签。IC-Score 会汇总 100 多个开源情报来源和 Mandiant 专有情报来源的信息,并将其整合为单个评分。 利用机器学习,系统会根据每种情报来源提供的情报质量为其分配置信度,而情报质量则由人工评估和大规模数据驱动的方法来确定。IC-Score 可反映指定指标与恶意活动(真阳性)相关联的概率。 如需详细了解如何针对 IC-Score 来源评估指标,请参阅 IC-Score 来源说明。
IC 分数表示相应指标为恶意(即真正例)的概率。为了计算最终的恶意概率,机器学习模型会纳入有关指标的所有可用信息,并根据从每个信息来源中学习到的置信度进行加权。由于只有两种可能的结果(恶意或良性),因此在没有可用信息的情况下,所有指标最初的概率均为 50%。随着信息量的增加,该基准得分会逐渐趋向于 0% 的恶意概率(已知良性)或 100% 的恶意概率(已知恶意)。Google SecOps 会提取由 Applied Threat Intelligence 精心挑选的 IC-Score 大于 80 的失陷指标 (IOC)。下表介绍了可能的分数范围。
| 得分 | 解读 |
|---|---|
| <= 40% | 已知良性或噪声 |
| > 40% 且 < 60% | 不确定/未知 |
| >= 60% 且 < 80% | 可疑 |
| >= 80% | 已知恶意 |
指标老化信息
在以下评分事件期间,IC-Score 系统会纳入新信息、刷新丰富数据并删除旧信息。
在我们的某个 OSINT 来源或专有的 Mandiant 监控系统上发现的新指标
每个来源和丰富化的具体指标超时时间段
超时时间段由相关来源或丰富化数据中指示器的上次查看日期决定。也就是说,违规分析会认为信息已过时,并在指定天数后停止将该信息视为计算得分的有效因素。指定天数是指从给定来源最后一次观察到相应指标或富集服务更新信息后的天数。违规分析会停止将超时时间段视为计算得分的有效因素。
下表介绍了与指标相关联的重要时间戳属性。
| 属性 | 说明 |
|---|---|
| 首次出现时间 | 首次从给定来源观测到指标的时间戳。 |
| 上次出现时间 | 最近一次从给定来源观测到某个指标的时间戳。 |
| 上次更新时间 | 由于指标老化、新观测结果或其他管理流程,指标的 IC 分数或其他元数据最近一次更新的时间戳。 |
IC-Score 来源说明
IC-Score 说明器会显示某个指标获得相应分数的原因。说明会显示系统中的哪些类别提供了关于某个指标的哪些置信度评估。 为了计算 IC-Score,应用威胁分析会评估各种专有来源和第三方来源。 每个来源类别和特定来源都有返回的恶意或良性判决响应的汇总计数,以及对来源数据质量的评估。然后将这些结果合并,以确定 IC 分数。下表详细说明了来源类别。
| 来源 | 说明 |
|---|---|
| 僵尸网络监控 | “僵尸网络监控”类别包含来自专有系统的恶意判定结果,这些系统会监控实时僵尸网络流量、配置和命令与控制 (C2),以发现僵尸网络感染迹象。 |
| Bulletproof 托管 | “防弹托管”类别包含监控防弹托管基础设施和服务注册和使用情况的来源,这些基础设施和服务通常为非法活动提供服务,并且能够抵御补救或下架措施。 |
| 众包威胁分析 | 众包威胁分析功能可整合各种威胁分析服务和供应商提供的恶意软件判定结果。每个响应服务都被视为此类别中的唯一响应,并具有自己的关联置信度。 |
| FQDN 分析 | “FQDN 分析”类别包含多个系统对网域执行分析后得出的恶意或良性判定结果,包括检查网域的 IP 解析、注册情况以及网域是否疑似抢注。 |
| GreyNoise Context | GreyNoise Context 来源基于从 GreyNoise Context 服务派生的数据提供恶意或良性判定结果,该服务会检查给定 IP 地址的相关信息,包括所有权信息以及 GreyNoise 基础架构观察到的任何良性或恶意活动。 |
| GreyNoise RIOT | GreyNoise RIOT 源会根据 GreyNoise RIOT 服务分配良性判定,该服务会根据对基础架构和服务的观测结果和元数据,识别出导致常见误报的已知良性服务。该服务在良性指定方面提供两个置信度级别,我们会将这两个级别作为单独的适当加权因子纳入我们的得分中。 |
| 知识图谱 | Mandiant 知识图谱包含 Mandiant Intelligence 对网络入侵和其他威胁数据分析得出的指标的评估结果。 此来源会为指示器得分贡献良性和恶意判定。 |
| 恶意软件分析 | “恶意软件分析”类别包含来自多个专有静态和动态恶意软件分析系统的判决,包括 Mandiant 的 MalwareGuard 机器学习模型。 |
| MISP:动态云托管 (DCH) 提供商 | MISP:动态云托管 (DCH) 提供商基于多个 MISP 列表提供良性判决,这些列表定义了与云托管提供商(例如 Google Cloud 和 Amazon AWS)关联的网络基础设施。与 DCH 提供商关联的基础设施可供许多实体重复使用,因此不太实用。 |
| MISP:教育机构 | “MISP:教育机构”类别会根据全球大学网域的 MISP 列表提供良性判决。如果某个指标出现在此列表中,则表示该指标与大学存在正当关联,并表明该指标应被视为良性。 |
| MISP:互联网陷阱 | “MISP:互联网陷阱”类别会根据已知陷阱基础设施的 MISP 列表提供良性判定。由于下沉域用于观察和遏制以前的恶意基础设施,因此出现在已知下沉域列表上会降低指标得分。 |
| MISP:已知 VPN 托管服务提供商 | “MISP:已知 VPN 托管服务提供商”类别基于多个 MISP 列表(用于识别已知 VPN 基础设施,包括 vpn-ipv4 和 vpn-ipv6 列表)提供良性判定。由于与这些 VPN 服务关联的用户数量众多,VPN 基础设施指示器的判定结果为“良性”。 |
| MISP:其他 | “MISP:其他”类别是新添加的 MISP 列表或其他一次性列表的默认类别,这些列表无法自然地归入更具体的类别。 |
| MISP:热门互联网基础设施 | “MISP:热门互联网基础设施”类别会根据 MISP 列表为热门 Web 服务、电子邮件服务和 CDN 服务提供良性判决。这些列表中的指示器与常见的网络基础设施相关联,应被视为良性。 |
| MISP:热门网站 | “MISP:热门网站”类别会根据域名在多个域名热门排行榜(包括 Majestic 1 Million、Cisco Umbrella 和 Tranco)中的受欢迎程度提供良性判决。如果网域出现在多个热门列表上,则表明该网域是良性网域的可能性更高。 |
| MISP:可信软件 | “MISP:可信软件”类别会根据 MISP 文件哈希列表提供良性判定,这些哈希已知是合法的,否则会在威胁情报 Feed 中导致误报。来源包括 nioc-filehash 和 common-ioc-false-positives 等 MISP 列表。 |
| 垃圾内容监控 | “垃圾内容监控”包含专有来源,用于收集和监控与已识别的垃圾内容和钓鱼式攻击活动相关的指标。 |
| Tor | Tor 来源会根据多个识别 Tor 基础设施和 Tor 出口节点的来源分配良性判决。由于与 Tor 节点关联的用户数量众多,Tor 节点指示器被分配了良性判定。 |
| 网址分析 | “网址分析”类别包含多个系统的恶意或良性判定结果,这些系统会对网址的内容和托管文件进行分析 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。