Datacon 大数据安全分析大赛，溯源分析积分赛第 [email protected]

使用数据处理、可视化分析。通过多维度的数据源体系化的描绘一个攻击者，设计并建立一套分析方法，综合各维度数据对攻击者进行分析，描绘出可能对大会威胁最大的攻击者，并分析攻击者之间是否存在关联关系。

#第一次分析这么庞大的数据量，学习到超级多知识点

文档说明： processAllLog:从开源WAF分割获得核心规则集，与流量日志做匹配，得到每条记录的恶意攻击标签； 不足：规则过于简单化，由于自身不熟悉流量攻击的正则，无法进行适当修改； processAllReLog:按ip统计恶意攻击得分以及恶意标签；

第二题攻击者关联分析： 根据ip各个维度的行为关联，如绑定的域名，投放过的恶意样本，终端指纹mid，解析过的dns；构建力导图发现社群 不足：限于笔者的能力和思维，没有充分利用流量日志，建立时间轴的行为分析，以及通过聚类等机器学习的方法分析各个IP间的相似度， 有兴趣的童鞋可以去看官方writeup，几乎将所有可分析的关联关系都有涉及，扩展了笔者很多思维。

第三题攻击者能力分析： 通过攻击者的网络攻击手法（攻击目标的目的：摧毁主机，注入后门等），攻击目标（攻击域名的行业类别），关联社区的情报分析，三个维度分析攻击者的能力