MISP Engine to Assess and Evaluate Threat Events Based on Data Quality
Author
Christensen, Niklas
Term
4. term
Publication year
2021
Submitted on
2021-06-03
Pages
101
Abstract
Threat intelligence is widely shared on MISP, yet inconsistent data quality undermines trust across communities and makes manual triage time-consuming for analysts. This thesis explores how to assess data quality to strengthen trust and decision-making in MISP. It reviews MISP and comparable services, core concepts such as data quality, reputation systems, and trust, and gathers practitioner insights through expert interviews. Based on derived requirements and scenarios, a Python-based prototype (via PyMISP) is designed and implemented to compute a quality/reputation score for threat events using event features, metadata, and tagging. The work outlines a rating algorithm (including a weighted-average model), considers machine learning options, and provides a simple graphical interface. The prototype is tested and discussed in relation to MISP’s message queue and community practices, with reflections on large-scale deployment, alternative evaluation models, and the need for more unified data formats. From the excerpt, findings indicate that automated quality assessment can help network forensics prioritize more quickly and consistently; detailed performance results are not included in the provided pages.
Trusselsinformation deles i stor skala på MISP, men varierende datakvalitet udfordrer tilliden mellem fællesskabets medlemmer og gør manuel vurdering tidskrævende for analytikere. Dette speciale undersøger, hvordan datakvalitet kan vurderes og udnyttes til at styrke tillid og beslutningstagning i MISP. Arbejdet omfatter en gennemgang af MISP og beslægtede tjenester, centrale begreber som datakvalitet, omdømmesystemer og tillid, samt indsamling af praksisnær viden gennem interviews med eksperter. På denne baggrund opstilles krav og scenarier, hvorefter der designes og implementeres en Python-baseret prototype (via PyMISP) til at beregne en kvalitets-/reputationsscore for trusselsbegivenheder med udgangspunkt i event-egenskaber, metadata og tagging. Specialet skitserer en vurderingsalgoritme (bl.a. en vægtet gennemsnitsmodel), overvejer maskinlæringsmuligheder, og præsenterer et simpelt grafisk interface. Prototypen testes og sættes i relation til MISP’s meddelelseskø og fællesskabsdannelse, og der diskuteres udfordringer ved skalering, forskellige evalueringsmodeller og behovet for mere ensartede dataformater. Resultater i uddraget peger på, at automatisk kvalitetsvurdering kan støtte netværksforensikere i hurtigere og mere ensartet prioritering af trusler; detaljerede målinger fremgår ikke af den viste del af rapporten.
[This apstract has been generated with the help of AI directly from the project full text]