1）专注方向：流量分析+数据分析+APP分析 的综合交叉领域； 自2015年7月明确该方向，一直在该领域主线上实践； 从小的沙箱流量数据，到城域网流量数据2）业务意识强、数据敏感度高：能对客户侧原始需求主动深挖，综合多种数据资源进行解读深挖3）视野不局限于技术角度数据分析挖掘：能独立展开同客户侧的事前、事中、事后沟通，解决客户痛点4）转化意识强：从个例需求，主动考虑能否工具化、固化成系统功能，推进实战化5）有团队管理经历：带领10人左右团队，持续运营保障检出率，并能不断及时发现价值线索趋势6）团队成员角色涵盖：APP分析提取引擎开发、网站扫描引擎开发、加解密逆向、线索跟踪溯源（前期侦查）、模型运营转化（查漏补缺）、数据分析（运营抓手）7）2021年Q3季度，获得集团产研体系优秀团队：借旧积累、敢入新业务、主动创新、数据运营有斗力安全数据分析（围绕网络安全相关数据的持续分析挖掘、持续运营，从数据中解读、驱动业务），是过去7年以及接下来很长一段时间的探索实践方向。

https://appscan.io Janus Mobile Threat Intelligence Platform Janus, which comes from the Pangu Team, is an open platform for mobile application's threat hunting based on the large data and deep analysis tools.Janus 移动安全威胁数据平台Janus，基于国内外第三方应用市场大数据，结合犇众信息盘古实验室的移动应用安全研究经验，与各大安全厂商协同联动，深度挖掘分析应用的安全性及可靠性，帮助用户感知未知威胁及攻击，让移动应用更放心。

在这里，我在综合着 病毒分析+网络+数据分析，其乐融融。而移动端流量分析是侧重点所在： 数据清理、自动化关联分析、查杀与溯源。信息汇总：思考：http://cloud.appscan.io/discover-discuss.html?id=6158577139移动视角下的网络行为初探——网络资源评估专利：http://so.baiten.cn/detail/patentdetail/63/CN201610900534.9/0 基于URL模式的信息关联及样本判定方法案例:http://blogs.360.cn/360mobile/2016/12/27/porn_player_underground_industry/ 移动视角下的网络行为初探——色情视频样本传播渠道跟踪思考：http://cloud.appscan.io/discover-discuss.html?id=6158577139移动视角下的网络行为初探——网络资源评估摘要：1）网络资源评估，侧重关注网络资源个体间的关联关系，进行群体性事件的挖掘。以期及早感知新增威胁，有效挖掘历史隐含的未知事件。2）网络资源评估，分为资源关联和能力评估两个阶段。3）资源关联阶段是在各独立的网络资源个体间构建起关联关系，寻找同类资源的过程。a)同类资源关系的确认，将暴露隐含未知事件的更多线索。b)同类资源的规模大小，辅助决策事件关注的优先级。c)同类资源的时间维度来看，分为主动和被动处理； d)主动处理，是针对新增网络资源，如果它与历史资源发生了关联，则优先进入观察视野，对同类资源进行含义解读、标识。e)被动处理，是针对不再活跃的历史网络资源，集中进行事件挖掘的过程。4）能力评估阶段，建立在资源关联的基础之上，针对其背后的人、组织、团体的规模、行为特征、能力的评价；同时，也是寻求更为高效的查杀策略的过程。5）网络资源评估，相对于人的评估，更具有普适性、客观中立性，不致受舆论等因素限制。6）希望网络资源评估在移动安全领域，特别是样本分析、事件溯源跟踪中，能够得到业界同仁的充分重视，提升工程化效率。专利：http://so.baiten.cn/detail/patentdetail/63/CN201610900534.9/0 基于URL模式的信息关联及样本判定方法摘要：本发明公开一种基于URL模式的信息关联及样本判定方法。所述方法包括：1）URL预处理，去除CDN2）识别预处理后的URL中的部分路径信息（path_best），用以标识同一（类）资源。3）对于具有相同部分路径信息的URL进行聚类，得到包含多个URL的URL信息集4）针对所得URL信息集中的每个URL，获取其对应的host，得到包含多个host的host信息集5）所得host信息集中的host，即因为涉及传播可能的同一（类）资源而被关联。6）不同样本主体因访问同一（类）资源，而被关联在一起。这些关联样本的级别分布，可视为该（类）资源的恶意百分比。7）通过恶意百分比，筛选可能的漏报样本，辅助样本分析工作。本发明结合URL模式特点与资源部署间的关系特性，可以在不依赖whois、passive dns及网络下载资源的情况下，尽可能贪婪、快速地建立起不同host间的关联，服务于事件挖掘、响应等。同时，在不依赖逆向分析的情况下，不同样本主体因访问相同URL模式标识的同一（类）资源而建立关联。根据恶意百分比设定样本分析优先级，辅助样本分析工作。案例:http://blogs.360.cn/360mobile/2016/12/27/porn_player_underground_industry/ 移动视角下的网络行为初探——色情视频样本传播渠道跟踪摘要：1）通过对每日新增domain/ip的关注，以及不同流量间关联性分析，发现、跟踪问题。2）模仿网络接入层、汇聚层、核心层，构建三层模型，解释每日新增流量快速变化传播特点，并据此制定跟踪、查杀策略。

Working as a mobile malware analyst at QiHoo 360 for two years, mainly focus on network related processing, like HTTP, url.The primary goal I am chasing about, or more thoughts and exeperience about are as follows:1) Daily situation awareness: Any new variants ? Any anomaly net traffic ?  Which deserves my high priority attention?In order to answer these questions, I choose network traffic (mainly http url here) as my tool.2)  Integration is the first keyword:  build a platform, put data from different sources together, providing analysts a quick searching and analyzing way.3)  Also provide a auto correlating method:  By which you can get a group of related network hosts according to your network keywords.     In this way, you can see more than one sample, one host's traffic, but a group, a family.     You can make a quick judgement, determining whether or not need to pay attention to.     Also, you may find covered threat events by the correlation scale between different hosts.Though being a analyst, I pushed myself and got a chance to work within dev team: partially being a developer to build the platform, partially analyst.  I wanna more convenience to deal with data.During this period,  a few examples ( will be introduced later)  catch my eyes, and make me think more about:4)  Event Tracing,   5)  Network Traffic Model Explanation6） Protect and Killing Policy upgrade     how to describe the changeable traffic ?      what's the regulation?     how to defeat it efficiently?  with little effort, but high pay back.     can you make a quick recognition for its new variant？     Any protect and killing policy need to be added onto the endpoint product？In a summary, "data analysis" + "network analysis" + "malware analysis" is the way I am chasing about.