網(wǎng)安基礎(chǔ)詞匯

• 攻擊篇

• 攻擊方法

• 攻擊者

攻擊篇

攻擊工具

肉雞：

肉雞就是一種很形象的比喻。比喻那些可以被攻擊者控制的電腦，手機(jī)盅藻，服務(wù)器或者其他攝像頭朱盐，路由器等智能設(shè)備群嗤，用于發(fā)動網(wǎng)絡(luò)戰(zhàn)爭。

例如在2016年美國東海岸斷網(wǎng)事件中兵琳，黑客組織控制了大量的聯(lián)網(wǎng)攝像頭用于發(fā)動網(wǎng)絡(luò)攻擊狂秘，這些攝像頭則被稱為“肉雞”。

美國東海岸事件

僵尸網(wǎng)絡(luò)：

僵尸網(wǎng)絡(luò)Botnet是指采用一種或者多種傳播手段躯肌，將大量主機(jī)感染病毒者春，從而在控制者和被感染主機(jī)之間所形成的一個可一對多控制的網(wǎng)絡(luò)。

僵尸網(wǎng)絡(luò)是一個非常形象的比喻清女，眾多的計算機(jī)在不知不覺中如果湘西趕尸那樣被人驅(qū)趕和指揮著碧查，成為被攻擊者執(zhí)行各類惡意活動（DDOS,垃圾郵件等）利用的一種基礎(chǔ)設(shè)施。

木馬：

就是哪些表面上偽裝成了正常的程序，但是當(dāng)這些程序運(yùn)行時忠售，就會獲取系統(tǒng)的整個控制權(quán)限传惠。

很多黑客就是熱衷使用木馬程序來控制別人的電腦，比如灰鴿子稻扬，GhOst,PcShare等等

網(wǎng)頁木馬：

表面上偽裝成普通的網(wǎng)頁或是將惡意代碼直接插入到正常的網(wǎng)頁文件中卦方，當(dāng)有人訪問時，網(wǎng)頁木馬就會利用對方系統(tǒng)或者瀏覽器的漏洞自動將設(shè)置好的木馬服務(wù)端植入到訪問者的電腦上來自動執(zhí)行將受影響的客戶電腦變成肉雞或納入僵尸網(wǎng)絡(luò)泰佳。

Rootkit ：

Rootkit 是攻擊者用來隱藏自己的行蹤和保留root(根權(quán)限盼砍，可以理解成Windows下的system或者管理員權(quán)限)訪問權(quán)限的工具。

通常逝她，攻擊者通過遠(yuǎn)程攻擊的方式獲取root訪問權(quán)限浇坐，或者是先使用密碼猜解（破解）的方式獲得對系統(tǒng)的普通訪問權(quán)限，進(jìn)入系統(tǒng)后黔宛，再通過對方系統(tǒng)存在的安全漏洞獲取系統(tǒng)的root或system權(quán)限近刘。

然后，攻擊者就會在對方的系統(tǒng)中安裝Rootkit 臀晃，以達(dá)到自己長久控制對方的目的觉渴，Rootkit功能上與木馬和后門很類似，但遠(yuǎn)比它們要隱蔽徽惋。

蠕蟲病毒：

它是一類相對獨立的惡意代碼案淋，利用了聯(lián)網(wǎng)系統(tǒng)的開放性特點，通過可遠(yuǎn)程利用的漏洞自主地進(jìn)行傳播险绘，受到控制終端會變成攻擊的發(fā)起方踢京，嘗試感染更多的系統(tǒng)。

蠕蟲病毒的主要特征有：自我復(fù)制能力宦棺，很強(qiáng)的傳播性漱挚，潛伏性，特定的觸發(fā)性渺氧，很大的破壞性。

震網(wǎng)病毒：

又叫做Stuxnet病毒蹬屹，是第一個專門定向攻擊真實世界中基礎(chǔ)（能源）設(shè)施的“蠕蟲病毒”侣背，比如核電站，水壩慨默，國家電網(wǎng)贩耐。

作為世界上首個網(wǎng)絡(luò)“超級破壞性武器”，Stuxnet的計算機(jī)病毒已經(jīng)感染了全球超過45000個網(wǎng)絡(luò)厦取，其目標(biāo)伊朗的鈾濃縮設(shè)備遭到的攻擊最為嚴(yán)重潮太。

勒索病毒：

主要以郵件，程序木馬，網(wǎng)頁掛馬的形式進(jìn)行傳播铡买。該病毒性質(zhì)惡劣更鲁，危害極大，一旦感染將給用戶帶來無法估量的損失奇钞。這種病毒利用各種加密算法對文件進(jìn)行加密澡为，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解景埃。

挖礦木馬：

一種將PC媒至，移動設(shè)備甚至服務(wù)器變成礦機(jī)的木馬，通常由挖礦團(tuán)伙植入谷徙，用于挖掘比特幣從而賺取利益拒啰。

攻擊載荷：

攻擊載荷（payload）是系統(tǒng)被攻陷后執(zhí)行的多階段惡意代碼。

通常攻擊載荷附加于漏洞攻擊模塊之上完慧，隨漏洞攻擊一起分發(fā)谋旦，并可能通過網(wǎng)絡(luò)獲取更多的組件。

嗅探器（sniffer）:

就是能夠捕獲網(wǎng)絡(luò)報文的設(shè)備或程序骗随。嗅探器的正當(dāng)用處在于分析網(wǎng)絡(luò)的流量蛤织，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。

惡意軟件：

被設(shè)計來達(dá)到非授權(quán)控制計算機(jī)或竊取計算機(jī)數(shù)據(jù)等多種惡意行為的程序鸿染。

間諜軟件：

一種能夠在用戶不知情的情況下指蚜，在其電腦，手機(jī)上安裝后門涨椒，具備收集用戶信息摊鸡，監(jiān)聽 ，偷拍等功能的軟件蚕冬。

后門：

這是一種形象的比喻免猾，入侵者在利用某些方法成功的控制了目標(biāo)主機(jī)后，可以在對方的系統(tǒng)中植入特定的程序囤热，或者是修改某些設(shè)置猎提，用于訪問，查看或者控制這臺主機(jī)旁蔼。

這些改動表面上是難以被察覺的锨苏，就好象是入侵者偷偷配了一把主人房間的鑰匙，或者在不起眼處修了一條暗道棺聊，可以方便自身隨意進(jìn)出伞租。

通常大多數(shù)木馬程序都可以被入侵者用于創(chuàng)建后門（BackDoor）。

弱口令：

指那些強(qiáng)度不夠限佩，容易被猜解的葵诈，類似123裸弦，abc這樣的口令（密碼）。

漏洞：

漏洞是在硬件作喘，軟件理疙，協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以是攻擊者能夠在沒有授權(quán)的情況下訪問或者破壞系統(tǒng)徊都。

遠(yuǎn)程命令執(zhí)行漏洞：

由于系統(tǒng)設(shè)計實現(xiàn)上存在的漏洞沪斟，攻擊者可能通過發(fā)送特定的請求或數(shù)據(jù)導(dǎo)致在受影響的系統(tǒng)上執(zhí)行攻擊者指定的任意命令。

0day漏洞：

0day漏洞最早的破解是專門針對軟件的暇矫，叫做WAREZ主之，后來才發(fā)展到游戲，音樂李根，影視等其他內(nèi)容的槽奕。

0day中的0 表示Zreo， 早期的0day 表示在軟件發(fā)行后的24小時內(nèi)就出現(xiàn)破解版本房轿。

在網(wǎng)絡(luò)攻防的語境下粤攒，0day漏洞指那些已經(jīng)被攻擊者發(fā)現(xiàn)掌握并開始利用，但還沒有被包括受影響軟件廠商在內(nèi)的公眾所知的漏洞囱持，這類漏洞對攻擊者來說有完全的信息優(yōu)勢夯接，由于沒有漏洞對應(yīng)的補(bǔ)丁或臨時解決方案，防守方不知如何防御纷妆，攻擊者可以達(dá)成最大可能的威脅盔几。

1day漏洞：

指漏洞信息已經(jīng)公開但仍未發(fā)布補(bǔ)丁的漏洞。此類漏洞的危害仍然較高掩幢，但往往官方會發(fā)布部分緩解措施逊拍，如關(guān)閉部分端口或者服務(wù)等。

Nday漏洞：

指已經(jīng)發(fā)布官方補(bǔ)丁的漏洞际邻。通常情況下芯丧，此類漏洞的防護(hù)只需要更新補(bǔ)丁即可，但是由于多種原因世曾，導(dǎo)致往往存在大量設(shè)備漏洞補(bǔ)丁更新不及時缨恒，且漏洞利用方式已經(jīng)在互聯(lián)網(wǎng)公開，往往此類漏洞是黑客最常使用的漏洞轮听。

例如在永恒之藍(lán)事件中骗露，微軟事先已經(jīng)發(fā)布補(bǔ)丁，但仍有大量用戶中招蕊程。

攻擊方法

掛馬:

就是在比人的網(wǎng)站文件里面放入網(wǎng)頁木馬或者是將代碼潛入到對方正常的網(wǎng)頁文件里，以使瀏覽者中馬驼唱。

挖洞：

指漏洞挖掘藻茂。

加殼：

就是利用特殊的算法，將EXE可執(zhí)行程序或者DLL 動態(tài)連接庫文件的編碼進(jìn)行改變（比如實現(xiàn)壓縮，加密）辨赐，以達(dá)到縮小文件體檢或者加密程序編碼优俘，甚至是躲過殺毒軟件查殺的目的。

目前較常用的殼有UPX掀序，ASPack帆焕、PePack、PECompact不恭、UPack叶雹、免疫007、木馬彩衣等等换吧。

溢出：

簡單的解釋就是程序?qū)斎霐?shù)據(jù)沒有執(zhí)行有效的邊界檢測而導(dǎo)致錯誤折晦，后果可能是造成程序崩潰或者是執(zhí)行攻擊者的命令。

緩沖區(qū)溢出：

攻擊者向一個地址區(qū)輸入這個區(qū)間存儲不下的大量字符沾瓦。在某些情況下满着，這些多余的字符可以作為“執(zhí)行代碼”來運(yùn)行，因此足以使攻擊者不受安全措施限制而獲得計算機(jī)的控制權(quán)贯莺。

注入：

web安全頭號大敵风喇。攻擊者把一些包含攻擊代碼當(dāng)做命令或者查詢語句發(fā)送給解釋器，這些惡意數(shù)據(jù)可以欺騙解釋器缕探，從而執(zhí)行計劃外的命令或者未授權(quán)訪問數(shù)據(jù)魂莫。

注入攻擊漏洞往往是應(yīng)用程序缺少對輸入進(jìn)行安全性檢查所引起的。注入漏洞通常能在SQL查詢撕蔼，LDAP查詢豁鲤，OS命令，程序參數(shù)等 中出現(xiàn)鲸沮。

SQL注入：

注入攻擊最常見的形式琳骡，主要是指web應(yīng)用程序?qū)τ脩糨斎霐?shù)據(jù)的合法性沒有判斷或過濾不嚴(yán)，攻擊者可以在web應(yīng)用程序中事先定義好的查詢語句的結(jié)尾上添加額外的SQL語句讼溺，在管理員不知情的情況下實現(xiàn)非法操作楣号，以此來實現(xiàn)欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行非授權(quán)的任意查詢或其他操作，導(dǎo)致數(shù)據(jù)庫信息泄露或非授權(quán)操作數(shù)據(jù)表怒坯。

注入點:

即可以實行注入的地方炫狱，通常是一個涉及訪問數(shù)據(jù)庫的應(yīng)用鏈接。根據(jù)注入點數(shù)據(jù)庫的運(yùn)行賬戶的權(quán)限的不同剔猿，你所得到的權(quán)限也不同视译。

軟件脫殼：

顧名思義，就是利用相應(yīng)的工具归敬，把在軟件”外面“起保護(hù)作用的”殼“ 程序去除酷含，還文件本來面目鄙早，這樣再修改文件內(nèi)容或進(jìn)行分析檢測就容易多了。

免殺：

就是通過加殼椅亚，加密限番，修改特征碼，加花指令等等技術(shù)來修改程序呀舔，使其逃過殺毒軟件的查殺弥虐。

暴力破解：

簡稱”爆破“ 黑客對系統(tǒng)中賬號的每一個可能的密碼進(jìn)行高度密集的 自動搜索，從而破壞安全并獲得對計算機(jī)的訪問權(quán)限媚赖。

洪水攻擊：

是黑客比較常用的一種攻擊技術(shù)霜瘪，特點是實施簡單，威力巨大省古，大多是無視防御的粥庄。

從定義上說，攻擊者對網(wǎng)絡(luò)資源發(fā)送過量數(shù)據(jù)時就發(fā)生了洪水攻擊豺妓，這個網(wǎng)絡(luò)資源可以是router,switch,host,application等惜互。

洪水攻擊將攻擊流量比作成洪水，只要攻擊流量足夠大琳拭，就可以將防御手段打穿训堆。

DD0S攻擊便是洪水攻擊的一種。

syn攻擊：

利用操作系統(tǒng)tcp協(xié)調(diào)設(shè)計上的問題執(zhí)行的拒絕服務(wù)攻擊白嘁，涉及tcp建立連接時三次握手的設(shè)計坑鱼。

Dos攻擊：

拒絕服務(wù)攻擊。攻擊者通過利用漏洞或發(fā)送大量的請求導(dǎo)致攻擊對象無法訪問網(wǎng)絡(luò)或者網(wǎng)站無法被訪問絮缅。

DDos攻擊：

分布式DDos攻擊鲁沥，常見的UDP.SYN，反射放大攻擊等等耕魄，就是通過許多臺肉雞一起向你發(fā)送一些網(wǎng)絡(luò)請求画恰，導(dǎo)致你的網(wǎng)絡(luò)堵塞而不能正常上網(wǎng)。

抓雞：

即設(shè)法控制電腦吸奴，將其淪為肉雞允扇。

端口掃描：

端口掃描是指發(fā)送一組端口掃描消息，通過它了解到從哪里可探尋到攻擊弱點则奥，并了解其提供的計算機(jī)網(wǎng)絡(luò)服務(wù)類型考润，試圖以此入侵某臺計算機(jī)。

花指令：

通過加入不影響程序功能的多余匯編指令读处，使得殺毒軟件不能正常的判斷病毒文件的構(gòu)造糊治。說通俗點就是“殺毒軟件是從頭到腳按照順序來設(shè)別病毒。如果我們把病毒的頭和腳顛倒位置罚舱，殺毒軟件就找不到病毒了”井辜。

反彈端口：

有人發(fā)現(xiàn)揖赴，防火墻對于連入的連接往往會進(jìn)行非常嚴(yán)格的過濾，但是對于連出的連接卻疏于防范抑胎。于是利用這一特性，反彈端口型軟件的服務(wù)端（被控制端）會主動連接客戶端（控制端）渐北，就給人“被控制端主動連接控制端的假想阿逃，讓人麻痹大意”

網(wǎng)絡(luò)釣魚：

攻擊者利用欺騙性的電子郵件或偽造的web站點等來進(jìn)行網(wǎng)絡(luò)詐騙活動。

詐騙者通常會將自己偽裝成網(wǎng)絡(luò)銀行赃蛛，在線零售商和信用卡公司等可信的品牌恃锉，騙取用戶的私人信息或郵件賬號口令。

受騙者往往會泄露自己的郵箱呕臂，私人資料破托，如信用卡號，銀行卡賬戶歧蒋，身份證號等內(nèi)容土砂。

魚叉攻擊：

魚叉攻擊是將魚叉捕魚形象的引入到了網(wǎng)絡(luò)攻擊中，主要是指可以使欺騙性電子郵件看起來更加可信的網(wǎng)絡(luò)釣魚攻擊谜洽，具有更高的成功可能性萝映。

不同于撒網(wǎng)式的網(wǎng)站釣魚，魚叉攻擊往往更加具備針對性阐虚，攻擊者往往“見魚而使叉”序臂。

為了實現(xiàn)這一目標(biāo)，攻擊者將嘗試在目標(biāo)上收集盡可能多的信息实束。通常猬仁，組織內(nèi)的特定個人存在某些安全漏洞翎冲。

釣鯨攻擊：

捕鯨使另一種進(jìn)化形式的魚叉式網(wǎng)絡(luò)釣魚。它指的是針對高級管理人員和組織內(nèi)其他高級人員的網(wǎng)絡(luò)釣魚攻擊。

通過使電子郵件內(nèi)容具有個性化并專門針對相關(guān)目標(biāo)進(jìn)行定制的攻擊襟雷。

水坑攻擊：

顧名思義，是在受害者必經(jīng)之路設(shè)置了一個“水坑(陷阱)”蛹找。

最常見的做法是肚豺，黑客分析攻擊目標(biāo)的上網(wǎng)活動規(guī)律，尋找攻擊目標(biāo)經(jīng)常訪問的網(wǎng)站的弱點谷异，先將此網(wǎng)站“攻破”并植入攻擊代碼分尸，一旦攻擊目標(biāo)訪問該網(wǎng)站就會“中招”。

嗅探：

嗅探指的是對局域網(wǎng)中的數(shù)據(jù)包進(jìn)行截取及分析歹嘹，從中獲取有效信息箩绍。

APT攻擊：

Advanced Persistent Threat，即高級可持續(xù)威脅攻擊尺上，指某組織在網(wǎng)絡(luò)上對特定對象展開的持續(xù)有效的攻擊活動材蛛。

這種攻擊活動具有極強(qiáng)的隱蔽性和針對性圆到，通常會運(yùn)用受感染的各種介質(zhì)、供應(yīng)鏈和社會工程學(xué)等多種手段實施先進(jìn)的卑吭、持久的且有效的威脅和攻擊芽淡。

C2:

C2 全稱為Command and Control，命令與控制豆赏，常見于APT攻擊場景中挣菲。作動詞解釋時理解為惡意軟件與攻擊者進(jìn)行交互，作名詞解釋時理解為攻擊者的“基礎(chǔ)設(shè)施”掷邦。

供應(yīng)鏈攻擊：

是黑客攻擊目標(biāo)機(jī)構(gòu)的合作伙伴白胀，并以該合作伙為跳板，達(dá)到滲透目標(biāo)用戶的目的抚岗。

一種常見的表現(xiàn)形式為或杠，用戶對廠商產(chǎn)品的信任，在廠商產(chǎn)品下載安裝或者更新時進(jìn)行惡意軟件植入進(jìn)行攻擊宣蔚。

所以向抢，在某些軟件下載平臺下載的時候，若遭遇捆綁軟件胚委，就得小心了笋额！

社會工程學(xué)：

一種無需依托任何黑客軟件，更注重研究人性弱點的黑客手法正在興起篷扩，這就是社會工程學(xué)黑客技術(shù)兄猩。

通俗而言是指利用人的社會學(xué)弱點實施網(wǎng)絡(luò)攻擊的一整套方法論，其攻擊手法往往出乎人意料鉴未。

世界第一黑客凱文·米特尼克在《反欺騙的藝術(shù)》中曾提到枢冤，人為因素才是安全的軟肋。很多企業(yè)铜秆、公司在信息安全上投入大量的資金淹真，最終導(dǎo)致數(shù)據(jù)泄露的原因，往往卻是發(fā)生在人本身连茧。

拿站：

指得到一個網(wǎng)站的最高權(quán)限核蘸，即得到后臺和管理員名字和密碼。

提權(quán)：

指得到你本沒得到的權(quán)限啸驯，比如說電腦中非系統(tǒng)管理員就無法訪問一些C盤的東西客扎，而系統(tǒng)管理員就可以，通過一定的手段讓普通用戶提升成為管理員罚斗，讓其擁有管理員的權(quán)限徙鱼，這就叫提權(quán)。

滲透：

就是通過掃描檢測你的網(wǎng)絡(luò)設(shè)備及系統(tǒng)有沒有安全漏洞，有的話就可能被入侵袱吆，就像一滴水透過一塊有漏洞的木板厌衙，滲透成功就是系統(tǒng)被入侵。

橫移：

指攻擊者入侵后绞绒，從立足點在內(nèi)部網(wǎng)絡(luò)進(jìn)行拓展婶希，搜尋控制更多的系統(tǒng)。

跳板：

一個具有輔助作用的機(jī)器蓬衡，利用這個主機(jī)作為一個間接工具饲趋，來入侵其他主機(jī)，一般和肉雞連用撤蟆。

網(wǎng)馬：

就是在網(wǎng)頁中植入木馬，當(dāng)打開網(wǎng)頁的時候就運(yùn)行了木馬程序堂污。

黑頁：

黑客攻擊成功后家肯，在網(wǎng)站上留下的黑客入侵成功的頁面，用于炫耀攻擊成果盟猖。

暗鏈：

看不見的網(wǎng)站鏈接讨衣，“暗鏈”在網(wǎng)站中的鏈接做得非常隱蔽，短時間內(nèi)不易被搜索引擎察覺式镐。

它和友情鏈接有相似之處反镇，可以有效地提高網(wǎng)站權(quán)重。

脫庫：

拖庫本來是數(shù)據(jù)庫領(lǐng)域的術(shù)語娘汞，指從數(shù)據(jù)庫中導(dǎo)出數(shù)據(jù)歹茶。

在網(wǎng)絡(luò)攻擊領(lǐng)域，它被用來指網(wǎng)站遭到入侵后你弦，黑客竊取其數(shù)據(jù)庫文件惊豺。

撞庫：

撞庫是黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對應(yīng)的字典表禽作，嘗試批量登陸其他網(wǎng)站后尸昧，得到一系列可以登錄的用戶。

很多用戶在不同網(wǎng)站使用的是相同的帳號密碼旷偿，因此黑客可以通過獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)址烹俗，這就可以理解為撞庫攻擊。

暴庫：

入侵網(wǎng)站的一種手法萍程，通過惡意代碼讓網(wǎng)站爆出其一些敏感數(shù)據(jù)來幢妄。

CC攻擊：

即Challenge Collapsar，名字來源于對抗國內(nèi)安全廠商綠盟科技早期的抗拒絕服務(wù)產(chǎn)品黑洞茫负，攻擊者借助代理服務(wù)器生成指向受害主機(jī)的涉及大量占用系統(tǒng)資源的合法請求磁浇，耗盡目標(biāo)的處理資源，達(dá)到拒絕服務(wù)的目的朽褪。

webshell:

Webshell就是以asp置吓、php无虚、jsp或者cgi等網(wǎng)頁文件形式存在的一種命令執(zhí)行環(huán)境，也可以將其稱做是一種網(wǎng)頁后門衍锚，可以上傳下載文件友题，查看數(shù)據(jù)庫，執(zhí)行任意程序命令等戴质。

跨站攻擊：

通常簡稱為XSS度宦，是指攻擊者利用網(wǎng)站程序?qū)τ脩糨斎脒^濾不足，輸入可以顯示在頁面上對其他用戶造成影響的HTML代碼告匠，從而盜取用戶資料戈抄、利用用戶身份進(jìn)行某種動作或者對訪問者進(jìn)行病毒侵害的一種攻擊方式。

中間人攻擊：

中間人攻擊是一種“間接”的入侵攻擊后专，這種攻擊模式是通過各種技術(shù)手段將受入侵者控制的一臺計算機(jī)虛擬放置在網(wǎng)絡(luò)連接中的兩臺通信計算機(jī)之間划鸽，通過攔截正常的網(wǎng)絡(luò)通信數(shù)據(jù)，并進(jìn)行數(shù)據(jù)篡改和嗅探戚哎，而這臺計算機(jī)就稱為“中間人”裸诽。

薅羊毛：

指網(wǎng)賺一族利用各種網(wǎng)絡(luò)金融產(chǎn)品或紅包活動推廣下線抽成賺錢，又泛指搜集各個銀行等金融機(jī)構(gòu)及各類商家的優(yōu)惠信息型凳，以此實現(xiàn)盈利的目的丈冬。這類行為就被稱之為薅羊毛。

商業(yè)電子郵件攻擊（BEC）:

也被稱為“變臉詐騙”攻擊甘畅，這是針對高層管理人員的攻擊埂蕊，攻擊者通常冒充（盜用）決策者的郵件，來下達(dá)與資金疏唾、利益相關(guān)的指令粒梦；或者攻擊者依賴社會工程學(xué)制作電子郵件，說服/誘導(dǎo)高管短時間進(jìn)行經(jīng)濟(jì)交易荸实。

電信詐騙：

是指通過電話匀们、網(wǎng)絡(luò)和短信方式，編造虛假信息准给，設(shè)置騙局泄朴，對受害人實施遠(yuǎn)程、非接觸式詐騙露氮，誘使受害人打款或轉(zhuǎn)賬的犯罪行為祖灰，通常以冒充他人及仿冒、偽造各種合法外衣和形式的方式達(dá)到欺騙的目的畔规。

殺豬盤：

網(wǎng)絡(luò)流行詞局扶，電信詐騙的一種，是一種網(wǎng)絡(luò)交友誘導(dǎo)股票投資、賭博等類型的詐騙方式三妈，“殺豬盤”則是“從業(yè)者們”自己起的名字畜埋，是指放長線“養(yǎng)豬”詐騙，養(yǎng)得越久畴蒲，詐騙得越狠悠鞍。

ARP攻擊：

ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址模燥，以保證通信的進(jìn)行咖祭。

基于ARP協(xié)議的這一工作特性，黑客向?qū)Ψ接嬎銠C(jī)不斷發(fā)送有欺詐性質(zhì)的ARP數(shù)據(jù)包蔫骂，數(shù)據(jù)包內(nèi)包含有與當(dāng)前設(shè)備重復(fù)的Mac地址么翰，使對方在回應(yīng)報文時，由于簡單的地址重復(fù)錯誤而導(dǎo)致不能進(jìn)行正常的網(wǎng)絡(luò)通信辽旋。

欺騙攻擊：

網(wǎng)絡(luò)欺騙的技術(shù)主要有：HONEYPOT和分布式HONEYPOT浩嫌、欺騙空間技術(shù)等。

主要方式有：IP欺騙戴已、ARP欺騙、 DNS欺騙锅减、Web欺騙糖儡、電子郵件欺騙、源路由欺騙（通過指定路由怔匣，以假冒身份與其他主機(jī)進(jìn)行合法通信或發(fā)送假報文握联，使受攻擊主機(jī)出現(xiàn)錯誤動作）、地址欺騙（包括偽造源地址和偽造中間站點）等每瞒。

shellcode:

一段可被操作系統(tǒng)無需特別定位處理的指令金闽，通常在利用軟件漏洞后執(zhí)行的惡意代碼，shellcode為二進(jìn)制的機(jī)器碼剿骨，因為經(jīng)常讓攻擊者獲得shell而得名代芜。

物理攻擊：

通俗理解，即采用物理接觸而非技術(shù)手段達(dá)到網(wǎng)絡(luò)入侵的目的浓利，最常見的表現(xiàn)形式為插U盤挤庇。

著名的震網(wǎng)病毒事件即通過插U盤的形式，感染了伊朗核設(shè)施贷掖。

攻擊者

黑產(chǎn)：

網(wǎng)絡(luò)黑產(chǎn)嫡秕，指以互聯(lián)網(wǎng)為媒介，以網(wǎng)絡(luò)技術(shù)為主要手段苹威，為計算機(jī)信息系統(tǒng)安全和網(wǎng)絡(luò)空間管理秩序昆咽，甚至國家安全、社會政治穩(wěn)定帶來潛在威脅（重大安全隱患）的非法行為。

例如非法數(shù)據(jù)交易產(chǎn)業(yè)掷酗。

暗網(wǎng)：

暗網(wǎng)是利用加密傳輸调违、P2P對等網(wǎng)絡(luò)、多點中繼混淆等汇在，為用戶提供匿名的互聯(lián)網(wǎng)信息訪問的一類技術(shù)手段翰萨，其最突出的特點就是匿名性。

黑帽黑客：

以非法目的進(jìn)行黑客攻擊的人糕殉，通常是為了經(jīng)濟(jì)利益亩鬼。他們進(jìn)入安全網(wǎng)絡(luò)以銷毀、贖回阿蝶、修改或竊取數(shù)據(jù)雳锋，或使網(wǎng)絡(luò)無法用于授權(quán)用戶。

這個名字來源于這樣一個歷史：老式的黑白西部電影中羡洁，惡棍很容易被電影觀眾識別玷过，因為他們戴著黑帽子，而“好人”則戴著白帽子筑煮。

白帽黑客：

是那些用自己的黑客技術(shù)來進(jìn)行合法的安全測試分析的黑客辛蚊，測試網(wǎng)絡(luò)和系統(tǒng)的性能來判定它們能夠承受入侵的強(qiáng)弱程度。

紅帽黑客：

事實上最為人所接受的說法叫紅客真仲。

紅帽黑客以正義袋马、道德、進(jìn)步秸应、強(qiáng)大為宗旨虑凛，以熱愛祖國、堅持正義软啼、開拓進(jìn)取為精神支柱桑谍，紅客通常會利用自己掌握的技術(shù)去維護(hù)國內(nèi)網(wǎng)絡(luò)的安全，并對外來的進(jìn)攻進(jìn)行還擊祸挪。

紅隊：

通常指攻防演習(xí)中的攻擊隊伍锣披。

藍(lán)隊：

通常指攻防演習(xí)中的防守隊伍 。

紫隊：

攻防演習(xí)中新近誕生的一方贿条，通常指監(jiān)理方或者裁判方盈罐。

網(wǎng)安防守篇

• 軟硬件

• 技術(shù)與服務(wù)

軟硬件

加密機(jī)：

主機(jī)加密設(shè)備，加密機(jī)和主機(jī)之間使用TCP/IP協(xié)議通信闪唆，所以加密機(jī)對主機(jī)的類型和主機(jī)操作系統(tǒng)無任何特殊的要求盅粪。

CA證書：

為實現(xiàn)雙方安全通信提供了電子認(rèn)證。

在因特網(wǎng)悄蕾、公司內(nèi)部網(wǎng)或外部網(wǎng)中票顾，使用數(shù)字證書實現(xiàn)身份識別和電子信息加密础浮。

數(shù)字證書中含有密鑰對（公鑰和私鑰）所有者的識別信息，通過驗證識別信息的真?zhèn)螌崿F(xiàn)對證書持有者身份的認(rèn)證奠骄。

ssl證書：

SSL證書是數(shù)字證書的一種豆同，類似于駕駛證、護(hù)照和營業(yè)執(zhí)照的電子副本含鳞。

因為配置在服務(wù)器上影锈，也稱為SSL服務(wù)器證書。

防火墻：

主要部署于不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的出口蝉绷，通過監(jiān)測鸭廷、限制、更改跨越防火墻的數(shù)據(jù)流熔吗，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息辆床、結(jié)構(gòu)和運(yùn)行狀況，有選擇地接受外部訪問桅狠。

IDS:

入侵檢測系統(tǒng)讼载，用于在黑客發(fā)起進(jìn)攻或是發(fā)起進(jìn)攻之前檢測到攻擊，并加以攔截中跌。

IDS是不同于防火墻咨堤。防火墻只能屏蔽入侵，而IDS卻可以在入侵發(fā)生以前漩符，通過一些信息來檢測到即將發(fā)生的攻擊或是入侵并作出反應(yīng)一喘。

NIDS:

是Network Intrusion Detection System的縮寫，即網(wǎng)絡(luò)入侵檢測系統(tǒng)陨仅，主要用于檢測Hacker或Cracker 津滞。

通過網(wǎng)絡(luò)進(jìn)行的入侵行為铝侵。NIDS的運(yùn)行方式有兩種灼伤，一種是在目標(biāo)主機(jī)上運(yùn)行以監(jiān)測其本身的通信信息，另一種是在一臺單獨的機(jī)器上運(yùn)行以監(jiān)測所有網(wǎng)絡(luò)設(shè)備的通信信息咪鲜，比如Hub狐赡、路由器。

IPS:

全稱為Intrusion-Prevention System疟丙，即入侵防御系統(tǒng)颖侄，目的在于及時識別攻擊程序或有害代碼及其克隆和變種，采取預(yù)防措施享郊，先期阻止入侵览祖，防患于未然。

或者至少使其危害性充分降低炊琉。入侵預(yù)防系統(tǒng)一般作為防火墻 和防病毒軟件的補(bǔ)充來投入使用展蒂。

殺毒軟件：

也稱反病毒軟件或防毒軟件又活，是用于消除電腦病毒、特洛伊木馬和惡意軟件等計算機(jī)威脅的一類軟件锰悼。

反病毒引擎：

通俗理解柳骄，就是一套判斷特定程序行為是否為病毒程序（包括可疑的）的技術(shù)機(jī)制。

例如奇安信自主研發(fā)的QOWL貓頭鷹反病毒引擎箕般。

防毒墻：

區(qū)別于部署在主機(jī)上的殺毒軟件耐薯，防毒墻的部署方式與防火墻類似，主要部署于網(wǎng)絡(luò)出口丝里，用于對病毒進(jìn)行掃描和攔截曲初，因此防毒墻也被稱為反病毒網(wǎng)關(guān)。

老三樣：

通常指IDS丙者、防火墻和反病毒三樣歷史最悠久安全產(chǎn)品复斥。

告警：

指網(wǎng)絡(luò)安全設(shè)備對攻擊行為產(chǎn)生的警報。

誤報：

也稱為無效告警械媒，通常指告警錯誤目锭，即把合法行為判斷成非法行為而產(chǎn)生了告警。

目前纷捞，由于攻擊技術(shù)的快速進(jìn)步和檢測技術(shù)的限制痢虹，誤報的數(shù)量非常大，使得安全人員不得不花費大量時間來處理此類告警主儡，已經(jīng)成為困擾并拉低日常安全處置效率的主要原因奖唯。

漏報：

通常指網(wǎng)絡(luò)安全設(shè)備沒有檢測出非法行為而沒有產(chǎn)生告警。一旦出現(xiàn)漏報糜值，將大幅增加系統(tǒng)被入侵的風(fēng)險丰捷。

NAC:

全稱為Network Access Control，即網(wǎng)絡(luò)準(zhǔn)入控制寂汇，其宗旨是防止病毒和蠕蟲等新興黑客技術(shù)對企業(yè)安全造成危害病往。

借助NAC，客戶可以只允許合法的骄瓣、值得信任的終端設(shè)備（例如PC停巷、服務(wù)器、PDA）接入網(wǎng)絡(luò)榕栏，而不允許其它設(shè)備接入畔勤。

漏掃：

即漏洞掃描，指基于漏洞數(shù)據(jù)庫扒磁，通過掃描等手段對指定的遠(yuǎn)程或者本地計算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測庆揪，發(fā)現(xiàn)可利用漏洞的一種安全檢測（滲透攻擊）行為。

UTM：

即Unified Threat Management妨托，中文名為統(tǒng)一威脅管理缸榛，最早由IDC于2014年提出检访，即將不同設(shè)備的安全能力（最早包括入侵檢測、防火墻和反病毒技術(shù)）仔掸，集中在同一網(wǎng)關(guān)上脆贵，實現(xiàn)統(tǒng)一管理和運(yùn)維。

網(wǎng)閘：

網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)起暮，連接兩個獨立主機(jī)系統(tǒng)的信息安全設(shè)備卖氨。

由于兩個獨立的主機(jī)系統(tǒng)通過網(wǎng)閘進(jìn)行隔離，只有以數(shù)據(jù)文件形式進(jìn)行的無協(xié)議擺渡负懦。

堡壘機(jī)：

運(yùn)用各種技術(shù)手段監(jiān)控和記錄運(yùn)維人員對網(wǎng)絡(luò)內(nèi)的服務(wù)器筒捺、網(wǎng)絡(luò)設(shè)備、安全設(shè)備纸厉、數(shù)據(jù)庫等設(shè)備的操作行為系吭，以便集中報警、及時處理及審計定責(zé)颗品。

數(shù)據(jù)庫審計：

能夠?qū)崟r記錄網(wǎng)絡(luò)上的數(shù)據(jù)庫活動肯尺，對數(shù)據(jù)庫操作進(jìn)行細(xì)粒度審計的合規(guī)性管理，對數(shù)據(jù)庫遭受到的風(fēng)險行為進(jìn)行告警躯枢，對攻擊行為進(jìn)行阻斷则吟。

它通過對用戶訪問數(shù)據(jù)庫行為的記錄、分析和匯報锄蹂，用來幫助用戶事后生成合規(guī)報告氓仲、事故追根溯源，同時加強(qiáng)內(nèi)外部數(shù)據(jù)庫網(wǎng)絡(luò)行為記錄得糜，提高數(shù)據(jù)資產(chǎn)安全敬扛。

DLP:

數(shù)據(jù)防泄漏，通過數(shù)字資產(chǎn)的精準(zhǔn)識別和策略制定朝抖，主要用于防止企業(yè)的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式流出企業(yè)啥箭。

VPN：

虛擬專用網(wǎng)，在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)槽棍，進(jìn)行加密通訊捉蚤，通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實現(xiàn)遠(yuǎn)程訪問抬驴。

SD -WAN：

即軟件定義廣域網(wǎng)炼七，這種服務(wù)用于連接廣闊地理范圍的企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)中心布持、互聯(lián)網(wǎng)應(yīng)用及云服務(wù)豌拙。

這種服務(wù)的典型特征是將網(wǎng)絡(luò)控制能力通過軟件方式云化。

通常情況下题暖，SD-WAN都集成有防火墻按傅、入侵檢測或者防病毒能力捉超。并且從目前的趨勢來看，以安全為核心設(shè)計的SD-WAN正在嶄露頭角唯绍，包括奇安信拼岳、Fortinet等多家安全廠商開始涉足該領(lǐng)域，并提供了較為完備的內(nèi)生安全設(shè)計况芒。

路由器：

是用來連接不同子網(wǎng)的中樞惜纸，它們工作于OSI7層模型的傳輸層和網(wǎng)絡(luò)層。

路由器的基本功能就是將網(wǎng)絡(luò)信息包傳輸?shù)剿鼈兊哪康牡鼐АＲ恍┞酚善鬟€有訪問控制列表（ACLs）耐版，允許將不想要的信息包過濾出去。

許多路由器都可以將它們的日志信息注入到IDS系統(tǒng)中压汪，并且自帶基礎(chǔ)的包過濾（即防火墻）功能粪牲。

網(wǎng)關(guān)：

通常指路由器，防火墻止剖，IDS ,VPN 等網(wǎng)絡(luò)邊界設(shè)備腺阳。

WAF:

即Web Application Firewall，即Web應(yīng)用防火墻穿香，是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品舌狗。

SOC:

即Security Operations Center，翻譯為安全運(yùn)行中心或者安全管理平臺扔水，通過建立一套實時的資產(chǎn)風(fēng)險模型痛侍，協(xié)助管理員進(jìn)行事件分析、風(fēng)險分析魔市、預(yù)警管理和應(yīng)急響應(yīng)處理的集中安全管理系統(tǒng)主届。

LAS:

日志審計系統(tǒng)，主要功能是提供日志的收集待德、檢索和分析能力君丁，可為威脅檢測提供豐富的上下文。

NOC:

即Network Operations Center将宪，網(wǎng)絡(luò)操作中心或網(wǎng)絡(luò)運(yùn)行中心绘闷，是遠(yuǎn)程網(wǎng)絡(luò)通訊的管理、監(jiān)視和維護(hù)中心较坛，是網(wǎng)絡(luò)問題解決印蔗、軟件分發(fā)和修改、路由丑勤、域名管理华嘹、性能監(jiān)視的焦點。

SLEM:

即Security Information and Event Management法竞，安全信息和事件管理耙厚，負(fù)責(zé)從大量企業(yè)安全控件强挫、主機(jī)操作系統(tǒng)、企業(yè)應(yīng)用和企業(yè)使用的其他軟件收集安全日志數(shù)據(jù)薛躬，并進(jìn)行分析和報告俯渤。

上網(wǎng)行為管理：

是指幫助互聯(lián)網(wǎng)用戶控制和管理對互聯(lián)網(wǎng)使用的設(shè)備。

其包括對網(wǎng)頁訪問過濾型宝、上網(wǎng)隱私保護(hù)稠诲、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理诡曙、信息收發(fā)審計臀叙、用戶行為分析等。

蜜罐（honrypot）:

是一個包含漏洞的系統(tǒng)价卤，它摸擬一個或多個易受攻擊的主機(jī)劝萤，給黑客提供一個容易攻擊的目標(biāo)。

由于蜜罐沒有其它任務(wù)需要完成慎璧，因此所有連接的嘗試都應(yīng)被視為是可疑的床嫌。

蜜罐的另一個用途是拖延攻擊者對其真正目標(biāo)的攻擊，讓攻擊者在蜜罐上浪費時間胸私。

蜜罐類產(chǎn)品包括蜜網(wǎng)厌处、蜜系統(tǒng)、蜜賬號等等岁疼。

沙箱：

沙箱是一種用于安全的運(yùn)行程序的機(jī)制阔涉。它常常用來執(zhí)行那些非可信的程序。

非可信程序中的惡意代碼對系統(tǒng)的影響將會被限制在沙箱內(nèi)而不會影響到系統(tǒng)的其它部分捷绒。

沙箱逃逸：

一種識別沙箱環(huán)境瑰排，并利用靜默、欺騙等技術(shù)暖侨，繞過沙箱檢測的現(xiàn)象

網(wǎng)絡(luò)靶場：

主要是指通過虛擬環(huán)境與真實設(shè)備相結(jié)合椭住，模擬仿真出真實賽博網(wǎng)絡(luò)空間攻防作戰(zhàn)環(huán)境，能夠支撐攻防演練字逗、安全教育京郑、網(wǎng)絡(luò)空間作戰(zhàn)能力研究和網(wǎng)絡(luò)武器裝備驗證試驗平臺。

技術(shù)與服務(wù)

加密技術(shù)：

加密技術(shù)包括兩個元素：算法和密鑰葫掉。

算法是將普通的文本與一串?dāng)?shù)字（密鑰）的結(jié)合些举，產(chǎn)生不可理解的密文的步驟，密鑰是用來對數(shù)據(jù)進(jìn)行編碼和解碼的一種算法挖息。

密鑰加密技術(shù)的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種金拒。相應(yīng)地兽肤，對數(shù)據(jù)加密的技術(shù)分為兩類套腹，即對稱加密（私人密鑰加密）和非對稱加密（公開密鑰加密）绪抛。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同电禀，加密密鑰可以公開而解密密鑰需要保密幢码。

黑名單：

顧名思義，黑名單即不好的名單尖飞，凡是在黑名單上的軟件症副、IP地址等，都被認(rèn)為是非法的政基。

白名單：

與黑名單對應(yīng)贞铣，白名單即“好人”的名單，凡是在白名單上的軟件沮明、IP等辕坝，都被認(rèn)為是合法的，可以在計算機(jī)上運(yùn)行荐健。

內(nèi)網(wǎng)：

通俗的講就是局域網(wǎng)酱畅，比如網(wǎng)吧、校園網(wǎng)江场、公司內(nèi)部網(wǎng)等都屬于此類纺酸。

查看IP地址，如果是在以下三個范圍之內(nèi)址否，就說明我們是處于內(nèi)網(wǎng)之中的：10.0.0.0—10.255.255.255餐蔬，172.16.0.0—172.31.255.255，192.168.0.0—192.168.255.255

外網(wǎng)：

直接連入INTERNET（互連網(wǎng)）佑附，可以與互連網(wǎng)上的任意一臺電腦互相訪問用含。

邊界防御：

以網(wǎng)絡(luò)邊界為核心的防御模型，以靜態(tài)規(guī)則匹配為基礎(chǔ)帮匾，強(qiáng)調(diào)把所有的安全威脅都擋在外網(wǎng)啄骇。

南北向流量：

通常指數(shù)據(jù)中心內(nèi)外部通信所產(chǎn)生的流量。

東西向流量：

通常指數(shù)據(jù)中心內(nèi)部不同主機(jī)之間互相通信所產(chǎn)生的的流量瘟斜。

規(guī)則庫：

網(wǎng)絡(luò)安全的核心數(shù)據(jù)庫缸夹，類似于黑白名單，用于存儲大量安全規(guī)則螺句，一旦訪問行為和規(guī)則庫完成匹配虽惭，則被認(rèn)為是非法行為。所以有人也將規(guī)則庫比喻為網(wǎng)絡(luò)空間的法律蛇尚。

下一代：

網(wǎng)絡(luò)安全領(lǐng)域經(jīng)常用到芽唇，用于表示產(chǎn)品或者技術(shù)有較大幅度的創(chuàng)新，在能力上相對于傳統(tǒng)方法有明顯的進(jìn)步，通炒殷裕縮寫為NG（Next Gen）研侣。

例如NGFW（下一代防火墻）、NGSOC（下一代安全管理平臺）等炮捧。

大數(shù)據(jù)安全分析：

區(qū)別于傳統(tǒng)被動規(guī)則匹配的防御模式庶诡，以主動收集和分析大數(shù)據(jù)的方法，找出其中可能存在的安全威脅咆课，因此也稱數(shù)據(jù)驅(qū)動安全末誓。

EPP:

全稱為Endpoint Protection Platform，翻譯為端點保護(hù)平臺书蚪，部署在終端設(shè)備上的安全防護(hù)解決方案,用于防止針對終端的惡意軟件喇澡、惡意腳本等安全威脅，通常與EDR進(jìn)行聯(lián)動殊校。

EDR:

全稱Endpoint Detection & Response撩幽，即端點檢測與響應(yīng)，通過對端點進(jìn)行持續(xù)檢測箩艺，同時通過應(yīng)用程序?qū)Σ僮飨到y(tǒng)調(diào)用等異常行為分析窜醉，檢測和防護(hù)未知威脅，最終達(dá)到殺毒軟件無法解決未知威脅的目的艺谆。

NDR:

全稱Network Detection & Response榨惰，即網(wǎng)絡(luò)檢測與響應(yīng)，通過對網(wǎng)絡(luò)側(cè)流量的持續(xù)檢測和分析静汤，幫助企業(yè)增強(qiáng)威脅響應(yīng)能力琅催，提高網(wǎng)絡(luò)安全的可見性和威脅免疫力。

安全可視化：

指在網(wǎng)絡(luò)安全領(lǐng)域中的呈現(xiàn)技術(shù)虫给，將網(wǎng)絡(luò)安全加固藤抡、檢測、防御抹估、響應(yīng)等過程中的數(shù)據(jù)和結(jié)果轉(zhuǎn)換成圖形界面缠黍，并通過人機(jī)交互的方式進(jìn)行搜索、加工药蜻、匯總等操作的理論瓷式、方法和技術(shù)。

NTA:

網(wǎng)絡(luò)流量分析（NTA）的概念是Gartner于2013年首次提出的语泽，位列五種檢測高級威脅的手段之一贸典。

它融合了傳統(tǒng)的基于規(guī)則的檢測技術(shù)，以及機(jī)器學(xué)習(xí)和其他高級分析技術(shù)踱卵，用以檢測企業(yè)網(wǎng)絡(luò)中的可疑行為廊驼，尤其是失陷后的痕跡。

MDR:

全稱Managed Detection & Response，即托管檢測與響應(yīng)妒挎，依靠基于網(wǎng)絡(luò)和主機(jī)的檢測工具來識別惡意模式绳锅。

此外，這些工具通常還會從防火墻之內(nèi)的終端收集數(shù)據(jù)饥漫，以便更全面地監(jiān)控網(wǎng)絡(luò)活動榨呆。

應(yīng)急響應(yīng)：

通常是指一個組織為了應(yīng)對各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施罗标。

XDR:

通常指以檢測和響應(yīng)技術(shù)為核心的網(wǎng)絡(luò)安全策略的統(tǒng)稱庸队，包括EDR、NDR闯割、MDR等彻消。

安全運(yùn)營：

貫穿產(chǎn)品研發(fā)、業(yè)務(wù)運(yùn)行宙拉、漏洞修復(fù)宾尚、防護(hù)與檢測、應(yīng)急響應(yīng)等一系列環(huán)節(jié)谢澈，實行系統(tǒng)的管理方法和流程煌贴，將各個環(huán)節(jié)的安全防控作用有機(jī)結(jié)合，保障整個業(yè)務(wù)的安全性锥忿。

威脅情報：

根據(jù)Gartner的定義牛郑，威脅情報是某種基于證據(jù)的知識，包括上下文敬鬓、機(jī)制淹朋、標(biāo)示、含義和能夠執(zhí)行的建議钉答，這些知識與資產(chǎn)所面臨已有的或醞釀中的威脅或危害相關(guān)础芍，可用于資產(chǎn)相關(guān)主體對威脅或危害的響應(yīng)或處理決策提供信息支持。根據(jù)使用對象的不同数尿，威脅情報主要分為人讀情報和機(jī)讀情報仑性。

TTP:

主要包括三要素，戰(zhàn)術(shù)Tactics右蹦、技術(shù)Techniques和過程Procedures虏缸，是描述高級威脅組織及其攻擊的重要指標(biāo)，作為威脅情報的一種重要組成部分嫩实，TTP可為安全分析人員提供決策支撐刽辙。

LOC: