1、工具

---

1. 肉雞

肉雞也稱傀儡機，是指可以被黑客遠程控制的機器。比如用"灰鴿子"等誘導客戶點擊或者電腦被黑客攻破或用戶電腦有漏洞被種植了木馬，黑客可以隨意操縱它并利用它做任何事情。

肉雞通常被用作DDOS攻擊。可以是各種系統(tǒng)，如windows、linux、unix等，更可以是一家公司、企業(yè)、學校甚至是政府軍隊的服務(wù)器。

2.僵尸網(wǎng)絡(luò)

僵尸網(wǎng)絡(luò) Botnet 是指采用一種或多種傳播手段，將大量主機感染病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網(wǎng)絡(luò)。

僵尸網(wǎng)絡(luò)是一個非常形象的比喻，眾多的計算機在不知不覺中如同中國古老傳說中的僵尸群一樣被人驅(qū)趕和指揮著，成為被攻擊者執(zhí)行各類惡意活動（DDOS、垃圾郵件等）利用的一種基礎(chǔ)設(shè)施。

3. 木馬

表面上偽裝成正常的程序，但是當這種程序運行時，可以獲取系統(tǒng)控制權(quán)限對系統(tǒng)進行進行一些非法的行動，如刪除文件或?qū)τ脖P格式化。 比如：黑鴿子、黑洞、Pcshare等。

4.網(wǎng)頁木馬

網(wǎng)頁木馬就是表面上偽裝成普通的網(wǎng)頁文件或是將惡意的代碼直接插入到正常的網(wǎng)頁文件中，當有人訪問時，網(wǎng)頁木馬就會利用對方系統(tǒng)或者瀏覽器的漏洞自動將配置好的木馬的服務(wù)端下載到訪問者的電腦上來自動執(zhí)行。

5.端口

port，可以認為是設(shè)備與外界通訊交流的出口。端口可分為虛擬端口和物理端口，其中虛擬端口指計算機內(nèi)部或交換機路由器內(nèi)的端口，不可見。物理端口又稱為接口，是可見端口。

6.大馬

帶有提權(quán)或者修改站點功能的木馬，php編寫的提取站點權(quán)限的程序

PHP大馬功能較全，支持各種在滲透過程中可能用到的各種功能的大型代碼集合，通常具有文件管理、命令執(zhí)行、端口掃描、數(shù)據(jù)庫管理、反彈shell等等的功能。有php大馬后還需要做好免殺。

7. 小馬

比較單一的網(wǎng)頁后面。一般是上傳保存大馬

8.一句話后門

一段很小的網(wǎng)頁代碼后門，可以用客戶端連接，對網(wǎng)站進行控制。如中國菜刀。服務(wù)端是一句話后門

9.黑頁

計算機被入侵后，入侵者為了證明自己的存在，對網(wǎng)站主頁（在服務(wù)器開放WEB服務(wù)的情況下） 進行改寫，從而公布入侵者留下的信息，這樣的網(wǎng)頁通常稱為黑頁。

10. Rootkit

Rootkit 是攻擊者用來隱藏自己的行蹤和保留 root訪問權(quán)限的工具。 通常，攻擊者獲得 root 訪問權(quán)限后，在對方的系統(tǒng)中安裝 Rootkit， 以達到自己長久控制對方的目的，Rootkit 功能上與木馬和后門很類似，但遠比它們要隱蔽。

11. 蠕蟲病毒

一類相對獨立的惡意代碼，利用了聯(lián)網(wǎng)系統(tǒng)的開放性特點，通過可遠程利用的漏洞自主地進行傳播，受到控制終端會變成攻擊的發(fā)起方，嘗試感染更多的系統(tǒng)。

蠕蟲病毒的主要特性有：自我復制能力、很強的傳播性、潛伏性、 特定的觸發(fā)性、很大的破壞性。

12. 震網(wǎng)病毒

又名 Stuxnet 病毒，是第一個專門定向攻擊真實世界中基礎(chǔ)（能源）設(shè)施的“蠕蟲”病毒，比如核電站，水壩，國家電網(wǎng)。

13. 勒索病毒

主要以郵件、程序木馬、網(wǎng)頁掛馬的形式進行傳播。該病毒性質(zhì)惡劣、危害極大，一旦感染將給用戶帶來無法估量的損失。這種病毒利用各種加密算法對文件進行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。

14.攻擊載荷

攻擊載荷（Payload）是系統(tǒng)被攻陷后執(zhí)行的多階段惡意代碼。通常攻擊載荷附加于漏洞攻擊模塊之上，隨漏洞攻擊一起分發(fā)，并可能通過網(wǎng)絡(luò)獲取更多的組件。

15.嗅探器（ Sniffer ）

捕獲網(wǎng)絡(luò)報文的設(shè)備或程序。嗅探器的正當用處在于分析網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。

16.惡意軟件

被設(shè)計來達到非授權(quán)控制計算機或竊取計算機數(shù)據(jù)等多種惡意行 為的程序。

17. 間諜軟件

在用戶不知情的情況下，在其電腦、手機上安裝后門，具備收集用戶信息、監(jiān)聽、偷拍等功能的軟件。

18.漏洞

漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。

奇安信集團董事長齊向東在《漏洞》一書中指出，軟件的缺陷是漏洞 的一個主要來源，缺陷是天生的，漏洞是不可避免的。

19.后門

一個系統(tǒng)的作者故意留下的、只有作者自己知道的機關(guān)，他可以對程序所在系統(tǒng)進行操作。后門與漏洞的區(qū)別就是后門是主動設(shè)置的，漏洞是無意間留下的

20.弱口令

強度不夠，容易被猜解的簡單口令（密碼）。

21. 遠程命令執(zhí)行漏洞

由于系統(tǒng)設(shè)計實現(xiàn)上存在的漏洞，攻擊者可能通過發(fā)送特定的請求或數(shù)據(jù)導致在受影響的系統(tǒng)上執(zhí)行攻擊者指定的任意命令。

22. 0day漏洞

0day漏洞最早的破解是專門針對軟件的，叫做WAREZ， 后來才發(fā)展到游戲，音樂，影視等其他內(nèi)容的。 0day 中的 0 表示 Zero，早期的 0day 表示在軟件發(fā)行后的 24 小時內(nèi)就出現(xiàn)破解版本。在網(wǎng)絡(luò)攻防的語境下，0day 漏洞指那些已經(jīng)被攻擊者發(fā)現(xiàn)掌握并開始利用，但還沒有被包括受影響軟件廠商在內(nèi)的公眾所知的漏洞，這類漏洞對攻擊者來說有完全的信息優(yōu)勢，由于沒有漏洞的對應(yīng)的補丁或臨時解決方案，防守方不知道如何防御，攻擊者可以達成最大可能的威脅。

23. 1day 漏洞

指漏洞信息已公開但仍未發(fā)布補丁的漏洞。此類漏洞的危害仍然較高，但往往官方會公布部分緩解措施，如關(guān)閉部分端口或者服務(wù)等。

24. Nday 漏洞

指已經(jīng)發(fā)布官方補丁的漏洞。通常情況下，此類漏洞的防護只需更新補丁即可，但由于多種原因，導致往往存在大量設(shè)備漏洞補丁更新不及時，且漏洞利用方式已經(jīng)在互聯(lián)網(wǎng)公開，往往此類漏洞是黑客最常使用的漏洞。 例如在永恒之藍事件中，微軟事先已經(jīng)發(fā)布 補丁，但仍有大量用戶中招。

25.社工庫

社工庫（Social Engineering Database）是黑客與大數(shù)據(jù)方式進行結(jié)合的一種產(chǎn)物，黑客們將泄漏的用戶數(shù)據(jù)整合分析，然后集中歸檔的一個地方。

社工庫是用各大網(wǎng)站用戶的資料數(shù)據(jù)庫搭建的數(shù)據(jù)庫查詢平臺，”人肉搜索“ 有時候就會靠查詢社工庫信息來進行。

2、手法

---

1. 掛馬

別人的網(wǎng)站文件里面放入網(wǎng)頁木馬或者是將代碼潛入到對方正常的網(wǎng)頁文件里，以使瀏覽者中馬。

2.挖洞

指漏洞挖掘。

3.加殼

就是利用特殊的算法，將 EXE 可執(zhí)行程序或者 DLL 動態(tài)連接庫文件的編碼進行改變（比如實現(xiàn)壓縮、加密），以達到縮小文件體積或者加密程序編碼，甚至是躲過殺毒軟件查殺的目的。 目前較常用的殼有 UPX，ASPack、PePack、PECompact、UPack、免疫 007、木馬彩衣等等。 簡單的解釋就是程序?qū)斎霐?shù)據(jù)沒有執(zhí)行有效的邊界檢測而導致錯誤，后果可能是造成程序崩潰或者是執(zhí)行攻擊者的命令。

4. 緩沖區(qū)溢出

攻擊者向一個地址區(qū)輸入這個區(qū)間存儲不下的大量字符。在某些情況下，這些多余的字符可以作為“執(zhí)行代碼”來運行，因此足以使攻擊者不受安全措施限制而獲得計算機的控制權(quán)。

5.注入

Web 安全頭號大敵。攻擊者把一些包含攻擊代碼當做命令或者查詢語句發(fā)送給解釋器，這些惡意數(shù)據(jù)可以欺騙解釋器，從而執(zhí)行計劃外的命令或者未授權(quán)訪問數(shù)據(jù)。 注入攻擊漏洞往往是應(yīng)用程序缺少對輸入進行安全性檢查所引起的。注入漏洞通常能在 SQL 查詢、LDAP 查詢、OS 命令、程序參數(shù)等中出現(xiàn)。

6. SQL注入

注入攻擊最常見的形式，主要是指 Web 應(yīng)用程序?qū)τ脩糨斎霐?shù)據(jù)的合法性沒有判斷或過濾不嚴，攻擊者可以在 Web 應(yīng)用程序中事先定義好的查詢語句的結(jié)尾上添加額外的 SQL 語句，在管理員不知情的情況下實現(xiàn)非法操作，以此來實現(xiàn)欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行非授權(quán)的任意查詢或其他操作，導致數(shù)據(jù)庫信息泄露或非授權(quán)操作數(shù)據(jù)表。

7.注入點

即可以實行注入的地方，通常是一個涉及訪問數(shù)據(jù)庫的應(yīng)用鏈接。根據(jù)注入點數(shù)據(jù)庫的運行帳號的權(quán)限的不同，你所得到的權(quán)限也不 同。

8.軟件脫殼

利用相應(yīng)的工具，把在軟件“外面”起保護作用的“殼”程序去除，還文件本來面目，這樣再修改文件內(nèi)容或進行分析檢測就容易多了。

9.免殺

就是通過加殼、加密、修改特征碼、加花指令等等技術(shù)來修改程序，使其逃過殺毒軟件的查殺。

10.暴力破解

簡稱“爆破”。黑客對系統(tǒng)中賬號的每一個可能的密碼進行高度密集的自動搜索，從而破壞安全并獲得對計算機的訪問權(quán)限。

11.洪水攻擊

是黑客比較常用的一種攻擊技術(shù)，特點是實施簡單，威力巨大，大多是無視防御的。 從定義上說，攻擊者對網(wǎng)絡(luò)資源發(fā)送過量數(shù)據(jù)時就發(fā)生了洪水攻擊，這個網(wǎng)絡(luò)資源可以是 router，switch，host， application 等。

洪水攻擊將攻擊流量比作成洪水，只要攻擊流量足夠大，就可以將防御手段打穿。 DDoS 攻擊便是洪水攻擊的一 種。通常檢測會到此類攻擊時會對來源IP進行封鎖。

12.SYN 攻擊

利用操作系統(tǒng) TCP 協(xié)調(diào)設(shè)計上的問題執(zhí)行的拒絕服務(wù)攻擊，涉及TCP 建立連接時三次握手的設(shè)計。

13. DoS 攻擊

拒絕服務(wù)攻擊。攻擊者通過利用漏洞或發(fā)送大量的請求導致攻擊對象無法訪問網(wǎng)絡(luò)或者網(wǎng)站無法被訪問。

14. DDoS

分布式 DOS 攻擊，常見的 UDP、SYN、反射放大攻擊等等，就是通過許多臺肉雞一起向你發(fā)送一些網(wǎng)絡(luò)請求信息，導致你的網(wǎng)絡(luò)堵 塞而不能正常上網(wǎng)。

15.抓雞

即設(shè)法控制電腦，將其淪為肉雞。

16.端口掃描

端口掃描是指發(fā)送一組端口掃描消息，通過它了解到從哪里可探尋到攻擊弱點，并了解其提供的計算機網(wǎng)絡(luò)服務(wù)類型，試圖以此侵入某臺計算機。

17.花指令

通過加入不影響程序功能的多余匯編指令，使得殺毒軟件不能正常的判斷病毒文件的構(gòu)造。

通俗來說：殺毒軟件是從頭到腳按順序來識別病毒。如果我們把病毒的頭和腳顛倒位置，殺毒軟件就找不到病毒了。

18.反彈端口

有人發(fā)現(xiàn)，防火墻對于連入的連接往往會進行非常嚴格的過濾，但是對于連出的連接卻疏于防范。

于是，利用這一特性，反彈端口型軟件的服務(wù)端(被控制端)會主動連接客戶端(控制端)，就給人被控制端主動連接控制端的假象，讓人麻痹大意。

19. 網(wǎng)絡(luò)釣魚

攻擊者利用欺騙性的電子郵件或偽造的 Web 站點等來進行網(wǎng)絡(luò)詐騙活動。 詐騙者通常會將自己偽裝成網(wǎng)絡(luò)銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息或郵件賬號口令。

受騙者往往會泄露自己的郵箱、私人資料，如信用卡號、銀行卡賬 戶、身份證號等內(nèi)容。

20.魚叉攻擊

魚叉攻擊是將用魚叉捕魚形象的引入到了網(wǎng)絡(luò)攻擊中，主要是指可以使欺騙性電子郵件看起來更加可信的網(wǎng)絡(luò)釣魚攻擊，具有更高的成功可能性。 不同于撒網(wǎng)式的網(wǎng)絡(luò)釣魚，魚叉攻擊往往更加具備針對性，攻擊者往往“見魚而使叉”。 為了實現(xiàn)這一目標，攻擊者將嘗試在目標上收集盡可能多的信息。通常，組織內(nèi)的特定個人存在某些安全漏洞。

21.釣鯨攻擊

捕鯨是另一種進化形式的魚叉式網(wǎng)絡(luò)釣魚。它指的是針對高級管理 員和組織內(nèi)其他高級人員的網(wǎng)絡(luò)釣魚攻擊。 通過使電子郵件內(nèi) 容具有個性化并專門針對相關(guān)目標進行定制的攻擊。

22.水坑攻擊

顧名思義，是在受害者必經(jīng)之路設(shè)置了一個“水坑(陷阱)”。

最常見的做法是，黑客分析攻擊目標的上網(wǎng)活動規(guī)律，尋找攻擊目標經(jīng)常訪問的網(wǎng)站的弱點，先將此網(wǎng)站“攻破”并植入攻擊代碼，一旦攻擊目標訪問該網(wǎng)站就會“中招”。

23. 嗅探

嗅探指的是對局域網(wǎng)中的數(shù)據(jù)包進行截取及分析，從中獲取有效信息。

24.APT 攻擊

Advanced Persistent Threat，即高級可持續(xù)威脅攻擊，指某組織在網(wǎng)絡(luò)上對特定對象展開的持續(xù)有效的攻擊活動。

這種攻擊活動具有極強的隱蔽性和針對性，通常會運用受感染的各種介質(zhì)、供應(yīng)鏈和社會工程學等多種手段實施先進的、持久的且有效的威脅和攻 擊。

25.C2

C2 全稱為 Command and Control，命令與控制，常見于 APT 攻擊場景中。作動詞解釋時理解為惡意軟件與攻擊者進行交互，作名詞解釋時理解為攻擊者的“基礎(chǔ)設(shè)施”。

26.拿站

指得到一個網(wǎng)站的最高權(quán)限，即得到后臺和管理員名字和密碼。

27.提權(quán)

指得到你本沒得到的權(quán)限，通過一定的手段讓普通用戶擁有管理員的權(quán)限，這就叫提權(quán)。

28.滲透

就是通過掃描檢測你的網(wǎng)絡(luò)設(shè)備及系統(tǒng)有沒有安全漏洞，有的話就可能被入侵，就像一滴水透過一塊有漏洞的木板，滲透成功就是系統(tǒng)被入侵。

29.橫移

指攻擊者入侵后，從立足點在內(nèi)部網(wǎng)絡(luò)進行拓展，搜尋控制更多的系統(tǒng)。

30.跳板

一個具有輔助作用的機器，利用這個主機作為一個間接工具，來入侵其他主機，一般和肉雞連用。

31.暗鏈

看不見的網(wǎng)站鏈接，“暗鏈”在網(wǎng)站中的鏈接做得非常隱蔽，短時間內(nèi)不易被搜索引擎察覺。 它和友情鏈接有相似之處，可以有效地提高網(wǎng)站權(quán)重。

32.拖庫

拖庫本來是數(shù)據(jù)庫領(lǐng)域的術(shù)語，指從數(shù)據(jù)庫中導出數(shù)據(jù)。 在網(wǎng)絡(luò)攻擊領(lǐng)域，它被用來指網(wǎng)站遭到入侵后，黑客竊取其數(shù)據(jù)庫文件。

33.撞庫

撞庫是黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對應(yīng)的字典表，嘗試批量登陸其他網(wǎng)站后，得到一系列可以登錄的用戶。 很多用戶在不同網(wǎng)站使用的是相同的帳號密碼，因此黑客可以通過獲取用戶在 A 網(wǎng)站的賬戶從而嘗試登錄 B 網(wǎng)址，這就可以理解為撞庫攻擊。

34.暴庫

入侵網(wǎng)站的一種手法，通過惡意代碼讓網(wǎng)站爆出其一些敏感數(shù)據(jù)來。

35.CC 攻擊

Challenge Collapsar，名字來源于對抗國內(nèi)安全廠商綠盟科技早期的抗拒絕服務(wù)產(chǎn)品黑洞，攻擊者借助代理服務(wù)器生成指向受害主機的涉及大量占用系統(tǒng)資源的合法請求，耗盡目標的處理資源， 達到拒絕服務(wù)的目的。

36.Webshell

Webshell 就是以 asp、php、jsp 或者 cgi 等網(wǎng)頁文件形式存在的一種命令執(zhí)行環(huán)境，也可以將其稱做是一種網(wǎng)頁后門，可以上傳下載文件，查看數(shù)據(jù)庫，執(zhí)行任意程序命令等。

37.跨站攻擊

通常簡稱為 XSS，是指攻擊者利用網(wǎng)站程序?qū)τ脩糨斎脒^濾不足，輸入可以顯示在頁面上對其他用戶造成影響的 HTML 代碼，從而 盜取用戶資料、利用用戶身份進行某種動作或者對訪問者進行病毒 侵害的一種攻擊方式。

38.中間人攻擊

中間人攻擊是一種“間接”的入侵攻擊，這種攻擊模式是通過各種技術(shù)手段將受入侵者控制的一臺計算機虛擬放置在網(wǎng)絡(luò)連接中的兩臺通信計算機之間，通過攔截正常的網(wǎng)絡(luò)通信數(shù)據(jù)，并進行數(shù)據(jù)篡改和嗅探，而這臺計算機就稱為“中間人”。

39.薅羊毛

指網(wǎng)賺一族利用各種網(wǎng)絡(luò)金融產(chǎn)品或紅包活動推廣下線抽成賺錢，又泛指搜集各個銀行等金融機構(gòu)及各類商家的優(yōu)惠信息，以此實現(xiàn) 利的目的。這類行為就被稱之為薅羊毛。

40.商業(yè)電子郵件攻擊（ BEC ）

也被稱為“變臉詐騙”攻擊，這是針對高層管理人員的攻擊，攻擊者通常冒充（盜用）決策者的郵件，來下達與資金、利益相關(guān)的指令；或者攻擊者依賴社會工程學制作電子郵件，說服/誘導高管短 時間進行經(jīng)濟交易。

41.電信詐騙

是指通過電話、網(wǎng)絡(luò)和短信方式，編造虛假信息，設(shè)置騙局，對受害人實施遠程、非接觸式詐騙，誘使受害人打款或轉(zhuǎn)賬的犯罪行為， 通常以冒充他人及仿冒、偽造各種合法外衣和形式的方式達到欺騙 的目的。

42. 殺豬盤

網(wǎng)絡(luò)流行詞，電信詐騙的一種，是一種網(wǎng)絡(luò)交友誘導股票投資、賭博等類型的詐騙方式，“殺豬盤”則是“從業(yè)者們”自己起的名字， 是指放長線“養(yǎng)豬”詐騙，養(yǎng)得越久，詐騙得越狠。

43.ARP 攻擊

ARP 協(xié)議的基本功能就是通過目標設(shè)備的 IP 地址，查詢目標設(shè)備的 MAC 地址，以保證通信的進行。 基于 ARP 協(xié)議的這一工作特性，黑客向?qū)Ψ接嬎銠C不斷發(fā)送有欺詐性質(zhì)的 ARP 數(shù)據(jù)包，數(shù)據(jù)包內(nèi)包含有與當前設(shè)備重復的 Mac 地址，使對方在回應(yīng)報文時， 由于簡單的地址重復錯誤而導致不能進行正常的網(wǎng)絡(luò)通信。

44.欺騙攻擊

網(wǎng)絡(luò)欺騙的技術(shù)主要有：HONEYPOT 和分布式 HONEYPOT、欺騙空間技術(shù)等。 構(gòu)造與真實數(shù)據(jù)不一的數(shù)據(jù)

主要方式有：IP 欺騙、ARP 欺騙、 DNS 欺騙、 Web 欺騙、電子郵件欺騙、源路由欺騙、地址欺騙等。

45.Shellcode

一段可被操作系統(tǒng)無需特別定位處理的指令，通常在利用軟件漏洞后執(zhí)行的惡意代碼，shellcode 為二進制的機器碼，因為經(jīng)常讓攻擊者獲得 shell 而得名。

46.物理攻擊

通俗理解，即采用物理接觸而非技術(shù)手段達到網(wǎng)絡(luò)入侵的目的，最常見的表現(xiàn)形式為插 U 盤。

著名的震網(wǎng)病毒事件即通過插 U 盤的形式，感染了伊朗核設(shè)施。

47.旁站入侵

即同服務(wù)器下的網(wǎng)站入侵，入侵之后可以通過提權(quán)跨目錄等手段拿到目標網(wǎng)站的權(quán)限。

常見的旁站查詢工具有：WebRobot、御劍、明小子和web在線查詢等

48. C 段入侵

也叫做C段滲透。 每個IP有ABCD四個段，舉個例子，192.168.0.1，A段就是192，B段是168，C段是0，D段是1，而C段入侵的意思就是拿下它同一C段中的其中一臺服務(wù)器，也就是說是D段1-255中的一臺服務(wù)器，然后利用工具嗅探拿下該服務(wù)。

49. APT 攻擊

Advanced Persistent Threat高級持續(xù)性威脅

APT攻擊是一種以商業(yè)或者政治目的為前提的特定攻擊，其通過一系列具有針對性的攻擊行為以獲取某個組織甚至國家的重要信息，特別是針對國家重要的基礎(chǔ)設(shè)施和單位開展攻擊，包括能源、電力、金融、國防等等。APT攻擊常常采用多種攻擊技術(shù)手段，包括一些最為先進的手段和社會工程學方法，并通過長時間持續(xù)性的網(wǎng)絡(luò)滲透，一步步的獲取內(nèi)部網(wǎng)絡(luò)權(quán)限，此后便長期潛伏在內(nèi)部網(wǎng)絡(luò)，不斷地收集各種信息，直至竊取到重要情報。

50.供應(yīng)鏈攻擊

是黑客攻擊目標機構(gòu)的合作伙伴，并以該合作伙為跳板，達到滲透目標用戶的目的。

一種常見的表現(xiàn)形式為，用戶對廠商產(chǎn)品的信任，在廠商產(chǎn)品下載安裝或者更新時進行惡意軟件植入進行攻擊。 所以，在某些軟件下載平臺下載的時候，若遭遇捆綁軟件，就得小心了！

3、人員

---

1. 黑產(chǎn)

網(wǎng)絡(luò)黑產(chǎn)，指以互聯(lián)網(wǎng)為媒介，以網(wǎng)絡(luò)技術(shù)為主要手段，為計算機信息系統(tǒng)安全和網(wǎng)絡(luò)空間管理秩序，甚至國家安全、社會政治穩(wěn)定 帶來潛在威脅（重大安全隱患）的非法行為。 例如非法數(shù)據(jù)交易 產(chǎn)業(yè)。

2. 暗網(wǎng)

暗網(wǎng)是利用加密傳輸、P2P 對等網(wǎng)絡(luò)、多點中繼混淆等，為用戶提供匿名的互聯(lián)網(wǎng)信息訪問的一類技術(shù)手段，其最突出的特點就是匿名性。

3. 黑帽黑客

以非法目的進行黑客攻擊的人，通常是為了經(jīng)濟利益。他們進入安全網(wǎng)絡(luò)以銷毀、贖回、修改或竊取數(shù)據(jù)，或使網(wǎng)絡(luò)無法用于授權(quán)用戶。

這個名字來源于這樣一個歷史：老式的黑白西部電影中，惡 棍很容易被電影觀眾識別，因為他們戴著黑帽子，而“好人”則戴 著白帽子。

4. 白帽黑客

是那些用自己的黑客技術(shù)來進行合法的安全測試分析的黑客，測試 網(wǎng)絡(luò)和系統(tǒng)的性能來判定它們能夠承受入侵的強弱程度。

5. 紅帽黑客

事實上最為人所接受的說法叫紅客。 紅帽黑客以正義、道德、進步、強大為宗旨，以熱愛祖國、堅持正義、開拓進取為精神支柱， 紅客通常會利用自己掌握的技術(shù)去維護國內(nèi)網(wǎng)絡(luò)的安全，并對外來 的進攻進行還擊。

6. 紅隊

通常指攻防演習中的攻擊隊伍。

7. 藍隊

通常指攻防演習中的防守隊伍。

8. 紫隊

攻防演習中新近誕生的一方，通常指監(jiān)理方或者裁判方。

4、軟硬件

---

1. 加密機

主機加密設(shè)備，加密機和主機之間使用 TCP/IP 協(xié)議通信，所以加密機對主機的類型和主機操作系統(tǒng)無任何特殊的要求。

2. CA 證書

為實現(xiàn)雙方安全通信提供了電子認證。 在因特網(wǎng)、公司內(nèi)部網(wǎng)或外部網(wǎng)中，使用數(shù)字證書實現(xiàn)身份識別和電子信息加密。 數(shù)字證 書中含有密鑰對（公鑰和私鑰）所有者的識別信息，通過驗證識別 信息的真?zhèn)螌崿F(xiàn)對證書持有者身份的認證。

3. SSL 證書

SSL 證書是數(shù)字證書的一種，類似于駕駛證、護照和營業(yè)執(zhí)照的電子副本。 因為配置在服務(wù)器上，也稱為 SSL 服務(wù)器證書。

4. 防火墻

主要部署于不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的出口，通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、 結(jié)構(gòu)和運行狀況，有選擇地接受外部訪問。

5. IDS

入侵檢測系統(tǒng)，用于在黑客發(fā)起進攻或是發(fā)起進攻之前檢測到攻擊，并加以攔截。IDS 是不同于防火墻。防火墻只能屏蔽入侵，而 IDS 卻可以在入侵發(fā)生以前，通過一些信息來檢測到即將發(fā)生的攻擊或 是入侵并作出反應(yīng)。

6. NIDS

是 Network Intrusion Detection System 的縮寫，即網(wǎng)絡(luò)入侵檢測系統(tǒng)，主要用于檢測 Hacker 或 Cracker 。通過網(wǎng)絡(luò)進行的入 侵行為。

NIDS 的運行方式有兩種，一種是在目標主機上運行以監(jiān)測其本身的通信信息，另一種是在一臺單獨的機器上運行以監(jiān)測所有網(wǎng)絡(luò)設(shè)備的通信信息，比如 Hub、路由器。

7. IPS

全稱為 Intrusion-Prevention System，即入侵防御系統(tǒng)，目的在于及時識別攻擊程序或有害代碼及其克隆和變種，采取預防措施， 先期阻止入侵，防患于未然。 或者至少使其危害性充分降低。入侵預防系統(tǒng)一般作為防火墻和防病毒軟件的補充來投入使用。

8. 殺毒軟件

也稱反病毒軟件或防毒軟件，是用于消除電腦病毒、特洛伊木馬和惡意軟件等計算機威脅的一類軟件。 反病毒引擎通俗理解，就是一套判斷特定程序行為是否為病毒程序（包括可疑的）的技術(shù)機制。 例如奇安信自主研發(fā)的 QOWL 貓 頭鷹反病毒引擎。

9. 防毒墻

區(qū)別于部署在主機上的殺毒軟件，防毒墻的部署方式與防火墻類似，主要部署于網(wǎng)絡(luò)出口，用于對病毒進行掃描和攔截，因此防毒墻也 被稱為反病毒網(wǎng)關(guān)。

10.老三樣

通常指 IDS、防火墻和反病毒三樣歷史最悠久安全產(chǎn)品。

11.告警

指網(wǎng)絡(luò)安全設(shè)備對攻擊行為產(chǎn)生的警報。

12.誤報

也稱為無效告警，通常指告警錯誤，即把合法行為判斷成非法行為而產(chǎn)生了告警。 目前，由于攻擊技術(shù)的快速進步和檢測技術(shù)的限制，誤報的數(shù)量非常大，使得安全人員不得不花費大量時間來處理 此類告警，已經(jīng)成為困擾并拉低日常安全處置效率的主要原因。

13.漏報

通常指網(wǎng)絡(luò)安全設(shè)備沒有檢測出非法行為而沒有產(chǎn)生告警。一旦出現(xiàn)漏報，將大幅增加系統(tǒng)被入侵的風險。

14.NAC

全稱為 Network Access Control，即網(wǎng)絡(luò)準入控制，其宗旨是防止病毒和蠕蟲等新興黑客技術(shù)對企業(yè)安全造成危害。 借助 NAC， 客戶可以只允許合法的、值得信任的終端設(shè)備（例如 PC、服務(wù)器、 PDA）接入網(wǎng)絡(luò)，而不允許其它設(shè)備接入。

15.漏掃

即漏洞掃描，指基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定的遠程或 者本地計算機系統(tǒng)的安全脆弱性進行檢測，發(fā)現(xiàn)可利用漏洞的一種安全檢測（滲透攻擊）行為。

16.UTM

即 Unified Threat Management，中文名為統(tǒng)一威脅管理，最早由 IDC 于 2014 年提出，即將不同設(shè)備的安全能力（最早包括入侵檢測、防火墻和反病毒技術(shù)），集中在同一網(wǎng)關(guān)上，實現(xiàn)統(tǒng)一管理和運維。

17. 網(wǎng)閘

網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)，連接兩個獨立主機系統(tǒng)的信息安全設(shè)備。 由于兩個獨立的主機系統(tǒng)通過網(wǎng)閘進行隔離，只有以數(shù)據(jù)文件形式進行的無協(xié)議擺渡。

18. 堡壘機

運用各種技術(shù)手段監(jiān)控和記錄運維人員對網(wǎng)絡(luò)內(nèi)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫等設(shè)備的操作行為，以便集中報警、及時處 理及審計定責。 數(shù)據(jù)庫審計能夠?qū)崟r記錄網(wǎng)絡(luò)上的數(shù)據(jù)庫活動，對數(shù)據(jù)庫操作進行細粒度審計的合規(guī)性管理，對數(shù)據(jù)庫遭受到的風險行為進行告警， 對攻擊行為進行阻斷。 它通過對用戶訪問數(shù)據(jù)庫行為的記錄、分 析和匯報，用來幫助用戶事后生成合規(guī)報告、事故追根溯源，同時 加強內(nèi)外部數(shù)據(jù)庫網(wǎng)絡(luò)行為記錄，提高數(shù)據(jù)資產(chǎn)安全。

19. DLP

Data Loss/Leakage Protection/Prevention 數(shù)據(jù)防泄漏，通過數(shù)字資產(chǎn)的精準識別和策略制定，主要用于防止企業(yè)的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式流出企業(yè)。

20.VPN

Virtual Private Network 虛擬專用網(wǎng)絡(luò)，在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進行加密通訊，通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標地址的轉(zhuǎn)換實現(xiàn)遠程訪問。

21.SD-WAN

即軟件定義廣域網(wǎng)，這種服務(wù)用于連接廣闊地理范圍的企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)中心、互聯(lián)網(wǎng)應(yīng)用及云服務(wù)。 這種服務(wù)的典型特征是將網(wǎng)絡(luò)控制能力通過軟件方式云化。

通常情況下，SD-WAN 都集成有防 火墻、入侵檢測或者防病毒能力。并且從目前的趨勢來看，以安全 為核心設(shè)計的 SD-WAN 正在嶄露頭角，包括奇安信、Fortinet 等 多家安全廠商開始涉足該領(lǐng)域，并提供了較為完備的內(nèi)生安全設(shè)計。

22.路由器

是用來連接不同子網(wǎng)的中樞，它們工作于 OSI7 層模型的傳輸層和網(wǎng)絡(luò)層。 路由器的基本功能就是將網(wǎng)絡(luò)信息包傳輸?shù)剿鼈兊哪康?地。一些路由器還有訪問控制列表（ACLs），允許將不想要的信息 包過濾出去。 許多路由器都可以將它們的日志信息注入到 IDS 系 統(tǒng)中，并且自帶基礎(chǔ)的包過濾（即防火墻）功能。

23.網(wǎng)關(guān)

通常指路由器、防火墻、IDS、VPN 等邊界網(wǎng)絡(luò)設(shè)備。

24.WAF

即 Web Application Firewall，即 Web 應(yīng)用防火墻，是通過執(zhí)行一系列針對 HTTP/HTTPS 的安全策略來專門為 Web 應(yīng)用提供保 護的一款產(chǎn)品。

25. SOC

即 Security Operations Center，翻譯為安全運行中心或者安全管理平臺，通過建立一套實時的資產(chǎn)風險模型，協(xié)助管理員進行事件分析、風險分析、預警管理和應(yīng)急響應(yīng)處理的集中安全管理系統(tǒng)。

26. LAS

Log Audit System 日志審計系統(tǒng)，主要功能是提供日志的收集、檢索和分析能力，可為威脅檢測提供豐富的上下文。

27. NOC

Network Operations Center，網(wǎng)絡(luò)操作中心或網(wǎng)絡(luò)運行中心，是遠程網(wǎng)絡(luò)通訊的管理、監(jiān)視和維護中心，是網(wǎng)絡(luò)問題解決、軟件分發(fā)和修改、路由、域名管理、性能監(jiān)視的焦點。

28. SIEM

Security Information and Event Management，安全信息和事件管理，負責從大量企業(yè)安全控件、主機操作系統(tǒng)、企業(yè)應(yīng)用和企業(yè)使用的其他軟件收集安全日志數(shù)據(jù)，并進行分析和報告。

29. 上網(wǎng)行為管理

是指幫助互聯(lián)網(wǎng)用戶控制和管理對互聯(lián)網(wǎng)使用的設(shè)備。 其包括對網(wǎng)頁訪問過濾、上網(wǎng)隱私保護、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信 息收發(fā)審計、用戶行為分析等。

30. 蜜罐（ Honeypot ）

是一個包含漏洞的系統(tǒng)，它摸擬一個或多個易受攻擊的主機，給黑客提供一個容易攻擊的目標。 由于蜜罐沒有其它任務(wù)需要完成， 因此所有連接的嘗試都應(yīng)被視為是可疑的。 蜜罐的另一個用途是拖延攻擊者對其真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。

蜜罐類產(chǎn)品包括蜜網(wǎng)、蜜系統(tǒng)、蜜賬號等等。

31.沙箱

沙箱是一種用于安全的運行程序的機制。它常常用來執(zhí)行那些非可信的程序。 非可信程序中的惡意代碼對系統(tǒng)的影響將會被限制在沙箱內(nèi)而不會影響到系統(tǒng)的其它部分。

32.沙箱逃逸

一種識別沙箱環(huán)境，并利用靜默、欺騙等技術(shù)，繞過沙箱檢測的現(xiàn)象

33.網(wǎng)絡(luò)靶場

主要是指通過虛擬環(huán)境與真實設(shè)備相結(jié)合，模擬仿真出真實賽博網(wǎng)絡(luò)空間攻防作戰(zhàn)環(huán)境，能夠支撐攻防演練、安全教育、網(wǎng)絡(luò)空間作戰(zhàn)能力研究和網(wǎng)絡(luò)武器裝備驗證試驗平臺。

5、技術(shù)和服務(wù)

---

1. 加密技術(shù)

加密技術(shù)包括兩個元素：算法和密鑰。 算法是將普通的文本與一串數(shù)字（密鑰）的結(jié)合，產(chǎn)生不可理解的密文的步驟，密鑰是用來 對數(shù)據(jù)進行編碼和解碼的一種算法。 密鑰加密技術(shù)的密碼體制分 為對稱密鑰體制和非對稱密鑰體制兩種。相應(yīng)地，對數(shù)據(jù)加密的技 術(shù)分為兩類，即對稱加密（私人密鑰加密）和非對稱加密（公開密 鑰加密）。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的 加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。 黑名單 顧名思義，黑名單即不好的名單，凡是在黑名單上的軟件、 IP 地址等，都被認為是非法的。 白名單 與黑名單對應(yīng)，白名單即“好人”的名單，凡是在白名單 上的軟件、IP 等，都被認為是合法的，可以在計算機上運行。

2. 內(nèi)網(wǎng)

通俗的講就是局域網(wǎng)，比如網(wǎng)吧、校園網(wǎng)、公司內(nèi)部網(wǎng)等都屬于此類。

3. 外網(wǎng)

直接連入 INTERNET（互連網(wǎng)），可以與互連網(wǎng)上的任意一臺電腦互相訪問。

4. 邊界防御

以網(wǎng)絡(luò)邊界為核心的防御模型，以靜態(tài)規(guī)則匹配為基礎(chǔ)，強調(diào)把所有的安全威脅都擋在外網(wǎng)。

5. 南北向流量

通常指數(shù)據(jù)中心內(nèi)外部之間通信所產(chǎn)生的的流量。

6. 東西向流量

通常指數(shù)據(jù)中心內(nèi)部不同主機之間互相通信所產(chǎn)生的的流量。

7. 規(guī)則庫

網(wǎng)絡(luò)安全的核心數(shù)據(jù)庫，類似于黑白名單，用于存儲大量安全規(guī)則，一旦訪問行為和規(guī)則庫完成匹配，則被認為是非法行為。所以有人也將規(guī)則庫比喻為網(wǎng)絡(luò)空間的法律。

8. 大數(shù)據(jù)安全分析

區(qū)別于傳統(tǒng)被動規(guī)則匹配的防御模式，以主動收集和分析大數(shù)據(jù)的方法，找出其中可能存在的安全威脅，因此也稱數(shù)據(jù)驅(qū)動安全。 該理論最早由奇安信于 2015 年提出。

9. EPP

全稱為 Endpoint Protection Platform，翻譯為端點保護平臺，部署在終端設(shè)備上的安全防護解決方案,用于防止針對終端的惡意軟件、惡意腳本等安全威脅，通常與 EDR 進行聯(lián)動。

10.EDR

全稱 Endpoint Detection & Response，即端點檢測與響應(yīng)，通過對端點進行持續(xù)檢測，同時通過應(yīng)用程序?qū)Σ僮飨到y(tǒng)調(diào)用等異常行為分析，檢測和防護未知威脅，最終達到殺毒軟件無法解決未知威脅的目的。

11.NDR

全稱 Network Detection & Response，即網(wǎng)絡(luò)檢測與響應(yīng)，通過對網(wǎng)絡(luò)側(cè)流量的持續(xù)檢測和分析，幫助企業(yè)增強威脅響應(yīng)能力， 提高網(wǎng)絡(luò)安全的可見性和威脅免疫力。

12.安全可視化

指在網(wǎng)絡(luò)安全領(lǐng)域中的呈現(xiàn)技術(shù)，將網(wǎng)絡(luò)安全加固、檢測、防御、響應(yīng)等過程中的數(shù)據(jù)和結(jié)果轉(zhuǎn)換成圖形界面，并通過人機交互的方式進行搜索、加工、匯總等操作的理論、方法和技術(shù)。

13.NTA

Network Traffci Analysis 網(wǎng)絡(luò)流量分析。 以網(wǎng)絡(luò)流量為基礎(chǔ)，應(yīng)用人工智能、大數(shù)據(jù)處理等先進技術(shù)，基于流量行為的實時分析，展示異常事件的客觀事實。簡單點說，就是利用網(wǎng)絡(luò)流量為數(shù)據(jù)源，發(fā)現(xiàn)攻擊、異常行為。

14. MDR

Managed Detection & Response 托管檢測與響應(yīng)，依靠基于網(wǎng)絡(luò)和主機的檢測工具來識別惡意模式。 此外，這些工具通常還會從防火墻之內(nèi)的終端收集數(shù)據(jù)，以便更全面地監(jiān)控網(wǎng)絡(luò)活動。

15. 應(yīng)急響應(yīng)

通常是指一個組織為了應(yīng)對各種意外事件的發(fā)生所做的準備以及在事件發(fā)生后所采取的措施。

16. 威脅情報

根據(jù) Gartner 的定義，威脅情報是某種基于證據(jù)的知識，包括上下文、機制、標示、含義和能夠執(zhí)行的建議，這些知識與資產(chǎn)所面臨 已有的或醞釀中的威脅或危害相關(guān)，可用于資產(chǎn)相關(guān)主體對威脅或 危害的響應(yīng)或處理決策提供信息支持。根據(jù)使用對象的不同，威脅 情報主要分為人讀情報和機讀情報。

17. TTP

主要包括三要素，戰(zhàn)術(shù) Tactics、技術(shù) Techniques 和過程Procedures，是描述高級威脅組織及其攻擊的重要指標，作為威脅情報的一種重要組成部分，TTP 可為安全分析人員提供決策支撐。

18. IOC

Indicator Of Compromise 失陷標示： 一是定位已經(jīng)失陷的對象 ，二是對告警進行分類分級

19. 上下文

從文章的上下文引申而來，主要是指某項威脅指標的關(guān)聯(lián)信息，用于實現(xiàn)更加精準的安全匹配和檢測。

20. ATT&CK

Adversarial Tactics, Techniques, and Common Knowledge， 由MITRE創(chuàng)建并維護的一個對抗戰(zhàn)術(shù)和技術(shù)的知識庫。它是根據(jù)真實的觀察數(shù)據(jù)來描述和分類對抗行為。

ATT&CK 將已知攻擊者行為轉(zhuǎn)換為結(jié)構(gòu)化列表，將這些已知的行為匯總成戰(zhàn)術(shù)和技術(shù)，并通過幾個矩陣以及結(jié)構(gòu)化威脅信息表達式 （STIX）、指標信息的可信自動化交換（TAXII）來表示。

21.鉆石模型

鉆石模型在各個領(lǐng)域的應(yīng)用都十分廣泛，在網(wǎng)絡(luò)安全領(lǐng)域，鉆石模型首次建立了一種將科學原理應(yīng)用于入侵分析的正式方法

入侵分析的鉆石模型為我們提供了一個理解入侵事件的分析框架。該模型是指導入侵分析工作的一個非常有用的工具，確保我們已經(jīng)收集了所有的相關(guān)信息，并從不同角度進行了思考。在鉆石模型中，入侵事件有四個核心特征：

• 攻擊者(Adversary) 是試圖破壞我們的信息或信息系統(tǒng)的人或團體，其可能是外部威脅，如黑客組織，也可能是內(nèi)部威脅，如惡意的內(nèi)部人員；

• 受害者(Victim) 是被攻擊的組織。根據(jù)入侵事件的性質(zhì)，受害者可能被描述為一個廣泛的組織或一個特定的系統(tǒng);

• 攻擊者擁有他們用來參與攻擊的手段(Capablility)。我們可以把這些能力看作是我們之前討論的MITRE ATT&CK矩陣中的元素。操縱訪問令牌，冒充服務(wù)臺工作人員，或注入SQL代碼都是手段的例子。

• 第四部分基礎(chǔ)設(shè)施(Infrastructure) 是攻擊者可以用來發(fā)動攻擊的物理和虛擬資源。這可能包括他們自己的資源或從其他組織竊取的資源?；A(chǔ)設(shè)施可能包括系統(tǒng)、網(wǎng)絡(luò)、電子郵件賬戶、IP地址或任何其攻擊者用來部署其能力以對付受害者的手段。在任何入侵中，攻擊者都會利用基礎(chǔ)設(shè)施和不適當?shù)氖侄蝸磲槍κ芎?/p>

22.關(guān)聯(lián)分析

又稱關(guān)聯(lián)挖掘，就是在交易數(shù)據(jù)、關(guān)系數(shù)據(jù)或其他信息載體中，查找存在于項目集合或?qū)ο蠹现g的頻繁模式、關(guān)聯(lián)、相關(guān)性或因果結(jié)構(gòu)。

在網(wǎng)絡(luò)安全領(lǐng)域主要是指將不同維度、類型的安全數(shù)據(jù) 進行關(guān)聯(lián)挖掘，找出其中潛在的入侵行為。

23.探針

也叫作網(wǎng)絡(luò)安全探針或者安全探針，可以簡單理解為賽博世界的攝像頭，部署在網(wǎng)絡(luò)拓撲的關(guān)鍵節(jié)點上，用于收集和分析流量和日志， 發(fā)現(xiàn)異常行為，并對可能到來的攻擊發(fā)出預警。

24.網(wǎng)絡(luò)空間測繪

用搜索引擎技術(shù)來提供交互，讓人們可以方便的搜索到網(wǎng)絡(luò)空間上的設(shè)備。 相對于現(xiàn)實中使用的地圖，用各種測繪方法描述和標注 地理位置，用主動或被動探測的方法，來繪制網(wǎng)絡(luò)空間上設(shè)備的網(wǎng) 絡(luò)節(jié)點和網(wǎng)絡(luò)連接關(guān)系圖，及各設(shè)備的畫像。

25.SOAR

Security Orchestration, Automation and Response 安全編排自動化與響應(yīng)，主要通過劇本化、流程化的指令，對入侵 行為采取的一系列自動化或者半自動化響應(yīng)處置動作。

26. 內(nèi)存保護

內(nèi)存保護是操作系統(tǒng)對電腦上的內(nèi)存進行訪問權(quán)限管理的一個機制。內(nèi)存保護的主要目的是防止某個進程去訪問不是操作系統(tǒng)配置 給它的尋址空間。

27. RASP

Runtime application self-protection 應(yīng)用運行時自我保護。 在 2014 年時由 Gartner 提出，它是一種新型應(yīng)用安全保護技術(shù)，它將保護程序像疫苗一樣注入到應(yīng)用程序中，應(yīng)用程序融為一體，能實時檢測和阻斷安全攻擊，使應(yīng)用程序具備自我保護能力，當應(yīng)用程序遭受到實際攻擊傷害，就可以自動對其進行防御，而不需要進行人工干預。

28. 包檢測

對于流量包、數(shù)據(jù)包進行拆包、檢測的行為。

29. 深度包檢測

Deep Packet Inspection，縮寫為 DPI，又稱完全數(shù)據(jù)包探測（complete packet inspection）或信息萃?。↖nformation eXtraction，IX），是一種計算機網(wǎng)絡(luò)數(shù)據(jù)包過濾技術(shù)，用來檢查通過檢測點之數(shù)據(jù)包的數(shù)據(jù)部分（亦可能包含其標頭），以搜索不匹配規(guī)范之協(xié)議、病毒、垃圾郵件、入侵跡象。 全流量檢測全流量主要體現(xiàn)在三個“全”上，即全流量采集與保存，全行為分析以及全流量回溯。 通過全流量分析設(shè)備，實現(xiàn)網(wǎng)絡(luò)全流量采集與保存、全行為分析與全流量回溯，并提取網(wǎng)絡(luò)元數(shù) 據(jù)上傳到大數(shù)據(jù)分析平臺實現(xiàn)更加豐富的功能。

30.元數(shù)據(jù)

元數(shù)據(jù)（Metadata），又稱中介數(shù)據(jù)、中繼數(shù)據(jù)，為描述數(shù)據(jù)的數(shù)據(jù)（data about data），主要是描述數(shù)據(jù)屬性（property）的信息，用來支持如指示存儲位置、歷史數(shù)據(jù)、資源查找、文件記錄等功能。

31.欺騙檢測

以構(gòu)造虛假目標來欺騙并誘捕攻擊者，從而達到延誤攻擊節(jié)奏，檢測和分析攻擊行為的目的。

32.微隔離

顧名思義是細粒度更小的網(wǎng)絡(luò)隔離技術(shù)，能夠應(yīng)對傳統(tǒng)環(huán)境、虛擬化環(huán)境、混合云環(huán)境、容器環(huán)境下對于東西向流量隔離的需求，重點用于阻止攻擊者進入企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部后的橫向平移。

33.逆向

常見于逆向工程或者逆向分析，簡單而言，一切從產(chǎn)品中提取原理及設(shè)計信息并應(yīng)用于再造及改進的行為，都是逆向工程。 在網(wǎng)絡(luò) 安全中，更多的是調(diào)查取證、惡意軟件分析等。

34.無代理安全

在終端安全或者虛擬化安全防護中，往往需要在每一臺主機或者虛機上安裝 agent（代理程序）來實現(xiàn)，這種方式往往需要消耗大量的資源。 而無代理安全則不用安裝 agent，可以減少大量的部署運維工作，提升管理效率。

35.CWPP

Cloud Workload Protection Platform 云工作負載保護平臺，主要是指對云上應(yīng)用和工作負載（包括虛擬主機和容器主 機上的工作負載）進行保護的技術(shù)，實現(xiàn)了比過去更加細粒度的防 護，是現(xiàn)階段云上安全的最后一道防線。

36. CSPM

Cloud Security Posture Management 云安全配置管理，能夠?qū)A(chǔ)設(shè)施安全配置進行分析與管理。這些安全配置包括賬號特權(quán)、網(wǎng)絡(luò)和存儲配置、以及安全配置（如加密 設(shè)置）。如果發(fā)現(xiàn)配置不合規(guī)，CSPM 會采取行動進行修正。

37. CASB

Cloud Access Security Broker，即云端接入安全代理。作為部署在客戶和云服務(wù)商之間的安全策略控制點，是在訪問基于云的資源時企業(yè)實施的安全策略。

38. 爬蟲&防爬

爬蟲： 模擬人操作客戶端(瀏覽器, APP) 向服務(wù)器發(fā)起網(wǎng)絡(luò)請求 抓取數(shù)據(jù)的自動化程序或腳本

防爬蟲：主要是指防止網(wǎng)絡(luò)爬蟲從自身網(wǎng)站中爬取信息。網(wǎng)絡(luò)爬蟲是一種按照一定的規(guī)則，自動地抓取網(wǎng)絡(luò)信息的程序或者腳本。

39. 安全資源池

安全資源池是多種安全產(chǎn)品虛擬化的集合，涵蓋了服務(wù)器終端、網(wǎng)絡(luò)、業(yè)務(wù)、數(shù)據(jù)等多種安全能力。

40. IAM

Identity and Access Management 身份與訪問管理，經(jīng)常也被叫做身份認證。

41. 4A

4A系統(tǒng)是統(tǒng)一安全管理平臺解決方案，指 認證Authentication、賬號Account、授權(quán)Authorization、審計Audit，中文名稱為 統(tǒng)一安全管理平臺解決方案。即將身份認證、授權(quán)、審計和賬號（即不可否認性及數(shù)據(jù)完整性）定義為網(wǎng)絡(luò)安全的四大組成部分，從而確立了身份認證在整個網(wǎng)絡(luò)安全系統(tǒng)中的地位與作用。

42.多因子認證

主要區(qū)別于單一口令認證的方式，要通過兩種以上的認證機制之后，才能得到授權(quán)，使用計算機資源。 例如，用戶要輸入 PIN 碼，插 入銀行卡，最后再經(jīng)指紋比對，通過這三種認證方式，才能獲得授 權(quán)。這種認證方式可以降低單一口令失竊的風險，提高安全性。 特權(quán)賬戶管理 簡稱 PAM。由于特權(quán)賬戶往往擁有很高的權(quán)限，因此一旦失竊或 被濫用，會給機構(gòu)帶來非常大的網(wǎng)絡(luò)安全風險。所以，特權(quán)賬戶管 理往往在顯得十分重要。 其主要原則有：杜絕特權(quán)憑證共享、為 特權(quán)使用賦以個人責任、為日常管理實現(xiàn)最小權(quán)限訪問模型、對這 些憑證執(zhí)行的活動實現(xiàn)審計功能。

43.零信任

零信任并不是不信任，而是作為一種新的身份認證和訪問授權(quán)理念，不再以網(wǎng)絡(luò)邊界來劃定可信或者不可信，而是默認不相信任何人、 網(wǎng)絡(luò)以及設(shè)備，采取動態(tài)認證和授權(quán)的方式，把訪問者所帶來的網(wǎng)絡(luò)安全風險降到最低。 零信任是一種理論狀態(tài)，即網(wǎng)絡(luò)內(nèi)的所有消費者都不僅沒有任何權(quán)限，而且也不具備對周圍網(wǎng)絡(luò)的感知。

44.SDP

Software Defined Perimeter 軟件定義邊界，由云安全聯(lián)盟基于零信任網(wǎng)絡(luò)提出，是圍繞某個應(yīng)用或某一組應(yīng)用創(chuàng)建的基于身份和上下文的邏輯訪問邊界。

45. Security as a Service

安全即服務(wù)，通?？衫斫鉃橐?SaaS 的方式，將安全能力交付給客戶。

46. 同態(tài)加密

同態(tài)加密是一類具有特殊自然屬性的加密方法，此概念是 Rivest等人在 20 世紀 70 年代首先提出的，與一般加密算法相比，同態(tài) 加密除了能實現(xiàn)基本的加密操作之外，還能實現(xiàn)密文間的多種計算功能。

47. 量子計算

是一種遵循量子力學規(guī)律調(diào)控量子信息單元進行計算的新型計算模式，目前已經(jīng)逐漸應(yīng)用于加密和通信傳輸。

48. 可信計算

一項由可信計算組（可信計算集群，前稱為 TCPA）推動和開發(fā)的技術(shù)。 可信計算是在計算和通信系統(tǒng)中廣泛使用基于硬件安全 模塊支持下的可信計算平臺，以提高系統(tǒng)整體的安全性。

49. 擬態(tài)防御

核心實現(xiàn)是一種基于網(wǎng)絡(luò)空間內(nèi)生安全機理的動態(tài)異構(gòu)冗余構(gòu)造（Dynamic Heterogeneous Redundancy，DHR)，為應(yīng)對網(wǎng)絡(luò)空間中基于未知漏洞、后門或病毒木馬等的未知威脅，提供具有普適創(chuàng)新意義的防御理論和方法。

50. 遠程瀏覽器

鑒于瀏覽器往往成為黑客攻擊的入口，因此將瀏覽器部署在遠程的一個“瀏覽器服務(wù)器池”中。 這樣一來，這些瀏覽器所在的服務(wù) 器跟用戶所在環(huán)境中的終端和網(wǎng)絡(luò)是隔離的，從而使得客戶所在網(wǎng)絡(luò)的暴露面大大降低。 這種服務(wù)也類似于虛擬桌面、云手機等產(chǎn)品。

51. 云手機

云手機采用全新的 VMI（Virtual Mobile Infrastructure 虛擬移動設(shè)施，與 PC 云桌面類似）技術(shù)，為員工提供一個獨立的移動設(shè)備 安全虛擬手機，業(yè)務(wù)應(yīng)用和數(shù)據(jù)僅在服務(wù)端運行和存儲，個人終端上僅做加密流媒體呈現(xiàn)和觸控，從而有效保障企業(yè)數(shù)據(jù)的安全性。

52. 風控

也稱大數(shù)據(jù)風控，是指利用大數(shù)據(jù)分析的方法判斷業(yè)務(wù)可能存在的安全風險，目前該技術(shù)主要用于金融信貸領(lǐng)域，防止壞賬的發(fā)生。

53. 滲透測試

為了證明網(wǎng)絡(luò)防御按照預期計劃正常運行而提供的一種機制，通常 會邀請專業(yè)公司的攻擊團隊，照一定的規(guī)則攻擊既定目標，從而 找出其中存在的漏洞或者其他安全隱患，并出具測試報告和整改建議。 其目的在于不斷提升系統(tǒng)的安全性。

54.安全眾測

借助眾多白帽子的力量，針對目標系統(tǒng)在規(guī)定時間內(nèi)進行漏洞懸賞測試。 您在收到有效的漏洞后，按漏洞風險等級給予白帽子一定 的獎勵。通常情況下是按漏洞付費，性價比較高。 同時，不同白 帽子的技能研究方向可能不同，在進行測試的時候更為全面。

55.內(nèi)生安全

由奇安信集團董事長齊向東在 2019 北京網(wǎng)絡(luò)安全大會上首次提出，指的是不斷從信息化系統(tǒng)內(nèi)生長出的安全能力，能伴隨業(yè)務(wù)的 增長而持續(xù)提升，持續(xù)保證業(yè)務(wù)安全。 內(nèi)生安全有三個特性，即依靠信息化系統(tǒng)與安全系統(tǒng)的聚合、業(yè)務(wù)數(shù)據(jù)與安全數(shù)據(jù)的聚合以 及 IT 人才和安全人才的聚合，從信息化系統(tǒng)的內(nèi)部，不斷長出自 適應(yīng)、自主和自成長的安全能力。

56.內(nèi)生安全框架

為推動內(nèi)生安全的落地，奇安信推出了內(nèi)生安全框架。 該框架從頂層視角出發(fā)，支撐各行業(yè)的建設(shè)模式從“局部整改外掛式”，走 向“深度融合體系化”；從工程實現(xiàn)的角度，將安全需求分步實施，逐步建成面向未來的安全體系；內(nèi)生安全框架能夠輸出實戰(zhàn)化、體 系化、常態(tài)化的安全能力，構(gòu)建出動態(tài)防御、主動防御、縱深防御、 精準防護、整體防控、聯(lián)防聯(lián)控的網(wǎng)絡(luò)安全防御體系。 內(nèi)生安全框架包含了總結(jié)出了 29 個安全區(qū)域場景和 79 類安全組件。

57. PPDR

Policy Protection Detection Response，翻譯為策略、防護、檢測和響應(yīng)。 主要以安全策略為核心，通過一致性檢查、流量統(tǒng)計、異常分析、模式匹配以及基于應(yīng)用、目標、主機、網(wǎng)絡(luò)的入侵檢查等方法進行安全漏洞檢測。

58. CARTA

Continuous Adaptive Risk and Trust Assessment，即持續(xù)自適應(yīng)風險與信任評估旨在通過動態(tài)智能分析來評估用戶行為，放棄追求完美的安全，不能要求零風險，不要求 100%信任， 尋求一種 0 和 1 之間的風險與信任的平衡。 CARTA 戰(zhàn)略是一個 龐大的體系，其包括大數(shù)據(jù)、AI、機器學習、自動化、行為分析、 威脅檢測、安全防護、安全評估等方面。

59. SASE

Secure Access Service Edge，即安全訪問服務(wù)邊緣，Gartner 將其定義為一種基于實體的身份、實時上下文、企業(yè)安全 /合規(guī)策略，以及在整個會話中持續(xù)評估風險/信任的服務(wù)。 實體的身份可與人員、人員組（分支辦公室）、設(shè)備、應(yīng)用、服務(wù)、物聯(lián)網(wǎng)系統(tǒng)或邊緣計算場地相關(guān)聯(lián)。

60. SDL

Security Development Lifecycle，翻譯為安全開發(fā)生命周期，是一個幫助開發(fā)人員構(gòu)建更安全的軟件和解決安全合規(guī)要求 的同時降低開發(fā)成本的軟件開發(fā)過程，最早由微軟提出。

61. DevSecOps

Development Security Operations，可翻譯為安全開發(fā)與運維。 它強調(diào)在 DevOps 計劃剛啟動時就要邀請安全團隊來確 保信息的安全性，制定自動安全防護計劃，并貫穿始終，實現(xiàn)持續(xù)IT 防護。

62. 代碼審計

顧名思義就是檢查源代碼中的安全缺陷，檢查程序源代碼是否存在安全隱患，或者有編碼不規(guī)范的地方，通過自動化工具或者人工審 查的方式，對程序源代碼逐條進行檢查和分析，發(fā)現(xiàn)這些源代碼缺 陷引發(fā)的安全漏洞，并提供代碼修訂措施和建議。

63. NTLM 驗證

NTLM(NT LAN Manager)是微軟公司開發(fā)的一種身份驗證機制，從 NT4 開始就一直使用，主要用于本地的帳號管理。

64. MTTD

平均檢測時間。

65. MTTR

平均響應(yīng)時間。

66. CVE

Common Vulnerabilities and Exposures，由于安全機構(gòu)Mitre 維護一個國際通用的漏洞唯一編號方案，已經(jīng)被安全業(yè)界廣泛接受的標準。

67.軟件加殼

“殼”是一段專門負責保護軟件不被非法修改或反編譯的程序。它 們一般都是先于程序運行，拿到控制權(quán)，然后完成它們保護軟件的 任務(wù)。 經(jīng)過加殼的軟件在跟蹤時已無法看到其真實的十六進制代

碼，因此可以起到保護軟件的目的。

68.CNVD

國家信息安全漏洞共享平臺，由國家計算機應(yīng)急響應(yīng)中心 CNCERT維護，主要負責統(tǒng)一收集、管理國內(nèi)的漏洞信息，其發(fā)布的漏洞編 號前綴也為 CNVD。

69.數(shù)據(jù)脫敏

數(shù)據(jù)脫敏是指對某些敏感信息通過脫敏規(guī)則進行數(shù)據(jù)的變形，實現(xiàn)敏感隱私數(shù)據(jù)的可靠保護，主要用于數(shù)據(jù)的共享和交易等涉及大范 圍數(shù)據(jù)流動的場景。

70.GDPR

《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，簡稱 GDPR）為歐洲聯(lián)盟的條例，前身是歐盟在 1995 年制定的《計 算機數(shù)據(jù)保護法》。

71.CCPA

美國加利福尼亞州消費者隱私保護法案。

72.SRC

即 Security Response Center，中文名為安全應(yīng)急響應(yīng)中心，主要職責為挖掘并公開收集機構(gòu)存在的漏洞和其他安全隱患。

73.CISO

有時也被叫做 CSO，即首席信息安全官，為機構(gòu)的主要安全負責人。

74. IPC 管道

為了更好地控制和處理不同進程之間的通信和數(shù)據(jù)交換，系統(tǒng)會通過一個特殊的連接管道來調(diào)度整個進程。

75.SYN 包

TCP 連接的第一個包，非常小的一種數(shù)據(jù)包。SYN 攻擊包括大量此類的包，由于這些包看上去來自實際不存在的站點，因此無法有 效進行處理。

76.IPC$

Internet Process Connection 是共享"命名管道"的資源，它是為了讓進程間通信而開放的命名管道，通過提供可信任的用戶名和口令，連接雙方可以建立安全的通道并以此通道進行加密數(shù)據(jù)的交換，從而實現(xiàn)對遠程計算機的訪問。

77.shell

指的是一種命令指行環(huán)境，是系統(tǒng)與用戶的交換方式界面。簡單來說，就是系統(tǒng)與用戶“溝通”的環(huán)境。 我們平時常用到的 DOS， 就是一個 shell。

78.ARP

地址解析協(xié)議(Address Resolution Protocol)此協(xié)議將網(wǎng)絡(luò)地址映射到硬件地址。

79 RARP

逆地址解析協(xié)議 RARP 使只知道自己硬件地址的主機能夠知道其 IP地址。

這種主機往往是無盤工作站。 因此 RARP協(xié)議目前已很少使用。

80 UDP

UDP(User Datagram Protocol，用戶數(shù)據(jù)報協(xié)議)

90 TCP

Transmission Control Protocol 傳輸控制協(xié)議 是一種面向連接的、可靠的、基于字節(jié)流的傳輸層協(xié)議。

93 TELNET

對于Telnet的認識，不同的人持有不同的觀點，可以把Telnet當成一種通信協(xié)議，但是對于入侵者而言，Telnet只是一種遠程登錄的工具。一旦入侵者與遠程主機建立了Telnet連接，入侵者便可以使用目標主機上的軟、硬件資源，而入侵者的本地機只相當于一個只有鍵盤和顯示器的終端而已。

99 EXP

Exp，就是Exploit，漏洞利用的意思，注意，有漏洞不一定就有Exploit（利用)。有Exploit就肯定有漏洞。

100 POC

Proof of Concept '，中文 ’ 概念驗證 ’ ，常指一段漏洞證明的代碼。

101. CMS

內(nèi)容管理系統(tǒng)（content management system，CMS）是一種位于WEB 前端（Web 服務(wù)器）和后端辦公系統(tǒng)或流程（內(nèi)容創(chuàng)作、編輯）之間的軟件系統(tǒng)。內(nèi)容的創(chuàng)作人員、編輯人員、發(fā)布人員使用內(nèi)容管理系統(tǒng)來提交、修改、審批、發(fā)布內(nèi)容。

102. VPS

Virtual Private Server 虛擬專用服務(wù)器，將一臺服務(wù)器分割成多個虛擬專享服務(wù)器的優(yōu)質(zhì)服務(wù)。實現(xiàn)VPS的技術(shù)分為容器技術(shù)，和虛擬化技術(shù) [1] 。在容器或虛擬機中，每個VPS都可選配獨立公網(wǎng)IP地址、獨立操作系統(tǒng)、實現(xiàn)不同VPS間磁盤空間、內(nèi)存、CPU資源、進程和系統(tǒng)配置的隔離，為用戶和應(yīng)用程序模擬出“獨占”使用計算資源的體驗。VPS可以像獨立服務(wù)器一樣，重裝操作系統(tǒng)，安裝程序，單獨重啟服務(wù)器。VPS為使用者提供了管理配置的自由，可用于企業(yè)虛擬化，也可以用于IDC資源租用。

103. 獨立服務(wù)器

獨立服務(wù)器是具有個性化服務(wù)的網(wǎng)絡(luò)托管計劃

104. 域名

• 其實就是區(qū)域的名字

• 每個域名背后都對應(yīng)一個 IP 地址

• 雖然每次訪問網(wǎng)站都是輸入域名，但都是訪問這個域名對應(yīng) IP 地址的網(wǎng)絡(luò)服務(wù)器來打開網(wǎng)站的

• 其實就是將一串難以記憶的 IP地址，變成域名，這樣就很好記了

105. AWD 攻防對抗賽

Attack With Defense 攻防兼?zhèn)?。在比賽中扮演攻防雙方，攻方攻擊靶機獲得 FLag 得分守方扣分。

106. 下一代

網(wǎng)絡(luò)安全領(lǐng)域經(jīng)常用到，用于表示產(chǎn)品或者技術(shù)有較大幅 度的創(chuàng)新，在能力上相對于傳統(tǒng)方法有明顯的進步，通?？s寫為 NG（Next Gen）。 例如 NGFW（下一代防火墻）、NGSOC（下 一代安全管理平臺）等。

107. XDR

通常指以檢測和響應(yīng)技術(shù)為核心的網(wǎng)絡(luò)安全策略的統(tǒng)稱，包括 EDR、NDR、MDR 等。

安全運營 貫穿產(chǎn)品研發(fā)、業(yè)務(wù)運行、漏洞修復、防護與檢測、應(yīng) 急響應(yīng)等一系列環(huán)節(jié)，實行系統(tǒng)的管理方法和流程，將各個環(huán)節(jié)的 安全防控作用有機結(jié)合，保障整個業(yè)務(wù)的安全性。

108. STIX

STIX 是一種描述網(wǎng)絡(luò)威脅信息的結(jié)構(gòu)化語言，能夠以標準化 和結(jié)構(gòu)化的方式獲取更廣泛的網(wǎng)絡(luò)威脅信息，常用于威脅情報的共 享與交換，目前在全球范圍內(nèi)使用最為廣泛。 STIX 在定義了 8 中 構(gòu)件的 1.0 版本基礎(chǔ)上，已經(jīng)推出了定義了 12 中構(gòu)件的 2.0 版本。 殺傷鏈 殺傷鏈最早來源于軍事領(lǐng)域，用于描述進攻一方各個階段 的狀態(tài)。 在網(wǎng)絡(luò)安全領(lǐng)域，這一概念最早由洛克希德-馬丁公司提 出，英文名稱為 Kill Chain，也稱作網(wǎng)絡(luò)攻擊生命周期，包括偵查 追蹤、武器構(gòu)建、載荷投遞、漏洞利用、安裝植入、命令控制、目 標達成等七個階段，來識別和防止入侵。

109. 殺傷鏈

由 Lockheed Martin 開發(fā)的 Cyber Kill Chain? 框架是 Intelligence Driven Defense? 模型的一部分，用于識別和預防網(wǎng)絡(luò)入侵活動。該模型確定了對手必須完成哪些任務(wù)才能實現(xiàn)其目標。

110. 態(tài)勢感知

態(tài)勢感知（Situation Awareness，SA）能夠檢測出超過20大類的云上安全風險，包括DDoS攻擊、暴力破解、Web攻擊、后門木馬、僵尸主機、異常行為、漏洞攻擊、命令與控制等。利用大數(shù)據(jù)分析技術(shù)，態(tài)勢感知可以對攻擊事件、威脅告警和攻擊源頭進行分類統(tǒng)計和綜合分析，為用戶呈現(xiàn)出全局安全攻擊態(tài)勢。

111. UEBA

User and Entity Behavior Analytics ，即為用戶實體行為分析。

用戶行為分析(UBA)關(guān)聯(lián)了用戶活動和相關(guān)實體（用戶相關(guān)的應(yīng)用和終端等）信息構(gòu)建人物角色與群組，進一步定義這些個體與群組的合法和正常行為，把這些人物角色在群體與群體、群體與個體、個體與個體（那些遠離合法和正常行為的群體與個體）維度上相互比對分析，將異常用戶（失陷賬號）和用戶異常（非法行為）檢測出來，從而達到檢測業(yè)務(wù)欺詐、敏感數(shù)據(jù)泄露、內(nèi)部惡意用戶、有針對性攻擊等高級威脅的目的。

112.SDP

SDP（Session Description Protocal）說直白點就是用文本描述的通信各端（PC 端、Mac 端、Android 端、iOS 端等）的能力。這里的能力指的是各端所支持的音頻編解碼器是什么，這些編解碼器設(shè)定的參數(shù)是什 么，使用的傳輸協(xié)議是什么，以及包括的音視頻媒體是什么等等。

113.區(qū)塊鏈

區(qū)塊鏈可以借由密碼學，串接并保護內(nèi)容的串聯(lián)交易記錄（又稱區(qū)塊）。在區(qū)塊鏈中，區(qū)塊內(nèi)容具有難以篡改的特性，每一個區(qū)塊都包含了前一個區(qū)塊的加密散列、相應(yīng)時間戳記以及交易數(shù)據(jù)（通常用Hash樹計算的散列值表示）。用區(qū)塊鏈串接的分布式賬本能讓交易雙方有效地記錄交易，且可永久查驗。

114. UEBA

User and Entity Behavior Analytics，即用戶實體行為分析，一般通過大數(shù)據(jù)分析的方法，分析用戶以及 IT 實體的行為，從而判斷是否存在非法行為。文章來源地址http://www.zghlxwxcb.cn/news/detail-464112.html