ibz@admin888 在学习网络安全的时候,有很多专业术语看不懂,所以查了一下,总结了一下,请看我的感想,全文分为攻击部分和防御部分,主要是攻击部分、攻击工具、攻击方法,攻击者,包括防御。本文涵盖软件与硬件、技术与服务,并整理了200多个常用网络安全术语。如有不当或遗漏的字词,欢迎指正或补充。请在留言框中输入。
1. 攻击1. 攻击工具肉鸡
所谓“肉鸡”是一个非常形象的比喻,指的是被攻击者控制并用来发动网络攻击的电脑、手机、服务器或者摄像头、路由器等其他智能设备。例如,2016年美国东海岸的互联网中断事件中,一群黑客控制了大量联网摄像头并发起了网络攻击。这些相机被称为“肉鸡”。
僵尸网络
僵尸网络是指利用一种或多种传播方式使病毒感染大量主机,从而在控制者和被感染主机之间形成一对多的可控网络。僵尸网络是一个非常形象的比喻:就像中国古代传说中的一群僵尸一样,僵尸网络是攻击者在攻击者不知情的情况下驱动和指挥的大量计算机,对攻击者的基础设施进行各种改变。执行恶意活动(DDOS、垃圾邮件等)。
特洛伊木马
这些程序看起来很正常,但一旦执行这些程序,它们就可以完全控制您的系统。有许多黑客试图使用灰鸽子、Gh0st 和PcShare 等特洛伊木马程序来控制他人的计算机。
网络木马
从表面上看,恶意代码可以伪装成正常网页或直接插入到正常网页文件中,但一旦被访问,有人就可以利用对方系统或浏览器的漏洞来配置自动嵌入木马。它将服务器渗透到访问者的系统中,并自动在攻击者的计算机上运行,将受影响的客户的计算机变成僵尸网络或僵尸网络。
根工具包
Rootkit是攻击者用来隐藏其位置并维持root(root权限,在Windows中可以理解为系统权限或管理员权限)访问的工具。攻击者通常通过远程攻击或使用密码猜测(破解)来获得对系统的正常访问权限,然后利用其他系统中的安全漏洞来获得对系统的root访问权限。权威。 Rootkit 的功能与特洛伊木马和后门类似,但更加隐蔽。 MAC、LINUX 和BSD 也是Rootkit 攻击的目标。
蠕虫病毒
这是一类相对独立的恶意代码,利用网络系统的开放性,通过可远程利用的漏洞进行独立传播,以受控设备为攻击发起者,并试图感染更多系统。蠕虫病毒的主要特点是自我复制能力强、传染性强、潜伏性强、有一定的诱导能力和破坏力大。
震网病毒
该病毒又称为Stuxnet病毒,是第一个专门攻击核电站、水坝和国家电网等现实世界基础(能源)设施的“蠕虫”病毒。作为全球首个网络“超级破坏性武器”,震网计算机病毒已感染全球45000多个网络,其中伊朗铀浓缩工厂受到的攻击最为严重。
勒索软件
主要通过电子邮件、程序木马、网页木马进行传播。该病毒恶意性极强,危害性极大,一旦感染,会给用户造成难以估量的损失。该病毒使用各种加密算法来加密文件,但感染者通常无法解密文件,需要获取解密后的私钥才能解密文件。
挖矿木马
将PC、移动设备甚至服务器变成矿机的木马。通常由挖矿团伙植入以开采比特币以获取利润。
攻击负载
攻击负载(有效负载)是在系统遭到破坏后执行的多阶段恶意代码。攻击有效负载通常附加到漏洞利用模块,该模块与漏洞利用一起分发,并且可以通过网络检索更多组件。
嗅探器
可以捕获网络数据包的设备或程序。嗅探器的合法用途是分析网络流量以识别目标网络中的潜在问题。
恶意软件
旨在执行各种恶意操作的程序,例如未经授权控制计算机或窃取计算机数据。
间谍软件
在用户不知情的情况下,在电脑、手机上安装后门,具有收集用户信息、监控、偷拍用户等功能的软件。
后门
这是一个形象的比喻,入侵者一旦通过特定的方法成功控制了目标主机,就可以在对方的系统中植入特定的程序或创建特定的设置来访问、查看和控制目标主机。改变.从表面上看,这些变化很难察觉,就好像入侵者偷偷配了一把主人房间的钥匙,或者在不显眼的地方建造了秘密通道,让他们随意进出一样,都是困难的。通常,大多数特洛伊木马程序都可以被入侵者用来创建后门。
密码强度低
这是指较弱且容易被猜到的密码,例如123 或abc。
漏洞
漏洞是硬件、软件、协议或系统安全策略的特定实现中的缺陷,它允许攻击者获得对系统的未经授权的访问或损坏系统。奇安信集团董事长齐向东在其著作《漏洞》中指出,软件缺陷是造成漏洞的主要原因。
远程命令执行漏洞
系统设计和实现中的漏洞可能允许攻击者发送特定请求或数据,从而导致攻击者指定的任意命令在受影响的系统上执行。 0day 漏洞0day 漏洞的早期破解专门针对名为WAREZ 的软件,该软件后来演变为游戏、音乐、电影和其他内容。 0day中的0表示零,早期0day表示软件发布后24小时内出现破解版本。在网络攻击和防御的背景下,零日漏洞是攻击者发现和利用但尚未向公众(包括受影响的软件供应商)披露的漏洞。攻击者完全无法利用此类漏洞。由于该漏洞没有补丁或临时解决方案,防御者不知道如何防御,而攻击者却能够实现最大可能的威胁。
一日漏洞
指已公开漏洞信息,但尚未公开补丁的漏洞。尽管此类漏洞造成的损害仍然很大,但当局经常宣布部分缓解措施,例如关闭某些端口或服务。
Nday漏洞
指已发布官方补丁的漏洞。通常情况下,此类漏洞只需更新补丁就可以解决,但由于种种原因,有很多设备漏洞没有及时更新,而如何利用这些漏洞,网上已经公布了,出现这种情况的案例也有很多。此类漏洞最常被黑客利用。例如,在永恒之蓝事件中,微软提前发布了补丁,但仍有大量用户受到影响。
2.攻击方式:挂马
它涉及在他人的网站文件中植入网络特洛伊木马,或将代码潜入对方的正常网络文件中以欺骗浏览者。
挖一个洞
指漏洞挖掘。
包装
添加不影响程序功能的冗余汇编指令会阻止防病毒软件正确确定病毒文件的结构。简单地说,“杀毒软件是按照从头到脚的顺序来识别病毒的,如果把病毒的头和脚趾颠倒过来,杀毒软件就找不到病毒了”。
反弹端口
有些人注意到,虽然防火墙通常非常严格地过滤传入连接,但它们无法保护传出连接。因此,利用该功能,反弹端口软件的服务器端(控制端)主动连接客户端(控制端),给人一种控制端主动连接控制端的错觉,让人大意不已。
网络钓鱼
攻击者使用欺骗性电子邮件和虚假网站进行在线欺诈。诈骗者通常冒充值得信赖的品牌,例如在线银行、在线零售商或信用卡公司,来诱骗您交出个人信息或电子邮件帐户密码。诈骗受害者经常泄露个人信息,例如电子邮件地址、信用卡号码、银行卡账户和身份证号码。
鱼叉攻击
鱼叉式网络钓鱼是一种引入鱼叉式网络钓鱼形象的网络攻击,主要是指增加欺骗性电子邮件的可信度并提高成功概率的网络钓鱼攻击。与网络钓鱼不同,鱼叉式网络钓鱼攻击往往具有很强的针对性,攻击者往往“见鱼而攻之”。为了实现这一目标,攻击者试图收集尽可能多的有关目标的信息。通常,组织内的特定个人存在特定的安全漏洞。
鲸鱼袭击
捕鲸是鱼叉捕鱼的另一种演变。这是指针对组织内的高级管理人员和其他高级人员的网络钓鱼攻击。通过个性化电子邮件内容并针对特定相关目标进行定制来进行攻击。
水坑攻击
顾名思义,“饮水器(陷阱)”是沿着受害者必经之路设置的。最常见的方法是黑客分析目标的互联网活动模式,找到目标经常访问的网站的弱点,然后首先“破坏”该网站并嵌入攻击代码。在网站上,攻击目标是“命中”。
闻
嗅探是指拦截和分析局域网内的数据包以获取有用的信息。
APT攻击
高级持续威胁是指组织针对网络上的特定对象进行的持续有效的攻击活动。此类活动具有高度隐蔽性和针对性,通常利用各种感染媒体、供应链、社会工程等手段来发动复杂、持久、有效的威胁和攻击。我会这么做。
C2
C2代表命令和控制,常见于APT攻击场景。当解释为动词时,它被理解为恶意软件与攻击者之间的交互;当解释为名词时,它被理解为攻击者的“基础设施”。
供应链攻击
它充当黑客攻击目标组织的伙伴,并利用该伙伴作为渗透目标用户的跳板。一个常见的迹象是用户信任制造商的产品,当制造商的产品被下载、安装或更新时,恶意软件就会发起攻击。因此,如果您在某些软件下载平台下载时遇到捆绑软件,请务必小心。
社会工程学
中间人攻击是一种“间接”入侵攻击。这种攻击模式使用各种技术手段,将入侵者控制的计算机虚拟地放置在网络连接内的两台通信计算机之间。它通过窃听正常网络来传输数据和通信。改变或窃听数据的计算机;这种计算机被称为“中间人”。
收集羊毛
是指利用各种网络金融产品和红包活动推动线下佣金来赚钱的网赚者,一般是指各种银行等金融机构以达到盈利目的,这是指向各个会员店收集优惠信息。这种类型的运动称为起绒。
商业电子邮件攻击(BEC)
也称为“面部欺诈”攻击,这是针对高级管理人员的攻击。攻击者通常会欺骗(窃取)决策者的电子邮件以提供有关资金或福利的说明,或使用社会工程来制作电子邮件。电子邮件用于说服和引导企业主在短时间内进行经济交易。
通讯诈骗
是指利用电话、网络、短信等捏造虚假信息,实施诈骗,远程、非接触式诈骗受害人,诱导其支付或者汇款的犯罪行为。伪造或伪造各类货币。欺骗的目的是通过合法的借口和形式来实现的。
杀猪盘
网络流行语是传播诈骗的一种,是诱导人们进行交友、炒股、赌博等诈骗手段的一种。指某事。 “养猪”和“诈骗”这个词,持续得越久,就越狠。
ARP攻击
ARP协议的基本功能是通过目标设备的IP地址查询目标设备的MAC地址,以保证通信。基于ARP协议的这种行为特征,黑客不断地向其他计算机发送恶意ARP数据包。数据包中包含当前设备的重复Mac地址,简单的地址重复错误就会导致对方回复你的消息。因此,正常的网络通信将无法进行。
欺骗攻击
网络欺骗技术主要包括HONEYPOT和分布式HONEYPOT、欺骗空间技术等。主要技术有: IP欺骗、ARP欺骗、DNS欺骗、Web欺骗、电子邮件欺骗、源路由欺骗(冒充虚假身份与其他主机合法通信或通过指定路由向被攻击主机发送虚假消息)、地址欺骗(包括欺骗源地址、欺骗中间站点)等。
外壳代码
可由操作系统处理而无需特殊定位的指令的一部分。这通常是利用软件漏洞后执行的恶意代码。 Shellcode 是二进制机器代码,通常允许攻击者获取shell,因此得名。
物理攻击
通常理解为通过物理接触而非技术手段来达到网络入侵的目的,最常见的形式是插入U盘。著名的Stuxnet病毒事件就是通过插入U盘感染伊朗核设施的。
3.攻击者不合法
网络黑产业是指通过互联网利用网络技术为主要手段,对计算机信息系统安全、网络空间管理秩序乃至国家安全和社会构成潜在威胁(严重安全风险)的违法行为。和政治稳定。例如非法数据交易行业。
暗网
暗网是一种为用户提供匿名访问互联网信息的技术手段,采用加密传输、P2P点对点网络、多点中继混淆等方式,其主要特征是匿名性。
黑帽黑客
像第三个孩子一样
通常指最古老的三种安全产品:IDS、防火墙和防病毒。
警报
指网络安全设备为响应攻击而生成的警报。
误报
也称为无效报警,通常指报警错误,即合法活动被判定为非法活动时触发报警。目前,由于攻击技术的快速进步和检测技术的限制,误报数量非常大,安全人员不得不花费大量时间处理误报,这是减少麻烦和损失的主要原因.这就是原因。提高日常安全处理效率。
假阴性
这通常意味着网络安全设备没有检测到任何非法活动,也没有生成警报。漏报大大增加了系统受损的风险。
NAC
它的正式名称是网络访问控制,旨在防止病毒和蠕虫等新的黑客技术危害公司的安全。通过NAC,客户只允许合法且可信的终端设备(PC、服务器、PDA 等)访问其网络,而不允许其他设备访问其网络。
扫描错误
漏洞扫描是指根据漏洞数据库,采用扫描或其他手段检测指定远程或本地计算机系统中的安全漏洞,以发现可利用漏洞的安全检测(入侵检测、攻击)指的一种行动。
UTM
统一威胁管理,中文也称为统一威胁管理,由IDC于2014年首次提出。它将各种设备安全功能(本质上包括入侵检测、防火墙和防病毒技术)集中在同一个网关上进行统一管理。而且运动的维度也不同。
看门人
网守是一种信息安全设备,它使用具有多种控制功能的固态交换机上的读/写介质连接两个独立的主机系统。由于两个独立的主机系统通过网守分开,因此仅发生数据文件形式的无协议渡轮。
堡垒机
采用多种技术手段,监控和记录运维人员对网络中的服务器、网络设备、安全设备、数据库等设备的操作行为,提供集中报警、及时处理和提供审计以确定责任。数据库审计允许您实时记录网络上的数据库活动,为数据库操作提供详细的审计合规性控制,向数据库发出危险行为警报,并阻止攻击行为。记录、分析和报告用户的数据库访问行为,允许用户创建合规报告并跟踪后续事件,以及增强对内部和外部数据库网络的行为记录并提高资产安全性。
数字光处理
通过准确识别数字资产并制定策略来防止数据泄露,主要用于防止企业指定的数据和信息资产违反安全政策规定泄露到企业外部。
VPN
虚拟专用网络在公共网络上构建专用网络进行加密通信,通过对数据包进行加密和目的地址转换来实现远程访问。
软件定义广域网
软件定义的广域网。用于连接地理上分布的企业网络、数据中心、互联网应用程序和云服务的服务。此类服务的典型特征是网络控制功能是通过软件基于云的。 SD-WAN 通常与防火墙、入侵检测或防病毒功能集成。而且从目前的趋势来看,以安全为核心设计的SD-WAN正在兴起,奇安信、飞塔等多家安全厂商进入该领域,内生安全性比较完善,我们已经开始提供设计。
路由器
它是一个集线器,用于连接OSI 7 层模型的传输层和网络层的不同子网和功能。路由器的基本功能是将网络数据包转发到目的地。一些路由器还具有访问控制列表(ACL),可以过滤掉不需要的数据包。许多路由器可以将日志信息注入IDS系统,并具有基本的数据包过滤(例如防火墙)功能。
网关
通常指外围网络设备,例如路由器、防火墙、IDS 和VPN。
WAF
Web 应用程序防火墙是一种通过强制执行一组HTTP/HTTPS 安全策略来专门保护Web 应用程序的产品。
SOC
安全运营中心,翻译为安全运营中心或安全管理平台,是通过建立一套实时资产风险模型,帮助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中场所。型安全管理系统。
拉斯
日志审计系统的主要功能是提供日志收集、检索和分析功能,为威胁检测提供丰富的上下文。
N.O.C.
示例:网络操作
Center,网络操作中心或网络运行中心,是远程网络通讯的管理、监视和维护中心,是网络问题解决、软件分发和修改、路由、域名管理、性能监视的焦点。 SIEM 即Security Information and Event Management,安全信息和事件管理,负责从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件收集安全日志数据,并进行分析和报告。 上网行为管理 是指帮助互联网用户控制和管理对互联网使用的设备。 其包括对网页访问过滤、上网隐私保护、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。 蜜罐(Honeypot) 是一个包含漏洞的系统,它摸拟一个或多个易受攻击的主机,给黑客提供一个容易攻击的目标。 由于蜜罐没有其它任务需要完成,因此所有连接的尝试都应被视为是可疑的。 蜜罐的另一个用途是拖延攻击者对其真正目标的攻击,让攻击者在蜜罐上浪费时间。 蜜罐类产品包括蜜网、蜜系统、蜜账号等等。 沙箱 沙箱是一种用于安全的运行程序的机制。它常常用来执行那些非可信的程序。 非可信程序中的恶意代码对系统的影响将会被限制在沙箱内而不会影响到系统的其它部分。 沙箱逃逸 一种识别沙箱环境,并利用静默、欺骗等技术,绕过沙箱检测的现象 网络靶场 主要是指通过虚拟环境与真实设备相结合,模拟仿真出真实赛博网络空间攻防作战环境,能够支撑攻防演练、安全教育、网络空间作战能力研究和网络武器装备验证试验平台。 2、技术与服务加密技术加密技术包括两个元素:算法和密钥。 算法是将普通的文本与一串数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。 密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。黑名单 顾名思义,黑名单即不好的名单,凡是在黑名单上的软件、IP地址等,都被认为是非法的。白名单 与黑名单对应,白名单即“好人”的名单,凡是在白名单上的软件、IP等,都被认为是合法的,可以在计算机上运行。 内网 通俗的讲就是局域网,比如网吧、校园网、公司内部网等都属于此类。 查看IP地址,如果是在以下三个范围之内,就说明我们是处于内网之中的:10.0.0.0—10.255.255.255,172.16.0.0—172.31.255.255,192.168.0.0—192.168.255.255 外网 直接连入INTERNET(互连网),可以与互连网上的任意一台电脑互相访问。 边界防御 以网络边界为核心的防御模型,以静态规则匹配为基础,强调把所有的安全威胁都挡在外网。 南北向流量 通常指数据中心内外部通信所产生的的流量。 东西向流量 通常指数据中心内部不同主机之间互相通信所产生的的流量。 规则库 网络安全的核心数据库,类似于黑白名单,用于存储大量安全规则,一旦访问行为和规则库完成匹配,则被认为是非法行为。所以有人也将规则库比喻为网络空间的法律。 下一代 网络安全领域经常用到,用于表示产品或者技术有较大幅度的创新,在能力上相对于传统方法有明显的进步,通常缩写为NG(Next Gen)。 例如NGFW(下一代防火墙)、NGSOC(下一代安全管理平台)等。大数据安全分析 区别于传统被动规则匹配的防御模式,以主动收集和分析大数据的方法,找出其中可能存在的安全威胁,因此也称数据驱动安全。 该理论最早由奇安信于2015年提出。 EPP 全称为Endpoint Protection Platform,翻译为端点保护平台,部署在终端设备上的安全防护解决方案,用于防止针对终端的恶意软件、恶意脚本等安全威胁,通常与EDR进行联动。 EDR 全称Endpoint Detection & Response,即端点检测与响应,通过对端点进行持续检测,同时通过应用程序对操作系统调用等异常行为分析,检测和防护未知威胁,最终达到杀毒软件无法解决未知威胁的目的。NDR 全称Network Detection & Response,即网络检测与响应,通过对网络侧流量的持续检测和分析,帮助企业增强威胁响应能力,提高网络安全的可见性和威胁免疫力。安全可视化 指在网络安全领域中的呈现技术,将网络安全加固、检测、防御、响应等过程中的数据和结果转换成图形界面,并通过人机交互的方式进行搜索、加工、汇总等操作的理论、方法和技术。 NTA 网络流量分析(NTA)的概念是Gartner于2013年首次提出的,位列五种检测高级威胁的手段之一。 它融合了传统的基于规则的检测技术,以及机器学习和其他高级分析技术,用以检测企业网络中的可疑行为,尤其是失陷后的痕迹。 MDR 全称Managed Detection & Response,即托管检测与响应,依靠基于网络和主机的检测工具来识别恶意模式。 此外,这些工具通常还会从防火墙之内的终端收集数据,以便更全面地监控网络活动。 应急响应 通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。 XDR 通常指以检测和响应技术为核心的网络安全策略的统称,包括EDR、NDR、MDR等。安全运营 贯穿产品研发、业务运行、漏洞修复、防护与检测、应急响应等一系列环节,实行系统的管理方法和流程,将各个环节的安全防控作用有机结合,保障整个业务的安全性。威胁情报 根据Gartner的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。根据使用对象的不同,威胁情报主要分为人读情报和机读情报。 TTP 主要包括三要素,战术Tactics、技术Techniques和过程Procedures,是描述高级威胁组织及其攻击的重要指标,作为威胁情报的一种重要组成部分,TTP可为安全分析人员提供决策支撑。 IOC 中文名为失陷标示:用以发现内部被APT团伙、木马后门、僵尸网络控制的失陷主机,类型上往往是域名、URL等。 目前而言,IOC是应用最为广泛的威胁情报,因为其效果最为直接。一经匹配,则意味着存在已经失陷的主机。 上下文 从文章的上下文引申而来,主要是指某项威胁指标的关联信息,用于实现更加精准的安全匹配和检测。 STIX STIX是一种描述网络威胁信息的结构化语言,能够以标准化和结构化的方式获取更广泛的网络威胁信息,常用于威胁情报的共享与交换,目前在全球范围内使用最为广泛。 STIX在定义了8中构件的1.0版本基础上,已经推出了定义了12中构件的2.0版本。杀伤链 杀伤链最早来源于军事领域,用于描述进攻一方各个阶段的状态。 在网络安全领域,这一概念最早由洛克希德-马丁公司提出,英文名称为Kill Chain,也称作网络攻击生命周期,包括侦查追踪、武器构建、载荷投递、漏洞利用、安装植入、命令控制、目标达成等七个阶段,来识别和防止入侵。ATT&CK 可以简单理解为描述攻击者技战术的知识库。 MITRE在2013年推出了该模型,它是根据真实的观察数据来描述和分类对抗行为。 ATT&CK将已知攻击者行为转换为结构化列表,将这些已知的行为汇总成战术和技术,并通过几个矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示。 钻石模型 钻石模型在各个领域的应用都十分广泛,在网络安全领域,钻石模型首次建立了一种将科学原理应用于入侵分析的正式方法: 可衡量、可测试和可重复——提供了一个对攻击活动进行记录、(信息)合成、关联的简单、正式和全面的方法。 这种科学的方法和简单性可以改善分析的效率、效能和准确性。 关联分析 又称关联挖掘,就是在交易数据、关系数据或其他信息载体中,查找存在于项目集合或对象集合之间的频繁模式、关联、相关性或因果结构。 在网络安全领域主要是指将不同维度、类型的安全数据进行关联挖掘,找出其中潜在的入侵行为。 态势感知 是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。探针 也叫作网络安全探针或者安全探针,可以简单理解为赛博世界的摄像头,部署在网络拓扑的关键节点上,用于收集和分析流量和日志,发现异常行为,并对可能到来的攻击发出预警。 网络空间测绘 用搜索引擎技术来提供交互,让人们可以方便的搜索到网络空间上的设备。 相对于现实中使用的地图,用各种测绘方法描述和标注地理位置,用主动或被动探测的方法,来绘制网络空间上设备的网络节点和网络连接关系图,及各设备的画像。 SOAR 全称Security Orchestration, Automation and Response,意即安全编排自动化与响应,主要通过剧本化、流程化的指令,对入侵行为采取的一系列自动化或者半自动化响应处置动作。 UEBA 全称为User and Entity Behavior Analytics,即用户实体行为分析,一般通过大数据分析的方法,分析用户以及IT实体的行为,从而判断是否存在非法行为。内存保护 内存保护是操作系统对电脑上的内存进行访问权限管理的一个机制。内存保护的主要目的是防止某个进程去访问不是操作系统配置给它的寻址空间。 RASP 全称为Runtime application self-protection,翻译成应用运行时自我保护。 在2014年时由Gartner提出,它是一种新型应用安全保护技术,它将保护程序像疫苗一样注入到应用程序中,应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遭受到实际攻击伤害,就可以自动对其进行防御,而不需要进行人工干预。 包检测 对于流量包、数据包进行拆包、检测的行为。 深度包检测 Deep Packet Inspection,缩写为 DPI,又称完全数据包探测(complete packet inspection)或信息萃取(Information eXtraction,IX),是一种计算机网络数据包过滤技术,用来检查通过检测点之数据包的数据部分(亦可能包含其标头),以搜索不匹配规范之协议、病毒、垃圾邮件、入侵迹象。 全流量检测 全流量主要体现在三个“全”上,即全流量采集与保存,全行为分析以及全流量回溯。 通过全流量分析设备,实现网络全流量采集与保存、全行为分析与全流量回溯,并提取网络元数据上传到大数据分析平台实现更加丰富的功能。元数据 元数据(Metadata),又称中介数据、中继数据,为描述数据的数据(data about data),主要是描述数据属性(property)的信息,用来支持如指示存储位置、历史数据、资源查找、文件记录等功能。 欺骗检测 以构造虚假目标来欺骗并诱捕攻击者,从而达到延误攻击节奏,检测和分析攻击行为的目的。 微隔离 顾名思义是细粒度更小的网络隔离技术,能够应对传统环境、虚拟化环境、混合云环境、容器环境下对于东西向流量隔离的需求,重点用于阻止攻击者进入企业数据中心网络内部后的横向平移。 逆向 常见于逆向工程或者逆向分析,简单而言,一切从产品中提取原理及设计信息并应用于再造及改进的行为,都是逆向工程。 在网络安全中,更多的是调查取证、恶意软件分析等。 无代理安全 在终端安全或者虚拟化安全防护中,往往需要在每一台主机或者虚机上安装agent(代理程序)来实现,这种方式往往需要消耗大量的资源。 而无代理安全则不用安装agent,可以减少大量的部署运维工作,提升管理效率。 CWPP 全称Cloud Workload Protection Platform,意为云工作负载保护平台,主要是指对云上应用和工作负载(包括虚拟主机和容器主机上的工作负载)进行保护的技术,实现了比过去更加细粒度的防护,是现阶段云上安全的最后一道防线。 CSPM 云安全配置管理,能够对基础设施安全配置进行分析与管理。这些安全配置包括账号特权、网络和存储配置、以及安全配置(如加密设置)。如果发现配置不合规,CSPM会采取行动进行修正。 CASB 全称Cloud Access Security Broker,即云端接入安全代理。作为部署在客户和云服务商之间的安全策略控制点,是在访问基于云的资源时企业实施的安全策略。 防爬 意为防爬虫,主要是指防止网络爬虫从自身网站中爬取信息。网络爬虫是一种按照一定的规则,自动地抓取网络信息的程序或者脚本。 安全资源池 安全资源池是多种安全产品虚拟化的集合,涵盖了服务器终端、网络、业务、数据等多种安全能力。 IAM 全称为Identity and Access Management,即身份与访问管理,经常也被叫做身份认证。 4A 即认证Authentication、授权Authorization、账号Account、审计Audit,即融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素后的解决方案将,涵盖单点登录(SSO)等安全功能。Access Control list(ACL) 访问控制列表。 多因子认证 主要区别于单一口令认证的方式,要通过两种以上的认证机制之后,才能得到授权,使用计算机资源。 例如,用户要输入PIN码,插入银行卡,最后再经指纹比对,通过这三种认证方式,才能获得授权。这种认证方式可以降低单一口令失窃的风险,提高安全性。 特权账户管理 简称PAM。由于特权账户往往拥有很高的权限,因此一旦失窃或被滥用,会给机构带来非常大的网络安全风险。所以,特权账户管理往往在显得十分重要。 其主要原则有:杜绝特权凭证共享、为特权使用赋以个人责任、为日常管理实现最小权限访问模型、对这些凭证执行的活动实现审计功能。 零信任 零信任并不是不信任,而是作为一种新的身份认证和访问授权理念,不再以网络边界来划定可信或者不可信,而是默认不相信任何人、网络以及设备,采取动态认证和授权的方式,把访问者所带来的的网络安全风险降到最低。 SDP 全称为Software Defined Perimeter,即软件定义边界,由云安全联盟基于零信任网络提出,是围绕某个应用或某一组应用创建的基于身份和上下文的逻辑访问边界。 Security as a Service 安全即服务,通常可理解为以SaaS的方式,将安全能力交付给客户。 同态加密 同态加密是一类具有特殊自然属性的加密方法,此概念是Rivest等人在20世纪70年代首先提出的,与一般加密算法相比,同态加密除了能实现基本的加密操作之外,还能实现密文间的多种计算功能。量子计算 是一种遵循量子力学规律调控量子信息单元进行计算的新型计算模式,目前已经逐渐应用于加密和通信传输。 可信计算 是一项由可信计算组(可信计算集群,前称为TCPA)推动和开发的技术。 可信计算是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性。 拟态防御 核心实现是一种基于网络空间内生安全机理的动态异构冗余构造(Dynamic Heterogeneous Redundancy,DHR),为应对网络空间中基于未知漏洞、后门或病毒木马等的未知威胁,提供具有普适创新意义的防御理论和方法。 区块链 英文名为blockchain,它是一个共享数据库,存储于其中的数据或信息,具有“不可伪造”、“全程留痕”、“可以追溯”、“公开透明”、“集体维护”等特征。 远程浏览器 鉴于浏览器往往成为黑客攻击的入口,因此将浏览器部署在远程的一个“浏览器服务器池”中。 这样一来,这些浏览器所在的服务器跟用户所在环境中的终端和网络是隔离的,从而使得客户所在网络的暴露面大大降低。 这种服务也类似于虚拟桌面、云手机等产品。 云手机 云手机采用全新的VMI(Virtual Mobile Infrastructure虚拟移动设施,与PC云桌面类似)技术,为员工提供一个独立的移动设备安全虚拟手机,业务应用和数据仅在服务端运行和存储,个人终端上仅做加密流媒体呈现和触控,从而有效保障企业数据的安全性。 风控 也称大数据风控,是指利用大数据分析的方法判断业务可能存在的安全风险,目前该技术主要用于金融信贷领域,防止坏账的发生。 渗透测试 为了证明网络防御按照预期计划正常运行而提供的一种机制,通常会邀请专业公司的攻击团队,按照一定的规则攻击既定目标,从而找出其中存在的漏洞或者其他安全隐患,并出具测试报告和整改建议。 其目的在于不断提升系统的安全性。 安全众测 借助众多白帽子的力量,针对目标系统在规定时间内进行漏洞悬赏测试。 您在收到有效的漏洞后,按漏洞风险等级给予白帽子一定的奖励。通常情况下是按漏洞付费,性价比较高。 同时,不同白帽子的技能研究方向可能不同,在进行测试的时候更为全面。 内生安全 由奇安信集团董事长齐向东在2019北京网络安全大会上首次提出,指的是不断从信息化系统内生长出的安全能力,能伴随业务的增长而持续提升,持续保证业务安全。 内生安全有三个特性,即依靠信息化系统与安全系统的聚合、业务数据与安全数据的聚合以及IT人才和安全人才的聚合,从信息化系统的内部,不断长出自适应、自主和自成长的安全能力。 内生安全框架 为推动内生安全的落地,奇安信推出了内生安全框架。 该框架从顶层视角出发,支撑各行业的建设模式从“局部整改外挂式”,走向“深度融合体系化”;从工程实现的角度,将安全需求分步实施,逐步建成面向未来的安全体系;内生安全框架能够输出实战化、体系化、常态化的安全能力,构建出动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的网络安全防御体系。 内生安全框架包含了总结出了29个安全区域场景和 79类安全组件。 PPDR 英文全称为Policy Protection Detection Response,翻译为策略、防护、检测和响应。 主要以安全策略为核心,通过一致性检查、流量统计、异常分析、模式匹配以及基于应用、目标、主机、网络的入侵检查等方法进行安全漏洞检测。 CARTA 全称为Continuous Adaptive Risk and Trust Assessment,即持续自适应风险与信任评估旨在通过动态智能分析来评估用户行为,放弃追求完美的安全,不能要求零风险,不要求100%信任,寻求一种0和1之间的风险与信任的平衡。 CARTA战略是一个庞大的体系,其包括大数据、AI、机器学习、自动化、行为分析、威胁检测、安全防护、安全评估等方面。 SASE 全称为Secure Access Service Edge,即安全访问服务边缘,Gartner将其定义为一种基于实体的身份、实时上下文、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务。 实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。 SDL 全称为Security Development Lifecycle,翻译为安全开发生命周期,是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程,最早由微软提出。 DevSecOps 全称为Development Security Operations,可翻译为安全开发与运维。 它强调在DevOps计划刚启动时就要邀请安全团队来确保信息的安全性,制定自动安全防护计划,并贯穿始终,实现持续 IT 防护。 代码审计 顾名思义就是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修订措施和建议。 NTLM验证 NTLM(NT LAN Manager)是微软公司开发的一种身份验证机制,从NT4开始就一直使用,主要用于本地的帐号管理。 MTTD 平均检测时间。 MTTR 平均响应时间。 CVE 全称Common Vulnerabilities and Exposures,由于安全机构Mitre维护一个国际通用的漏洞唯一编号方案,已经被安全业界广泛接受的标准。 软件加壳 “壳”是一段专门负责保护软件不被非法修改或反编译的程序。 它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。 经过加壳的软件在跟踪时已无法看到其真实的十六进制代码,因此可以起到保护软件的目的。 CNVD 国家信息安全漏洞共享平台,由国家计算机应急响应中心CNCERT维护,主要负责统一收集、管理国内的漏洞信息,其发布的漏洞编号前缀也为CNVD。 数据脱敏 数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护,主要用于数据的共享和交易等涉及大范围数据流动的场景。 GDPR 《通用数据保护条例》(General Data Protection Regulation,简称GDPR)为欧洲联盟的条例,前身是欧盟在1995年制定的《计算机数据保护法》。 CCPA 美国加利福尼亚州消费者隐私保护法案。 SRC 即Security Response Center,中文名为安全应急响应中心,主要职责为挖掘并公开收集机构存在的漏洞和其他安全隐患。 CISO 有时也被叫做CSO,即首席信息安全官,为机构的主要安全负责人。 IPC管道 为了更好地控制和处理不同进程之间的通信和数据交换,系统会通过一个特殊的连接管道来调度整个进程。 SYN包 TCP连接的第一个包,非常小的一种数据包。SYN攻击包括大量此类的包,由于这些包看上去来自实际不存在的站点,因此无法有效进行处理。 IPC$ 是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。 shell 指的是一种命令指行环境,是系统与用户的交换方式界面。简单来说,就是系统与用户“沟通”的环境。 我们平时常用到的DOS,就是一个shell。(Windows2000是cmd.exe) ARP 地址解析协议(Address Resolution Protocol)此协议将网络地址映射到硬件地址。
微信扫一扫打赏
支付宝扫一扫打赏
