网络空间安全之一个WH的超前沿全栈技术深入学习之路(三：渗透测试行业术语扫盲)作者——LJS

121. NIDS

• 是 Network Intrusion Detection System 的缩写，即网络入侵检测系统，主要用于 检测 Hacker 或 Cracker 。通过网络进行的入侵行为。
• NIDS 的运行方式有两种：
• 一种是在目标主机上运行以监测其本身的通信信息
• 另一种是在一台单独的机器上运行以监测所有网络设备的通信信息，比如 Hub、路由器。

122. IPS

• IPS 全称为 Intrusion-Prevention System，即入侵防御系统，目的在于及时识别攻 击程序或有害代码及其克隆和变种，采取预防措施，先期阻止入侵，防患于未然。 或者至少使其危害性充分降低。
• 入侵预防系统一般作为防火墙 和防病毒软件的补充来投入使用。

123. 杀毒软件

• 也称反病毒软件或防毒软件，是用于消除电脑病毒、特洛伊木马和恶意软件等计 算机威胁的一类软件。

124. 反病毒引擎

• 通俗理解，就是一套判断特定程序行为是否为病毒程序（包括可疑的）的技术机 制。

125. 防毒墙

• 区别于部署在主机上的杀毒软件，防毒墙的部署方式与防火墙类似，主要部署于 网络出口，用于对病毒进行扫描和拦截，因此防毒墙也被称为反病毒网关。

126. 告警

• 指网络安全设备对攻击行为产生的警报。

127. 误报

• 也称为无效告警，通常指告警错误，即把合法行为判断成非法行为而产生了告警。
• 目前，由于攻击技术的快速进步和检测技术的限制，误报的数量非常大，使得安 全人员不得不花费大量时间来处理此类告警，已经成为困扰并拉低日常安全处置 效率的主要原因。

128. 漏报

• 通常指网络安全设备没有检测出非法行为而没有产生告警。一旦出现漏报，将大 幅增加系统被入侵的风险。

129. NAC

• 全称为 Network Access Control，即网络准入控制，其宗旨是防止病毒和蠕虫等新 兴黑客技术对企业安全造成危害。
• 借助 NAC，客户可以只允许合法的、值得信任的终端设备（例如 PC、服务器、PDA）接入网络，而不允许其它设备接入。

130. 漏扫

• 即漏洞扫描，指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机 系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测（渗透攻击）行为。

131. UTM

• 即 Unified Threat Management，中文名为统一威胁管理，最早由 IDC 于 2014 年 提出，即将不同设备的安全能力（最早包括入侵检测、防火墙和反病毒技术），集中在同一网关上，实现统一管理和运维。

132. 网闸

• 网闸是使用带有多种控制功能的固态开关读写介质，连接两个独立主机系统的信 息安全设备。
• 由于两个独立的主机系统通过网闸进行隔离，只有以数据文件形式进行的无协议 摆渡。

133. 堡垒机

• 运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、 数据库等设备的操作行为，以便集中报警、及时处理及审计定责。

134. 数据库审计

• 能够实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理， 对数据库遭受到的风险行为进行告警，对攻击行为进行阻断。
• 它通过对用户访问数据库行为的记录、分析和汇报，用来帮助用户事后生成合规 报告、事故追根溯源，同时加强内外部数据库网络行为记录，提高数据资产安全。

135. DLP

• 数据防泄漏，通过数字资产的精准识别和策略制定，主要用于防止企业的指定数 据或信息资产以违反安全策略规定的形式流出企业。

136. VPN

• 虚拟专用网，在公用网络上建立专用网络，进行加密通讯，通过对数据包的加密 和数据包目标地址的转换实现远程访问。

137. SD-WAN

• 即软件定义广域网，这种服务用于连接广阔地理范围的企业网络、数据中心、互 联网应用及云服务。
• 这种服务的典型特征是将网络控制能力通过软件方式云化。
• 通常情况下，SD-WAN 都集成有防火墙、入侵检测或者防病毒能力。并且从目前的趋势来看，以安全为核心设计的 SD-WAN 正在崭露头角，包括奇安信、Fortinet 等多家安全厂商开始涉足该领域，并提供了较为完备的内生安全设计。

138. 路由器

• 是用来连接不同子网的中枢，它们工作于 OSI7 层模型的传输层和网络层。 路由器的基本功能就是将网络信息包传输到它们的目的地。一些路由器还有访问 控制列表（ACLs），允许将不想要的信息包过滤出去。
• 许多路由器都可以将它们的日志信息注入到 IDS 系统中，并且自带基础的包过 滤（即防火墙）功能。

139. 网关

• 通常指路由器、防火墙、IDS、VPN 等边界网络设备。

140. WAF

• 即 Web Application Firewall ， 即 Web 应 用 防 火 墙 ， 是 通 过 执 行 一 系 列 针 对 HTTP/HTTPS 的安全策略来专门为 Web 应用提供保护的一款产品

141. SOC

• 即 Security Operations Center，翻译为安全运行中心或者安全管理平台，通过建 立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和 应急响应处理的集中安全管理系统。

142. LAS

• 日志审计系统，主要功能是提供日志的收集、检索和分析能力，可为威胁检测提 供丰富的上下文。

143. NOC

• 即 Network Operations Center，网络操作中心或网络运行中心，是远程网络通讯 的管理、监视和维护中心，是网络问题解决、软件分发和修改、路由、域名管理、 性能监视的焦点。

144. SIEM

• 即 Security Information and Event Management，安全信息和事件管理，负责从大 量企业安全控件、主机操作系统、企业应用和企业使用的其他软件收集安全日志 数据，并进行分析和报告。

145. 上网行为管理

• 是指帮助互联网用户控制和管理对互联网使用的设备。
• 其包括对网页访问过滤、上网隐私保护、网络应用控制、带宽流量管理、信息收 发审计、用户行为分析等。

146. 蜜罐（Honeypot）

• 是一个包含漏洞的系统，它摸拟一个或多个易受攻击的主机，给黑客提供一个容 易攻击的目标。
• 由于蜜罐没有其它任务需要完成，因此所有连接的尝试都应被视为是可疑的。 蜜罐的另一个用途是拖延攻击者对其真正目标的攻击，让攻击者在蜜罐上浪费时 间。蜜罐类产品包括蜜网、蜜系统、蜜账号等等。

147. 沙箱

• 沙箱是一种用于安全的运行程序的机制。
• 它常常用来执行那些非可信的程序。非可信程序中的恶意代码对系统的影响将会被限制在沙箱内而不会影响到系统的其它部分。

148. 沙箱逃逸

• 一种识别沙箱环境，并利用静默、欺骗等技术，绕过沙箱检测的现象

149. 网络靶场

• 主要是指通过虚拟环境与真实设备相结合，模拟仿真出真实赛博网络空间攻防作 战环境，能够支撑攻防演练、安全教育、网络空间作战能力研究和网络武器装备 验证试验平台。

150. 加密技术

• 加密技术包括两个元素：算法和密钥。
• 算法是将普通的文本与一串数字（密钥）的结合，产生不可理解的密文的步骤，
• 密钥是用来对数据进行编码和解码的一种算法。
• 密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。
• 相应地，对数据加密的技术分为两类：
• 即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密

151. 黑名单

• 顾名思义，黑名单即不好的名单，凡是在黑名单上的软件、IP 地址等，都被认 为是非法的。

152. 白名单

• 与黑名单对应，白名单即“好人”的名单，凡是在白名单上的软件、IP 等，都 被认为是合法的，可以在计算机上运行。

153. 边界防御

• 以网络边界为核心的防御模型，以静态规则匹配为基础，强调把所有的安全威胁 都挡在外网。

154. 南北向流量

• 通常指数据中心内外部通信所产生的的流量。

155. 东西向流量

• 通常指数据中心内部不同主机之间互相通信所产生的的流量。

156. 规则库

• 网络安全的核心数据库，类似于黑白名单，用于存储大量安全规则，一旦访问行 为和规则库完成匹配，则被认为是非法行为。
• 所以有人也将规则库比喻为网络空间的法律。

157. 下一代

• 网络安全领域经常用到，用于表示产品或者技术有较大幅度的创新，在能力上相
• 对于传统方法有明显的进步，通常缩写为 NG（Next Gen）。
• 例如 NGFW（下一代防火墙）、NGSOC（下一代安全管理平台）等。

158. 大数据安全分析

• 区别于传统被动规则匹配的防御模式，以主动收集和分析大数据的方法，找出其 中可能存在的安全威胁，因此也称数据驱动安全。

159. EPP

• 全称为 Endpoint Protection Platform，翻译为端点保护平台，部署在终端设备上的 安全防护解决方案,用于防止针对终端的恶意软件、恶意脚本等安全威胁，通常 与 EDR 进行联动。

160. EDR

• 全称 Endpoint Detection & Response，即端点检测与响应，通过对端点进行持续 检测，同时通过应用程序对操作系统调用等异常行为分析，检测和防护未知威胁， 最终达到杀毒软件无法解决未知威胁的目的。

161. NDR

• 全称 Network Detection & Response，即网络检测与响应，通过对网络侧流量的持 续检测和分析，帮助企业增强威胁响应能力，提高网络安全的可见性和威胁免疫 力。

162. 安全可视化

• 指在网络安全领域中的呈现技术，将网络安全加固、检测、防御、响应等过程中 的数据和结果转换成图形界面，并通过人机交互的方式进行搜索、加工、汇总等 操作的理论、方法和技术。

163. NTA

• 网络流量分析（NTA）的概念是 Gartner 于 2013 年首次提出的，位列五种检测高 级威胁的手段之一。
• 它融合了传统的基于规则的检测技术，以及机器学习和其他高级分析技术，用以 检测企业网络中的可疑行为，尤其是失陷后的痕迹。

164. MDR

• 全称 Managed Detection & Response，即托管检测与响应，依靠基于网络和主机 的检测工具来识别恶意模式。
• 此外，这些工具通常还会从防火墙之内的终端收集数据，以便更全面地监控网络 活动。

165. 应急响应

• 通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后 所采取的措施。

166. XDR

• 通常指以检测和响应技术为核心的网络安全策略的统称，包括 EDR、NDR、MDR 等。

167. 安全运营

• 贯穿产品研发、业务运行、漏洞修复、防护与检测、应急响应等一系列环节，实 行系统的管理方法和流程，将各个环节的安全防控作用有机结合，保障整个业务 的安全性。

168. 威胁情报

• 根据 Gartner 的定义，威胁情报是某种基于证据的知识，包括上下文、机制、标 示、含义和能够执行的建议，这些知识与资产所面临已有的或酝酿中的威胁或危 害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。
• 根据使用对象的不同，威胁情报主要分为人读情报和机读情报。

169. TTP

• 主要包括三要素，战术 Tactics、技术 Techniques 和过程 Procedures，是描述高级 威胁组织及其攻击的重要指标，作为威胁情报的一种重要组成部分，TTP 可为安 全分析人员提供决策支撑。

170. IOC

• 中文名为失陷标示：用以发现内部被 APT 团伙、木马后门、僵尸网络控制的失 陷主机，类型上往往是域名、URL 等。
• 目前而言，IOC 是应用最为广泛的威胁情报，因为其效果最为直接。一经匹配， 则意味着存在已经失陷的主机。

171. 上下文

• 从文章的上下文引申而来，主要是指某项威胁指标的关联信息，用于实现更加精 准的安全匹配和检测。

172. STIX

• STIX 是一种描述网络威胁信息的结构化语言，能够以标准化和结构化的方式获 取更广泛的网络威胁信息，常用于威胁情报的共享与交换，目前在全球范围内使 用最为广泛。
• STIX 在定义了 8 中构件的 1.0 版本基础上，已经推出了定义了 12 中构件的 2.0 版本。

173. 杀伤链

• 杀伤链最早来源于军事领域，用于描述进攻一方各个阶段的状态。
• 在网络安全领域，这一概念最早由洛克希德-马丁公司提出，英文名称为 Kill Chain，也称作网络攻击生命周期：
• 包括侦查追踪、武器构建、载荷投递、漏洞利用、安装植入、命令控制、目标达成等七个阶段，来识别和防止入侵。

174. ATT&CK

• 可以简单理解为描述攻击者技战术的知识库。MITRE 在 2013 年推出了该模型，它是根据真实的观察数据来描述和分类对抗行为。
• ATT&CK 将已知攻击者行为转换为结构化列表，将这些已知的行为汇总成 战术和技术，并通过几个矩阵以及结构化威胁信息表达式（STIX）、指标信息 的可信自动化交换（TAXII）来表示。

175. 钻石模型

• 钻石模型在各个领域的应用都十分广泛，在网络安全领域，钻石模型首次建立了 一种将科学原理应用于入侵分析的正式方法： 可衡量、可测试和可重复——提供了一个对攻击活动进行记录、(信息)合成、关联的简单、正式和全面的方法。
• 这种科学的方法和简单性可以改善分析的效率、效能和准确性。

176. 关联分析

• 又称关联挖掘，就是在交易数据、关系数据或其他信息载体中，查找存在于项目 集合或对象集合之间的频繁模式、关联、相关性或因果结构。
• 在网络安全领域主要是指将不同维度、类型的安全数据进行关联挖掘，找出其中 潜在的入侵行为。

177. 态势感知

• 是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础
• 从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式， 最终是为了决策与行动，是安全能力的落地。

178. 探针

• 也叫作网络安全探针或者安全探针，可以简单理解为赛博世界的摄像头，部署在 网络拓扑的关键节点上
• 用于收集和分析流量和日志，发现异常行为，并对可能到来的攻击发出预警。

179. 网络空间测绘

• 用搜索引擎技术来提供交互，让人们可以方便的搜索到网络空间上的设备。
• 相对于现实中使用的地图，用各种测绘方法描述和标注地理位置，用主动或被动 探测的方法，来绘制网络空间上设备的网络节点和网络连接关系图，及各设备的 画像。

180. SOAR

• 全称 Security Orchestration, Automation and Response，意即安全编排自动化与响 应，主要通过剧本化、流程化的指令，对入侵行为采取的一系列自动化或者半自 动化响应处置动作。