當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

一、网络安全专有名词汇编详解（黑话指南）-史上最全

發布時間：2023/12/14 编程问答 35 豆豆

生活随笔收集整理的這篇文章主要介紹了一、网络安全专有名词汇编详解（黑话指南）-史上最全小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

1 編者前言
本文檔是基于網絡公開資料整理而成，屬于個人筆記性質。需要什么詞語直接Ctrl+f然后搜索即可。

主要內容是匯編了一些網絡安全的詞匯表、術語表，可用于日常網絡安全知識學習，或工作/考試中的速查。
有些涉及中英文對照的地方，可能原譯者描述的比較費解，建議參考英文原文，或對照其它資料理解。
網絡安全術語更新很快，一些最新的詞匯或術語可能在本文檔中查詢不到，建議上網查詢或咨詢專家。
因為文字掃描識別或編輯整理的問題，文檔中可能存在一些文字上的錯誤，歡迎網友指出，希望將來有機會更新修訂；另外，也歡迎網友推薦或分享相關網絡安全詞匯資料，希望將來有機會補充。謝謝！
聯系編者可以索取本文檔的最新 word 版修訂版。

因為整體文章太長超過十萬字，一篇發不下，所以會分成多篇發布，點擊專欄進行查看或者看導航：

2 網絡安全專有名詞詳解（黑話指南）
2.1 肉雞
“肉雞”是一種很形象的比喻，比喻那些被黑客控制的電腦，對方可以是 Windows 系統，也可以是 UNIX/LINUX 系統，可以是普通的個人電腦，也可以是大型的服務器，一旦你的電腦稱為“肉雞”,就意味著別人可以隨心所欲地操作你的電腦，而不會被你發覺。

2.2 木馬
那些表面上偽裝成正常的程序，但是當這些程序運行時，就會獲取系統的整個控制權限。有很多黑客熱衷于使用木馬程序來控制別人的電腦。比如：灰鴿子、黑洞、PcShare 等。

2.3 網頁木馬
表面上偽裝成普通的網頁文件或將自己的代碼直接插入到正常的網頁文件中，當有人訪問時，網頁木馬就會利用對方系統或者瀏覽器的漏洞自動將配置的木馬服務器下載到訪問者的電腦來自動執行。

2.4 掛馬
在別人的網站文件里面放入網頁木馬或者將代碼潛入到對方正常的網頁文件里，以使瀏覽者中馬。

2.5 后門
黑客在利用某些方法成功地控制了目標主機后，可以在對方的系統中植入特定的程序，或者是修改某些設置。這些改動改動表面上很難被察覺，但是黑客卻可以使用相應的程序或者方法來輕易地與這臺電腦建立連接，重新控制這臺電腦，就好像是客人偷偷地配了一把主人房間的鑰匙，可以隨時進出主人的房間而不被主人發現一樣。通常大多數的特洛伊木馬
（Trojan Horse）程序可以被黑客用于制作后門（BackDoor)。

2.6 Rootkit

rootkit 是攻擊者用來隱藏自己的行蹤和保留 root（根權限，可以理解成 Windows 下的System 或者管理員權限）訪問權限工具。當攻擊者通過遠程攻擊的方式獲得系統的 root 訪問權限后，會在對方的系統中安裝 rootkit,以達到自己長久控制對方的目的。

2.7 IPC$

是共享“命名管道”的資源，它是為了讓進程間通信而開放的命名管理，可以通過驗證用戶名和密碼獲得相應的權限，在遠程管理計算機和查看計算機資源時使用。

2.8 shell

指的是一種命令執行環境，比如我們按下鍵盤上的 “開始鍵+R”時出現“運行”對話框，在里面輸入“cmd"會出現一個用于執行命令的黑窗口，這個就是 Windows 的Shell 執行環境。通常我們使用遠程溢出程序成功一處遠程電腦后得到的那個用于執行系統命令的環境就是對方的 shell。

2.9 WebShell

WebShell 就是以 ASP、PHP、JSP 或者 CGI 等網頁文件形式的一種命令執行環境，也可以將其稱做是一種網頁后門。黑客在侵入了一個網站后，通常會將這些 ASP 或 PHP 后門文件與網站服務器Web 目錄下正常的網頁文件混在一起，之后就可以使用瀏覽器來訪問這些 ASP 或者 PHP 后門，得到命令執行環境，以達到控制網站服務器的目的。可以上傳下載文件、查看數據庫、執行任意程序命令等。

2.10 溢出
確切地講，應該是“緩沖區溢出”，簡單的解釋就是程序對接受的輸入沒有執行有效的檢測而導致錯誤，后果可能造成程序崩潰或者執行攻擊者的命令。大致可以分為堆溢出、棧溢出兩類。

2.11 注入
隨著 B/S 模式應用開發的發展，使用這種模式編寫程序的程序員越來越多，但是由于程序員的水平參差不齊，相當大一部分應用程序存在安全隱患。用戶可以提交一段數據庫查詢

代碼，根據程序返回的結果，獲得某些他想要的數據，這個就是所謂的 SQL injection 及 SQL
注入。

2.12 注入點
指可以實現注入的地方，通常是一個訪問數據庫的連接。根據注入點數據庫運行賬號的權限的不同，你所得到的權限也不同。

2.13 內網
通俗地講，內網就是局域網，比如網吧、校園網、公司內部網等都屬于此類。查看 IP 地址時，如果是在以下三個范圍之內的話，就說明你處于內網之中：10.0.0.010.255.255.255， 172。16.0.0172.31.255.255，192.168.0.0~192.168.255.255

2.14 外網
直接連入 Internet(互聯網)的網絡，互聯網的任意一臺電腦可以直接互相訪問，IP 地址不是內網地址。

2.15 端口
端口(Port)相當于一種數據的傳輸通道。用于接受某些數據，然后傳輸給相應的服務，而電腦將這些將這些數據處理后，再將相應的回復通過開啟的端口傳給對方。一般每一個端口對應相應的服務，要關閉這些端口只需要將對應的服務關閉就可以了。

2.16 免殺

指通過加殼、加密、修改特征碼、加花指令等技術來修改程序，使其逃過殺毒軟件的查
殺。

2.17 加殼
指利用特殊的算法，將 EXE 可執行程序或者 DLL 動態連接庫文件的編碼進行改變（比如實現壓縮、加密），以達到縮小文件體積或者加密程序編碼，甚至躲過殺毒軟件查殺的目的。目前較常用的殼有 UPX、ASPack、PePack、PECompact、UPack、免疫 007、木馬彩衣等。

2.18 花指令
幾句匯編指令，讓匯編句進行一些跳轉，使得殺毒軟件不能正常得判斷病毒文件得構造。通俗得講就是殺毒軟件使從頭到腳按順序來查找病毒，如果把病毒的頭和腳顛倒位置，殺毒軟件就找不到病毒了。

2.19 軟件加殼
“殼”是一段專門負責保護軟件不被非法修改或反匯編的程序。它們一般先于程序運動，拿到控制權，然后完成它們保護軟件的任務。經過加殼的軟件在跟蹤時只能看到其真實的十六進制代碼，因此可以起到保護軟件的目的。

2.20 軟件脫殼
顧名思義，就是利用相應的工具，把在軟件“外面”其保護作用的“殼”程序去除，還文件本來面目，這樣在修改文件內容就容易多了。

2.21 蠕蟲病毒
蠕蟲病毒類似于腳步程序，它利用了 Windows 的開放性特點，即一個腳本程序能調用功能更大的組件來完成自己的功能。以 VB 腳本病毒為例，是把 VBS 腳本文件加在附件中，使用 *.HTM、VBS 等欺騙性文件名來破壞系統。蠕蟲病毒的主要特性有自我賦值能力、很強的傳播性、潛伏性、特定的觸發性及很大的破壞性。

2.22 CMD

CMD 是一個所謂的命令行控制臺。有兩條進入該程序的信道：第一，鼠標單擊“開始運行”，在出現的編輯中輸入“CMD”，然后單擊“確定”；第二，在啟動 Windows 2000 的時候，按 F8 鍵進入啟動選擇菜單，移動光條或鍵入數字至安全模式的命令行狀態。出現的窗口時一個在 Windows 9x 系統常見的那種 MS DOS 方式的界面、盡管微軟把這個工具當作命令解釋器，但是用方法和原來的 DOS 沒有區別。

2.23 嗅探器
嗅探器（Snifffer)就是能夠鋪獲網絡報文的設備。嗅探器的正當用處在于分析網絡流量，以便找出所關系的網絡中潛在的問題。

2.24 蜜罐
蜜罐（Honeypot）是一個包含漏洞的系統，它模擬一個或多個易受攻擊的主機，給黑客提供一個容易攻擊的目標。由于蜜罐沒有其他的任務需要完成，因此所有連接的嘗試都被視為是可疑的。蜜罐的另一個用途是拖延攻擊者對其真正有價值的內容將不受侵犯。

2.25 弱口令
指強度不夠、容易被猜解的，類似 123、abc 這樣的口令（密碼）

2.26 默認共享
默認共享是 Windows 2000/xp/2003 系統開啟共享式自動開啟所有硬盤的共享，因為加

了“$"符號，所有看不到共享的托手圖標，也稱為隱藏共享。

3 入行必備的網絡安全“黑話”詞典
奇安信集團 2020-09-20

以“網絡安全為人民，網絡安全靠人民”為主題的 2020 國家網絡安全宣傳周即將閉幕，雖然每年的網安周為全社會普及了常用的網絡安全知識，但作為一個入門門檻較高的領域，大量的專業術語還是讓人如讀“黑話”般的想抓耳撓腮。
下面小編就盤點了超過 200 個常用的網絡安全詞匯，希望對您的學習與業務溝通有所幫助。

3.1 攻擊篇

3.1.1 攻擊工具

3.1.1.1 肉雞

所謂“肉雞”是一種很形象的比喻，比喻那些可以被攻擊者控制的電腦、手機、服務器或者其他攝像頭、路由器等智能設備，用于發動網絡攻擊。
例如在 2016 年美國東海岸斷網事件中，黑客組織控制了大量的聯網攝像頭用于發動網絡攻擊，這些攝像頭則可被稱為“肉雞”。

3.1.1.2 僵尸網絡

僵尸網絡 Botnet 是指采用一種或多種傳播手段，將大量主機感染病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。
僵尸網絡是一個非常形象的比喻，眾多的計算機在不知不覺中如同中國古老傳說中的僵尸群一樣被人驅趕和指揮著，成為被攻擊者執行各類惡意活動（DDOS、垃圾郵件等）利用的一種基礎設施。

3.1.1.3 木馬

就是那些表面上偽裝成了正常的程序，但是當這些程序運行時，就會獲取系統的整個控制權限。
有很多黑客就是熱衷使用木馬程序來控制別人的電腦，比如灰鴿子、Gh0st、PcShare 等
等。

3.1.1.4 網頁木馬

表面上偽裝成普通的網頁或是將惡意代碼直接插入到正常的網頁文件中，當有人訪問時，網頁木馬就會利用對方系統或者瀏覽器的漏洞自動將配置好的木馬服務端植入到訪問者的電腦上來自動執行將受影響的客戶電腦變成肉雞或納入僵尸網絡。

3.1.1.5 Rootkit

Rootkit 是攻擊者用來隱藏自己的行蹤和保留 root（根權限，可以理解成 WINDOWS 下的
system 或者管理員權限）訪問權限的工具。

通常，攻擊者通過遠程攻擊的方式獲得 root 訪問權限，或者是先使用密碼猜解（破解）的方式獲得對系統的普通訪問權限，進入系統后，再通過對方系統存在的安全漏洞獲得系統的 root 或 system 權限。
然后，攻擊者就會在對方的系統中安裝Rootkit，以達到自己長久控制對方的目的，Rootkit
功能上與木馬和后門很類似，但遠比它們要隱蔽。

3.1.1.6 蠕蟲病毒

它是一類相對獨立的惡意代碼，利用了聯網系統的開放性特點，通過可遠程利用的漏洞自主地進行傳播，受到控制終端會變成攻擊的發起方，嘗試感染更多的系統。
蠕蟲病毒的主要特性有：自我復制能力、很強的傳播性、潛伏性、特定的觸發性、很大的破壞性。

3.1.1.7 震網病毒

又名 Stuxnet 病毒，是第一個專門定向攻擊真實世界中基礎（能源）設施的“蠕蟲”病毒，比如核電站，水壩，國家電網。
作為世界上首個網絡“超級破壞性武器”，Stuxnet 的計算機病毒已經感染了全球超過
45000 個網絡，其目標伊朗的鈾濃縮設備遭到的攻擊最為嚴重。

3.1.1.8 勒索病毒

主要以郵件、程序木馬、網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大，一旦感染將給用戶帶來無法估量的損失。這種病毒利用各種加密算法對文件進行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。

3.1.1.9 挖礦木馬

一種將 PC、移動設備甚至服務器變為礦機的木馬，通常由挖礦團伙植入，用于挖掘比特幣從而賺取利益。

3.1.1.10 攻擊載荷

攻擊載荷（Payload）是系統被攻陷后執行的多階段惡意代碼。

通常攻擊載荷附加于漏洞攻擊模塊之上，隨漏洞攻擊一起分發，并可能通過網絡獲取更多的組件。

3.1.1.11 嗅探器（Sniffer）

就是能夠捕獲網絡報文的設備或程序。嗅探器的正當用處在于分析網絡的流量，以便找出所關心的網絡中潛在的問題。

3.1.1.12 惡意軟件

被設計來達到非授權控制計算機或竊取計算機數據等多種惡意行為的程序。

3.1.1.13 間諜軟件

一種能夠在用戶不知情的情況下，在其電腦、手機上安裝后門，具備收集用戶信息、監聽、偷拍等功能的軟件。

3.1.1.14 后門

這是一種形象的比喻，入侵者在利用某些方法成功的控制了目標主機后，可以在對方的系統中植入特定的程序，或者是修改某些設置，用于訪問、查看或者控制這臺主機。
這些改動表面上是很難被察覺的，就好象是入侵者偷偷的配了一把主人房間的鑰匙，或者在不起眼處修了一條暗道，可以方便自身隨意進出。
通常大多數木馬程序都可以被入侵者用于創建后門（BackDoor）。

3.1.1.15 弱口令

指那些強度不夠，容易被猜解的，類似 123，abc 這樣的口令（密碼）。

3.1.1.16 漏洞

漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。
奇安信集團董事長齊向東在《漏洞》一書中指出，軟件的缺陷是漏洞的一個主要來源，缺陷是天生的，漏洞是不可避免的。

3.1.1.17 遠程命令執行漏洞

由于系統設計實現上存在的漏洞，攻擊者可能通過發送特定的請求或數據導致在受影響的系統上執行攻擊者指定的任意命令。

3.1.1.18 0day 漏洞

0day 漏洞最早的破解是專門針對軟件的，叫做 WAREZ，后來才發展到游戲，音樂，影視等其他內容的。
0day 中的 0 表示 Zero，早期的 0day 表示在軟件發行后的 24 小時內就出現破解版本。

在網絡攻防的語境下，0day 漏洞指那些已經被攻擊者發現掌握并開始利用，但還沒有被包括受影響軟件廠商在內的公眾所知的漏洞，這類漏洞對攻擊者來說有完全的信息優勢，由于沒有漏洞的對應的補丁或臨時解決方案，防守方不知道如何防御，攻擊者可以達成最大可能的威脅。

3.1.1.19 1day 漏洞

指漏洞信息已公開但仍未發布補丁的漏洞。此類漏洞的危害仍然較高，但往往官方會公布部分緩解措施，如關閉部分端口或者服務等。

3.1.1.20 Nday 漏洞

指已經發布官方補丁的漏洞。通常情況下，此類漏洞的防護只需更新補丁即可，但由于多種原因，導致往往存在大量設備漏洞補丁更新不及時，且漏洞利用方式已經在互聯網公開，往往此類漏洞是黑客最常使用的漏洞。
例如在永恒之藍事件中，微軟事先已經發布補丁，但仍有大量用戶中招。

3.1.2 攻擊方法

3.1.2.1 掛馬

就是在別人的網站文件里面放入網頁木馬或者是將代碼潛入到對方正常的網頁文件里，以使瀏覽者中馬。

3.1.2.2 挖洞

指漏洞挖掘。

3.1.2.3 加殼

就是利用特殊的算法，將 EXE 可執行程序或者 DLL 動態連接庫文件的編碼進行改變（比如實現壓縮、加密），以達到縮小文件體積或者加密程序編碼，甚至是躲過殺毒軟件查殺的目的。
目前較常用的殼有 UPX，ASPack、PePack、PECompact、UPack、免疫 007、木馬彩衣等
等。

3.1.2.4 溢出

簡單的解釋就是程序對輸入數據沒有執行有效的邊界檢測而導致錯誤，后果可能是造成程序崩潰或者是執行攻擊者的命令。

3.1.2.5 緩沖區溢出

攻擊者向一個地址區輸入這個區間存儲不下的大量字符。在某些情況下，這些多余的字符可以作為“執行代碼”來運行，因此足以使攻擊者不受安全措施限制而獲得計算機的控制權。

3.1.2.6 注入

Web 安全頭號大敵。攻擊者把一些包含攻擊代碼當做命令或者查詢語句發送給解釋器，這些惡意數據可以欺騙解釋器，從而執行計劃外的命令或者未授權訪問數據。
注入攻擊漏洞往往是應用程序缺少對輸入進行安全性檢查所引起的。注入漏洞通常能在
SQL 查詢、LDAP 查詢、OS 命令、程序參數等中出現。

3.1.2.7 SQL 注入

注入攻擊最常見的形式，主要是指 Web 應用程序對用戶輸入數據的合法性沒有判斷或過濾不嚴，攻擊者可以在 Web 應用程序中事先定義好的查詢語句的結尾上添加額外的 SQL 語句，在管理員不知情的情況下實現非法操作，以此來實現欺騙數據庫服務器執行非授權的任意查詢或其他操作，導致數據庫信息泄露或非授權操作數據表。

3.1.2.8 注入點

即可以實行注入的地方，通常是一個涉及訪問數據庫的應用鏈接。根據注入點數據庫的運行帳號的權限的不同，你所得到的權限也不同。

3.1.2.9 軟件脫殼

顧名思義，就是利用相應的工具，把在軟件“外面”起保護作用的“殼”程序去除，還文件本來面目，這樣再修改文件內容或進行分析檢測就容易多了。

3.1.2.10 免殺

就是通過加殼、加密、修改特征碼、加花指令等等技術來修改程序，使其逃過殺毒軟件的查殺。

3.1.2.11 暴力破解

簡稱“爆破”。黑客對系統中賬號的每一個可能的密碼進行高度密集的自動搜索，從而破壞安全并獲得對計算機的訪問權限。

3.1.2.12 洪水攻擊
是黑客比較常用的一種攻擊技術，特點是實施簡單，威力巨大，大多是無視防御的。從定義上說，攻擊者對網絡資源發送過量數據時就發生了洪水攻擊，這個網絡資源可以
是 router，switch，host，application 等。

洪水攻擊將攻擊流量比作成洪水，只要攻擊流量足夠大，就可以將防御手段打穿。

DDoS 攻擊便是洪水攻擊的一種。

3.1.2.13 SYN 攻擊

利用操作系統 TCP 協調設計上的問題執行的拒絕服務攻擊，涉及 TCP 建立連接時三次握手的設計。

3.1.2.14 DoS 攻擊

拒絕服務攻擊。攻擊者通過利用漏洞或發送大量的請求導致攻擊對象無法訪問網絡或者網站無法被訪問。

3.1.2.15 DDoS

分布式 DOS 攻擊，常見的 UDP、SYN、反射放大攻擊等等，就是通過許多臺肉雞一起向你發送一些網絡請求信息，導致你的網絡堵塞而不能正常上網。

3.1.2.16 抓雞

即設法控制電腦，將其淪為肉雞。

3.1.2.17 端口掃描

端口掃描是指發送一組端口掃描消息，通過它了解到從哪里可探尋到攻擊弱點，并了解其提供的計算機網絡服務類型，試圖以此侵入某臺計算機。

3.1.2.18 花指令

通過加入不影響程序功能的多余匯編指令，使得殺毒軟件不能正常的判斷病毒文件的構造。說通俗點就是“殺毒軟件是從頭到腳按順序來識別病毒。如果我們把病毒的頭和腳顛倒位置，殺毒軟件就找不到病毒了”。

3.1.2.19 反彈端口

有人發現，防火墻對于連入的連接往往會進行非常嚴格的過濾，但是對于連出的連接卻疏于防范。
于是，利用這一特性，反彈端口型軟件的服務端(被控制端)會主動連接客戶端(控制端)，就給人“被控制端主動連接控制端的假象，讓人麻痹大意。

3.1.2.20 網絡釣魚

攻擊者利用欺騙性的電子郵件或偽造的 Web 站點等來進行網絡詐騙活動。

詐騙者通常會將自己偽裝成網絡銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息或郵件賬號口令。
受騙者往往會泄露自己的郵箱、私人資料，如信用卡號、銀行卡賬戶、身份證號等內容。

3.1.2.21 魚叉攻擊

魚叉攻擊是將用魚叉捕魚形象的引入到了網絡攻擊中，主要是指可以使欺騙性電子郵件看起來更加可信的網絡釣魚攻擊，具有更高的成功可能性。
不同于撒網式的網絡釣魚，魚叉攻擊往往更加具備針對性，攻擊者往往“見魚而使叉”。

為了實現這一目標，攻擊者將嘗試在目標上收集盡可能多的信息。通常，組織內的特定個人存在某些安全漏洞。

3.1.2.22 釣鯨攻擊

捕鯨是另一種進化形式的魚叉式網絡釣魚。它指的是針對高級管理人員和組織內其他高級人員的網絡釣魚攻擊。
通過使電子郵件內容具有個性化并專門針對相關目標進行定制的攻擊。

3.1.2.23 水坑攻擊

顧名思義，是在受害者必經之路設置了一個“水坑(陷阱)”。

最常見的做法是，黑客分析攻擊目標的上網活動規律，尋找攻擊目標經常訪問的網站的弱點，先將此網站“攻破”并植入攻擊代碼，一旦攻擊目標訪問該網站就會“中招”。
嗅探

嗅探指的是對局域網中的數據包進行截取及分析，從中獲取有效信息。

3.1.2.24 APT 攻擊

Advanced Persistent Threat，即高級可持續威脅攻擊，指某組織在網絡上對特定對象展開的持續有效的攻擊活動。
這種攻擊活動具有極強的隱蔽性和針對性，通常會運用受感染的各種介質、供應鏈和社會工程學等多種手段實施先進的、持久的且有效的威脅和攻擊。

3.1.2.25 C2

C2 全稱為 Command and Control，命令與控制，常見于 APT 攻擊場景中。作動詞解釋時理解為惡意軟件與攻擊者進行交互，作名詞解釋時理解為攻擊者的“基礎設施”。

3.1.2.26 供應鏈攻擊
是黑客攻擊目標機構的合作伙伴，并以該合作伙為跳板，達到滲透目標用戶的目的。一種常見的表現形式為，用戶對廠商產品的信任，在廠商產品下載安裝或者更新時進行
惡意軟件植入進行攻擊。

所以，在某些軟件下載平臺下載的時候，若遭遇捆綁軟件，就得小心了！

3.1.2.27 社會工程學

一種無需依托任何黑客軟件，更注重研究人性弱點的黑客手法正在興起，這就是社會工程學黑客技術。
通俗而言是指利用人的社會學弱點實施網絡攻擊的一整套方法論，其攻擊手法往往出乎人意料。
世界第一黑客凱文·米特尼克在《反欺騙的藝術》中曾提到，人為因素才是安全的軟肋。很多企業、公司在信息安全上投入大量的資金，最終導致數據泄露的原因，往往卻是發生在人本身。

3.1.2.28 拿站

指得到一個網站的最高權限，即得到后臺和管理員名字和密碼。

3.1.2.29 提權

指得到你本沒得到的權限，比如說電腦中非系統管理員就無法訪問一些 C 盤的東西，而系統管理員就可以，通過一定的手段讓普通用戶提升成為管理員，讓其擁有管理員的權限，這就叫提權。

3.1.2.30 滲透

就是通過掃描檢測你的網絡設備及系統有沒有安全漏洞，有的話就可能被入侵，就像一滴水透過一塊有漏洞的木板，滲透成功就是系統被入侵。

3.1.2.31 橫移

指攻擊者入侵后，從立足點在內部網絡進行拓展，搜尋控制更多的系統。

3.1.2.32 跳板

一個具有輔助作用的機器，利用這個主機作為一個間接工具，來入侵其他主機，一般和肉雞連用。

3.1.2.33 網馬

就是在網頁中植入木馬，當打開網頁的時候就運行了木馬程序。

3.1.2.34 黑頁

黑客攻擊成功后，在網站上留下的黑客入侵成功的頁面，用于炫耀攻擊成果。

3.1.2.35 暗鏈

看不見的網站鏈接，“暗鏈”在網站中的鏈接做得非常隱蔽，短時間內不易被搜索引擎察
覺。

它和友情鏈接有相似之處，可以有效地提高網站權重。

3.1.2.36 拖庫

拖庫本來是數據庫領域的術語，指從數據庫中導出數據。

在網絡攻擊領域，它被用來指網站遭到入侵后，黑客竊取其數據庫文件。

3.1.2.37 撞庫

撞庫是黑客通過收集互聯網已泄露的用戶和密碼信息，生成對應的字典表，嘗試批量登陸其他網站后，得到一系列可以登錄的用戶。
很多用戶在不同網站使用的是相同的帳號密碼，因此黑客可以通過獲取用戶在 A 網站的賬戶從而嘗試登錄 B 網址，這就可以理解為撞庫攻擊。

3.1.2.38 暴庫

入侵網站的一種手法，通過惡意代碼讓網站爆出其一些敏感數據來。

3.1.2.39 CC 攻擊

即 Challenge Collapsar，名字來源于對抗國內安全廠商綠盟科技早期的抗拒絕服務產品黑洞，攻擊者借助代理服務器生成指向受害主機的涉及大量占用系統資源的合法請求，耗盡目標的處理資源，達到拒絕服務的目的。

3.1.2.40 Webshell

Webshell 就是以 asp、php、jsp 或者 cgi 等網頁文件形式存在的一種命令執行環境，也可以將其稱做是一種網頁后門，可以上傳下載文件，查看數據庫，執行任意程序命令等。

3.1.2.41 跨站攻擊

通常簡稱為 XSS，是指攻擊者利用網站程序對用戶輸入過濾不足，輸入可以顯示在頁面上對其他用戶造成影響的 HTML 代碼，從而盜取用戶資料、利用用戶身份進行某種動作或者對訪問者進行病毒侵害的一種攻擊方式。

3.1.2.42 中間人攻擊

中間人攻擊是一種“間接”的入侵攻擊，這種攻擊模式是通過各種技術手段將受入侵者控制的一臺計算機虛擬放置在網絡連接中的兩臺通信計算機之間，通過攔截正常的網絡通信數據，并進行數據篡改和嗅探，而這臺計算機就稱為“中間人”。

3.1.2.43 薅羊毛

指網賺一族利用各種網絡金融產品或紅包活動推廣下線抽成賺錢，又泛指搜集各個銀行等金融機構及各類商家的優惠信息，以此實現盈利的目的。這類行為就被稱之為薅羊毛。

3.1.2.44 商業電子郵件攻擊（BEC）

也被稱為“變臉詐騙”攻擊，這是針對高層管理人員的攻擊，攻擊者通常冒充（盜用）決策者的郵件，來下達與資金、利益相關的指令；或者攻擊者依賴社會工程學制作電子郵件，說服/誘導高管短時間進行經濟交易。

3.1.2.45 電信詐騙

是指通過電話、網絡和短信方式，編造虛假信息，設置騙局，對受害人實施遠程、非接觸式詐騙，誘使受害人打款或轉賬的犯罪行為，通常以冒充他人及仿冒、偽造各種合法外衣和形式的方式達到欺騙的目的。

3.1.2.46 殺豬盤

網絡流行詞，電信詐騙的一種，是一種網絡交友誘導股票投資、賭博等類型的詐騙方式，
“殺豬盤”則是“從業者們”自己起的名字，是指放長線“養豬”詐騙，養得越久，詐騙得越狠。

3.1.2.47 ARP 攻擊

ARP 協議的基本功能就是通過目標設備的 IP 地址，查詢目標設備的 MAC 地址，以保證通信的進行。
基于ARP 協議的這一工作特性，黑客向對方計算機不斷發送有欺詐性質的 ARP 數據包，數據包內包含有與當前設備重復的 Mac 地址，使對方在回應報文時，由于簡單的地址重復錯誤而導致不能進行正常的網絡通信。

3.1.2.48 欺騙攻擊

網絡欺騙的技術主要有：HONEYPOT 和分布式 HONEYPOT、欺騙空間技術等。

主要方式有：IP 欺騙、ARP 欺騙、 DNS 欺騙、Web 欺騙、電子郵件欺騙、源路由欺騙
（通過指定路由，以假冒身份與其他主機進行合法通信或發送假報文，使受攻擊主機出現錯誤動作）、地址欺騙（包括偽造源地址和偽造中間站點）等。

3.1.2.49 Shellcode

一段可被操作系統無需特別定位處理的指令，通常在利用軟件漏洞后執行的惡意代碼，
shellcode 為二進制的機器碼，因為經常讓攻擊者獲得 shell 而得名。

3.1.2.50 物理攻擊

通俗理解，即采用物理接觸而非技術手段達到網絡入侵的目的，最常見的表現形式為插
U 盤。

著名的震網病毒事件即通過插 U 盤的形式，感染了伊朗核設施。

3.1.3 攻擊者

3.1.3.1 黑產

網絡黑產，指以互聯網為媒介，以網絡技術為主要手段，為計算機信息系統安全和網絡空間管理秩序，甚至國家安全、社會政治穩定帶來潛在威脅（重大安全隱患）的非法行為。
例如非法數據交易產業。

3.1.3.2 暗網

暗網是利用加密傳輸、P2P 對等網絡、多點中繼混淆等，為用戶提供匿名的互聯網信息訪問的一類技術手段，其最突出的特點就是匿名性。

3.1.3.3 黑帽黑客

以非法目的進行黑客攻擊的人，通常是為了經濟利益。他們進入安全網絡以銷毀、贖回、修改或竊取數據，或使網絡無法用于授權用戶。
這個名字來源于這樣一個歷史：老式的黑白西部電影中，惡棍很容易被電影觀眾識別，因為他們戴著黑帽子，而“好人”則戴著白帽子。

3.1.3.4 白帽黑客

是那些用自己的黑客技術來進行合法的安全測試分析的黑客，測試網絡和系統的性能來判定它們能夠承受入侵的強弱程度。

3.1.3.5 紅帽黑客

事實上最為人所接受的說法叫紅客。

紅帽黑客以正義、道德、進步、強大為宗旨，以熱愛祖國、堅持正義、開拓進取為精神支柱，紅客通常會利用自己掌握的技術去維護國內網絡的安全，并對外來的進攻進行還擊。

3.1.3.6 紅隊

通常指攻防演習中的攻擊隊伍。

3.1.3.7 藍隊

通常指攻防演習中的防守隊伍。

3.1.3.8 紫隊

攻防演習中新近誕生的一方，通常指監理方或者裁判方。

3.2 防守篇

3.2.1 軟硬件

3.2.1.1 加密機

主機加密設備，加密機和主機之間使用 TCP/IP 協議通信，所以加密機對主機的類型和主機操作系統無任何特殊的要求。

3.2.1.2 CA 證書

為實現雙方安全通信提供了電子認證。

在因特網、公司內部網或外部網中，使用數字證書實現身份識別和電子信息加密。

數字證書中含有密鑰對（公鑰和私鑰）所有者的識別信息，通過驗證識別信息的真偽實現對證書持有者身份的認證。

3.2.1.3 SSL 證書

SSL 證書是數字證書的一種，類似于駕駛證、護照和營業執照的電子副本。因為配置在服務器上，也稱為 SSL 服務器證書。

3.2.1.4 防火墻

主要部署于不同網絡或網絡安全局之間的出口，通過監測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，有選擇地接受外部訪問。

3.2.1.5 IDS

入侵檢測系統，用于在黑客發起進攻或是發起進攻之前檢測到攻擊，并加以攔截。

IDS 是不同于防火墻。防火墻只能屏蔽入侵，而 IDS 卻可以在入侵發生以前，通過一些信息來檢測到即將發生的攻擊或是入侵并作出反應。

3.2.1.6 NIDS

是 Network Intrusion Detection System 的縮寫，即網絡入侵檢測系統，主要用于檢測
Hacker 或 Cracker 。

通過網絡進行的入侵行為。NIDS 的運行方式有兩種，一種是在目標主機上運行以監測其本身的通信信息，另一種是在一臺單獨的機器上運行以監測所有網絡設備的通信信息，比如 Hub、路由器。

3.2.1.7 IPS

全稱為 Intrusion-Prevention System，即入侵防御系統，目的在于及時識別攻擊程序或有害代碼及其克隆和變種，采取預防措施，先期阻止入侵，防患于未然。
或者至少使其危害性充分降低。入侵預防系統一般作為防火墻和防病毒軟件的補充來投入使用。

3.2.1.8 殺毒軟件

也稱反病毒軟件或防毒軟件，是用于消除電腦病毒、特洛伊木馬和惡意軟件等計算機威脅的一類軟件。

3.2.1.9 反病毒引擎

通俗理解，就是一套判斷特定程序行為是否為病毒程序（包括可疑的）的技術機制。例如奇安信自主研發的 QOWL 貓頭鷹反病毒引擎。

3.2.1.10 防毒墻

區別于部署在主機上的殺毒軟件，防毒墻的部署方式與防火墻類似，主要部署于網絡出口，用于對病毒進行掃描和攔截，因此防毒墻也被稱為反病毒網關。

3.2.1.11 老三樣

通常指 IDS、防火墻和反病毒三樣歷史最悠久安全產品。

3.2.1.12 告警

指網絡安全設備對攻擊行為產生的警報。

3.2.1.13 誤報

也稱為無效告警，通常指告警錯誤，即把合法行為判斷成非法行為而產生了告警。

目前，由于攻擊技術的快速進步和檢測技術的限制，誤報的數量非常大，使得安全人員不得不花費大量時間來處理此類告警，已經成為困擾并拉低日常安全處置效率的主要原因。

3.2.1.14 漏報

通常指網絡安全設備沒有檢測出非法行為而沒有產生告警。一旦出現漏報，將大幅增加系統被入侵的風險。

3.2.1.15 NAC

全稱為 Network Access Control，即網絡準入控制，其宗旨是防止病毒和蠕蟲等新興黑客技術對企業安全造成危害。
借助 NAC，客戶可以只允許合法的、值得信任的終端設備（例如 PC、服務器、PDA）接入網絡，而不允許其它設備接入。

3.2.1.16 漏掃

即漏洞掃描，指基于漏洞數據庫，通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測，發現可利用漏洞的一種安全檢測（滲透攻擊）行為。

3.2.1.17 UTM

即 Unified Threat Management，中文名為統一威脅管理，最早由 IDC 于 2014 年提出，即將不同設備的安全能力（最早包括入侵檢測、防火墻和反病毒技術），集中在同一網關上，實現統一管理和運維。

3.2.1.18 網閘

網閘是使用帶有多種控制功能的固態開關讀寫介質，連接兩個獨立主機系統的信息安全設備。
由于兩個獨立的主機系統通過網閘進行隔離，只有以數據文件形式進行的無協議擺渡。

3.2.1.19 堡壘機

運用各種技術手段監控和記錄運維人員對網絡內的服務器、網絡設備、安全設備、數據庫等設備的操作行為，以便集中報警、及時處理及審計定責。

3.2.1.20 數據庫審計

能夠實時記錄網絡上的數據庫活動，對數據庫操作進行細粒度審計的合規性管理，對數據庫遭受到的風險行為進行告警，對攻擊行為進行阻斷。
它通過對用戶訪問數據庫行為的記錄、分析和匯報，用來幫助用戶事后生成合規報告、事故追根溯源，同時加強內外部數據庫網絡行為記錄，提高數據資產安全。

3.2.1.21 DLP

數據防泄漏，通過數字資產的精準識別和策略制定，主要用于防止企業的指定數據或信息資產以違反安全策略規定的形式流出企業。

3.2.1.22 VPN

虛擬專用網，在公用網絡上建立專用網絡，進行加密通訊，通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。

3.2.1.23 SD-WAN

即軟件定義廣域網，這種服務用于連接廣闊地理范圍的企業網絡、數據中心、互聯網應用及云服務。
這種服務的典型特征是將網絡控制能力通過軟件方式云化。

通常情況下，SD-WAN 都集成有防火墻、入侵檢測或者防病毒能力。并且從目前的趨勢來看，以安全為核心設計的 SD-WAN 正在嶄露頭角，包括奇安信、Fortinet 等多家安全廠商開始涉足該領域，并提供了較為完備的內生安全設計。

3.2.1.24 路由器

是用來連接不同子網的中樞，它們工作于 OSI7 層模型的傳輸層和網絡層。

路由器的基本功能就是將網絡信息包傳輸到它們的目的地。一些路由器還有訪問控制列表（ACLs），允許將不想要的信息包過濾出去。
許多路由器都可以將它們的日志信息注入到 IDS 系統中，并且自帶基礎的包過濾（即防火墻）功能。

3.2.1.25 網關

通常指路由器、防火墻、IDS、VPN 等邊界網絡設備。

3.2.1.26 WAF

即 Web Application Firewall，即 Web 應用防火墻，是通過執行一系列針對 HTTP/HTTPS
的安全策略來專門為 Web 應用提供保護的一款產品。

3.2.1.27 SOC

即 Security Operations Center，翻譯為安全運行中心或者安全管理平臺，通過建立一套實時的資產風險模型，協助管理員進行事件分析、風險分析、預警管理和應急響應處理的集中安全管理系統。

3.2.1.28 LAS

日志審計系統，主要功能是提供日志的收集、檢索和分析能力，可為威脅檢測提供豐富的上下文。

3.2.1.29 NOC

即 Network Operations Center，網絡操作中心或網絡運行中心，是遠程網絡通訊的管理、監視和維護中心，是網絡問題解決、軟件分發和修改、路由、域名管理、性能監視的焦點。

3.2.1.30 SIEM

即 Security Information and Event Management，安全信息和事件管理，負責從大量企業安全控件、主機操作系統、企業應用和企業使用的其他軟件收集安全日志數據，并進行分析

和報告。

3.2.1.31 上網行為管理

是指幫助互聯網用戶控制和管理對互聯網使用的設備。

其包括對網頁訪問過濾、上網隱私保護、網絡應用控制、帶寬流量管理、信息收發審計、用戶行為分析等。

3.2.1.32 蜜罐（Honeypot）

是一個包含漏洞的系統，它摸擬一個或多個易受攻擊的主機，給黑客提供一個容易攻擊的目標。
由于蜜罐沒有其它任務需要完成，因此所有連接的嘗試都應被視為是可疑的。

蜜罐的另一個用途是拖延攻擊者對其真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。蜜罐類產品包括蜜網、蜜系統、蜜賬號等等。

3.2.1.33 沙盒

沙盒是一種用于安全的運行程序的機制。它常常用來執行那些非可信的程序。

非可信程序中的惡意代碼對系統的影響將會被限制在沙盒內而不會影響到系統的其它部分。

3.2.1.34 沙盒逃逸

一種識別沙盒環境，并利用靜默、欺騙等技術，繞過沙盒檢測的現象

3.2.1.35 網絡靶場

主要是指通過虛擬環境與真實設備相結合，模擬仿真出真實賽博網絡空間攻防作戰環境，能夠支撐攻防演練、安全教育、網絡空間作戰能力研究和網絡武器裝備驗證試驗平臺。

3.2.2 技術與服務

3.2.2.1 加密技術

加密技術包括兩個元素：算法和密鑰。

算法是將普通的文本與一串數字（密鑰）的結合，產生不可理解的密文的步驟，密鑰是用來對數據進行編碼和解碼的一種算法。
密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。相應地，對數據加密的技術分為兩類，即對稱加密（私人密鑰加密）和非對稱加密（公開密鑰加密）。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。

3.2.2.2 黑名單

顧名思義，黑名單即不好的名單，凡是在黑名單上的軟件、IP 地址等，都被認為是非法
的。

3.2.2.3 白名單

與黑名單對應，白名單即“好人”的名單，凡是在白名單上的軟件、IP 等，都被認為是合法的，可以在計算機上運行。

3.2.2.4 內網

通俗的講就是局域網，比如網吧、校園網、公司內部網等都屬于此類。

查看 IP 地址，如果是在以下三個范圍之內，就說明我們是處于內網之中的：10.0.0.0— 10.255.255.255，172.16.0.0—172.31.255.255，192.168.0.0—192.168.255.255

3.2.2.5 外網

直接連入 INTERNET（互連網），可以與互連網上的任意一臺電腦互相訪問。

3.2.2.6 邊界防御

以網絡邊界為核心的防御模型，以靜態規則匹配為基礎，強調把所有的安全威脅都擋在外網。

3.2.2.7 南北向流量

通常指數據中心內外部通信所產生的的流量。

3.2.2.8 東西向流量

通常指數據中心內部不同主機之間互相通信所產生的的流量。

3.2.2.9 規則庫

網絡安全的核心數據庫，類似于黑白名單，用于存儲大量安全規則，一旦訪問行為和規則庫完成匹配，則被認為是非法行為。所以有人也將規則庫比喻為網絡空間的法律。

3.2.2.10 下一代

網絡安全領域經常用到，用于表示產品或者技術有較大幅度的創新，在能力上相對于傳統方法有明顯的進步，通常縮寫為 NG（Next Gen）。
例如 NGFW（下一代防火墻）、NGSOC（下一代安全管理平臺）等。

3.2.2.11 大數據安全分析

區別于傳統被動規則匹配的防御模式，以主動收集和分析大數據的方法，找出其中可能存在的安全威脅，因此也稱數據驅動安全。
該理論最早由奇安信于 2015 年提出。

3.2.2.12 EPP

全稱為 Endpoint Protection Platform，翻譯為端點保護平臺，部署在終端設備上的安全防護解決方案,用于防止針對終端的惡意軟件、惡意腳本等安全威脅，通常與 EDR 進行聯動。

3.2.2.13 EDR

全稱 Endpoint Detection & Response，即端點檢測與響應，通過對端點進行持續檢測，同時通過應用程序對操作系統調用等異常行為分析，檢測和防護未知威脅，最終達到殺毒軟件無法解決未知威脅的目的。

3.2.2.14 NDR

全稱 Network Detection & Response，即網絡檢測與響應，通過對網絡側流量的持續檢測和分析，幫助企業增強威脅響應能力，提高網絡安全的可見性和威脅免疫力。

3.2.2.15 安全可視化

指在網絡安全領域中的呈現技術，將網絡安全加固、檢測、防御、響應等過程中的數據和結果轉換成圖形界面，并通過人機交互的方式進行搜索、加工、匯總等操作的理論、方法和技術。

3.2.2.16 NTA

網絡使用分析（NTA）的概念是 Gartner 于 2013 年首次提出的，位列五種檢測高級威脅的手段之一。
它融合了傳統的基于規則的檢測技術，以及機器學習和其他高級分析技術，用以檢測企業網絡中的可疑行為，尤其是失陷后的痕跡。

3.2.2.17 MDR

全稱 Managed Detection & Response，即托管檢測與響應，依靠基于網絡和主機的檢測工具來識別惡意模式。
此外，這些工具通常還會從防火墻之內的終端收集數據，以便更全面地監控網絡活動。

3.2.2.18 應急響應

通常是指一個組織為了應對各種意外事件的發生所做的準備以及在事件發生后所采取的措施。

3.2.2.19 XDR

通常指以檢測和響應技術為核心的網絡安全策略的統稱，包括 EDR、NDR、MDR 等。

3.2.2.20 安全運營

貫穿產品研發、業務運行、漏洞修復、防護與檢測、應急響應等一系列環節，實行系統的管理方法和流程，將各個環節的安全防控作用有機結合，保障整個業務的安全性。

3.2.2.21 威脅情報

根據 Gartner 的定義，威脅情報是某種基于證據的知識，包括上下文、機制、標示、含義和能夠執行的建議，這些知識與資產所面臨已有的或醞釀中的威脅或危害相關，可用于資

產相關主體對威脅或危害的響應或處理決策提供信息支持。根據使用對象的不同，威脅情報主要分為人讀情報和機讀情報。

3.2.2.22 TTP

主要包括三要素，戰術 Tactics、技術 Techniques 和過程 Procedures，是描述高級威脅組織及其攻擊的重要指標，作為威脅情報的一種重要組成部分，TTP 可為安全分析人員提供決策支撐。

3.2.2.23 IOC

中文名為失陷標示：用以發現內部被 APT 團伙、木馬后門、僵尸網絡控制的失陷主機，類型上往往是域名、URL 等。
目前而言，IOC 是應用最為廣泛的威脅情報，因為其效果最為直接。一經匹配，則意味著存在已經失陷的主機。

3.2.2.24 上下文

從文章的上下文引申而來，主要是指某項威脅指標的關聯信息，用于實現更加精準的安全匹配和檢測。

3.2.2.25 STIX

STIX 是一種描述網絡威脅信息的結構化語言，能夠以標準化和結構化的方式獲取更廣泛的網絡威脅信息，常用于威脅情報的共享與交換，目前在全球范圍內使用最為廣泛。
STIX 在定義了 8 中構件的 1.0 版本基礎上，已經推出了定義了 12 中構件的 2.0 版本。

3.2.2.26 殺傷鏈

殺傷鏈最早來源于軍事領域，用于描述進攻一方各個階段的狀態。

在網絡安全領域，這一概念最早由洛克希德-馬丁公司提出，英文名稱為 Kill Chain，也稱作網絡攻擊生命周期，包括偵查追蹤、武器構建、載荷投遞、漏洞利用、安裝植入、命令控制、目標達成等七個階段，來識別和防止入侵。

3.2.2.27 ATT&CK

可以簡單理解為描述攻擊者技戰術的知識庫。

MITRE 在 2013 年推出了該模型，它是根據真實的觀察數據來描述和分類對抗行為。

ATT&CK 將已知攻擊者行為轉換為結構化列表，將這些已知的行為匯總成戰術和技術，并通過幾個矩陣以及結構化威脅信息表達式（STIX）、指標信息的可信自動化交換（TAXII）來表示。

3.2.2.28 鉆石模型

鉆石模型在各個領域的應用都十分廣泛，在網絡安全領域，鉆石模型首次建立了一種將科學原理應用于入侵分析的正式方法：
可衡量、可測試和可重復——提供了一個對攻擊活動進行記錄、(信息)合成、關聯的簡單、正式和全面的方法。
這種科學的方法和簡單性可以改善分析的效率、效能和準確性。

3.2.2.29 關聯分析

又稱關聯挖掘，就是在交易數據、關系數據或其他信息載體中，查找存在于項目集合或對象集合之間的頻繁模式、關聯、相關性或因果結構。
在網絡安全領域主要是指將不同維度、類型的安全數據進行關聯挖掘，找出其中潛在的入侵行為。

3.2.2.30 態勢感知

是一種基于環境的、動態、整體地洞悉安全風險的能力，是以安全大數據為基礎，從全局視角提升對安全威脅的發現識別、理解分析、響應處置能力的一種方式，最終是為了決策與行動，是安全能力的落地。

3.2.2.31 探針

也叫作網絡安全探針或者安全探針，可以簡單理解為賽博世界的攝像頭，部署在網絡拓撲的關鍵節點上，用于收集和分析流量和日志，發現異常行為，并對可能到來的攻擊發出預警。

3.2.2.32 網絡空間測繪

用搜索引擎技術來提供交互，讓人們可以方便的搜索到網絡空間上的設備。

相對于現實中使用的地圖，用各種測繪方法描述和標注地理位置，用主動或被動探測的方法，來繪制網絡空間上設備的網絡節點和網絡連接關系圖，及各設備的畫像。

3.2.2.33 SOAR

全稱 Security Orchestration, Automation and Response，意即安全編排自動化與響應，主要通過劇本化、流程化的指令，對入侵行為采取的一系列自動化或者半自動化響應處置動作。

3.2.2.34 UEBA

全稱為 User and Entity Behavior Analytics，即用戶實體行為分析，一般通過大數據分析的方法，分析用戶以及 IT 實體的行為，從而判斷是否存在非法行為。

3.2.2.35 內存保護

內存保護是操作系統對電腦上的內存進行訪問權限管理的一個機制。內存保護的主要目的是防止某個進程去訪問不是操作系統配置給它的尋址空間。

3.2.2.36 RASP

全稱為 Runtime application self-protection，翻譯成應用運行時自我保護。

在 2014 年時由 Gartner 提出，它是一種新型應用安全保護技術，它將保護程序像疫苗一樣注入到應用程序中，應用程序融為一體，能實時檢測和阻斷安全攻擊，使應用程序具備自我保護能力，當應用程序遭受到實際攻擊傷害，就可以自動對其進行防御，而不需要進行人工干預。

3.2.2.37 包檢測

對于流量包、數據包進行拆包、檢測的行為。

3.2.2.38 深度包檢測

Deep Packet Inspection，縮寫為 DPI，又稱完全數據包探測（complete packet inspection）或信息萃取（Information eXtraction，IX），是一種計算機網絡數據包過濾技術，用來檢查通過檢測點之數據包的數據部分（亦可能包含其標頭），以搜索不匹配規范之協議、病毒、垃圾郵件、入侵跡象。

3.2.2.39 全流量檢測

全流量主要體現在三個“全”上，即全流量采集與保存，全行為分析以及全流量回溯。

通過全使用分析設備，實現網絡全流量采集與保存、全行為分析與全流量回溯，并提取網絡元數據上傳到大數據分析平臺實現更加豐富的功能。

3.2.2.40 元數據

元數據（Metadata），又稱中介數據、中繼數據，為描述數據的數據（data about data），主要是描述數據屬性（property）的信息，用來支持如指示存儲位置、歷史數據、資源查找、文件記錄等功能。

3.2.2.41 欺騙檢測

以構造虛假目標來欺騙并誘捕攻擊者，從而達到延誤攻擊節奏，檢測和分析攻擊行為的目的。

3.2.2.42 微隔離

顧名思義是細粒度更小的網絡隔離技術，能夠應對傳統環境、虛擬化環境、混合云環境、容器環境下對于東西向流量隔離的需求，重點用于阻止攻擊者進入企業數據中心網絡內部后的橫向平移。

3.2.2.43 逆向

常見于逆向工程或者逆向分析，簡單而言，一切從產品中提取原理及設計信息并應用于再造及改進的行為，都是逆向工程。
在網絡安全中，更多的是調查取證、惡意軟件分析等。

3.2.2.44 無代理安全

在終端安全或者虛擬化安全防護中，往往需要在每一臺主機或者虛機上安裝 agent（代理程序）來實現，這種方式往往需要消耗大量的資源。
而無代理安全則不用安裝 agent，可以減少大量的部署運維工作，提升管理效率。

3.2.2.45 CWPP

全稱 Cloud Workload Protection Platform，意為云工作負載保護平臺，主要是指對云上應用和工作負載（包括虛擬主機和容器主機上的工作負載）進行保護的技術，實現了比過去更加細粒度的防護，是現階段云上安全的最后一道防線。

3.2.2.46 CSPM

云安全配置管理，能夠對基礎設施安全配置進行分析與管理。這些安全配置包括賬號特權、網絡和存儲配置、以及安全配置（如加密設置）。如果發現配置不合規，CSPM 會采取行動進行修正。

3.2.2.47 CASB

全稱 Cloud Access Security Broker，即云端接入安全代理。作為部署在客戶和云服務商之間的安全策略控制點，是在訪問基于云的資源時企業實施的安全策略。

3.2.2.48 防爬

意為防爬蟲，主要是指防止網絡爬蟲從自身網站中爬取信息。網絡爬蟲是一種按照一定的規則，自動地抓取網絡信息的程序或者腳本。

3.2.2.49 安全資源池

安全資源池是多種安全產品虛擬化的集合，涵蓋了服務器終端、網絡、業務、數據等多種安全能力。

3.2.2.50 IAM

全稱為 Identity and Access Management，即身份與訪問管理，經常也被叫做身份認證。

3.2.2.51 4A

即認證 Authentication、授權 Authorization、賬號 Account、審計 Audit，即融合統一用戶賬號管理、統一認證管理、統一授權管理和統一安全審計四要素后的解決方案將，涵蓋單點登錄（SSO）等安全功能。

3.2.2.52 Access Control list(ACL)

訪問控制列表。

3.2.2.53 多因子認證

主要區別于單一口令認證的方式，要通過兩種以上的認證機制之后，才能得到授權，使

用計算機資源。

例如，用戶要輸入 PIN 碼，插入銀行卡，最后再經指紋比對，通過這三種認證方式，才能獲得授權。這種認證方式可以降低單一口令失竊的風險，提高安全性。

3.2.2.54 特權賬戶管理

簡稱 PAM。由于特權賬戶往往擁有很高的權限，因此一旦失竊或被濫用，會給機構帶來非常大的網絡安全風險。所以，特權賬戶管理往往在顯得十分重要。
其主要原則有：杜絕特權憑證共享、為特權使用賦以個人責任、為日常管理實現最小權限訪問模型、對這些憑證執行的活動實現審計功能。

3.2.2.55 零信任

零信任并不是不信任，而是作為一種新的身份認證和訪問授權理念，不再以網絡邊界來劃定可信或者不可信，而是默認不相信任何人、網絡以及設備，采取動態認證和授權的方式，把訪問者所帶來的的網絡安全風險降到最低。

3.2.2.56 SDP

全稱為 Software Defined Perimeter，即軟件定義邊界，由云安全聯盟基于零信任網絡提出，是圍繞某個應用或某一組應用創建的基于身份和上下文的邏輯訪問邊界。

3.2.2.57 Security as a Service

安全即服務，通常可理解為以 SaaS 的方式，將安全能力交付給客戶。

3.2.2.58 同態加密

同態加密是一類具有特殊自然屬性的加密方法，此概念是 Rivest 等人在 20 世紀 70 年代首先提出的，與一般加密算法相比，同態加密除了能實現基本的加密操作之外，還能實現密文間的多種計算功能。

3.2.2.59 量子計算

是一種遵循量子力學規律調控量子信息單元進行計算的新型計算模式，目前已經逐漸應用于加密和通信傳輸。

3.2.2.60 可信計算

是一項由可信計算組（可信計算集群，前稱為 TCPA）推動和開發的技術。

可信計算是在計算和通信系統中廣泛使用基于硬件安全模塊支持下的可信計算平臺，以提高系統整體的安全性。

3.2.2.61 擬態防御

核心實現是一種基于網絡空間內生安全機理的動態異構冗余構造（ Dynamic Heterogeneous Redundancy，DHR)，為應對網絡空間中基于未知漏洞、后門或病毒木馬等的未知威脅，提供具有普適創新意義的防御理論和方法。

3.2.2.62 區塊鏈

英文名為 blockchain，它是一個共享數據庫，存儲于其中的數據或信息，具有“不可偽造”、 “全程留痕”、“可以追溯”、“公開透明”、“集體維護”等特征。

3.2.2.63 遠程瀏覽器

鑒于瀏覽器往往成為黑客攻擊的入口，因此將瀏覽器部署在遠程的一個“瀏覽器服務器池”中。
這樣一來，這些瀏覽器所在的服務器跟用戶所在環境中的終端和網絡是隔離的，從而使得客戶所在網絡的暴露面大大降低。
這種服務也類似于虛擬桌面、云手機等產品。

3.2.2.64 云手機

云手機采用全新的 VM（I Virtual Mobile Infrastructure 虛擬移動設施，與 PC 云桌面類似）
技術，為員工提供一個獨立的移動設備安全虛擬手機，業務應用和數據僅在服務端運行和存儲，個人終端上僅做加密流媒體呈現和觸控，從而有效保障企業數據的安全性。

3.2.2.65 風控

也稱大數據風控，是指利用大數據分析的方法判斷業務可能存在的安全風險，目前該技術主要用于金融信貸領域，防止壞賬的發生。

3.2.2.66 滲透測試

為了證明網絡防御按照預期計劃正常運行而提供的一種機制，通常會邀請專業公司的攻擊團隊，按照一定的規則攻擊既定目標，從而找出其中存在的漏洞或者其他安全隱患，并出具測試報告和整改建議。
其目的在于不斷提升系統的安全性。

3.2.2.67 安全眾測

借助眾多白帽子的力量，針對目標系統在規定時間內進行漏洞懸賞測試。

您在收到有效的漏洞后，按漏洞風險等級給予白帽子一定的獎勵。通常情況下是按漏洞付費，性價比較高。
同時，不同白帽子的技能研究方向可能不同，在進行測試的時候更為全面。

3.2.2.68 內生安全

由奇安信集團董事長齊向東在 2019 北京網絡安全大會上首次提出，指的是不斷從信息化系統內生長出的安全能力，能伴隨業務的增長而持續提升，持續保證業務安全。
內生安全有三個特性，即依靠信息化系統與安全系統的聚合、業務數據與安全數據的聚合以及 IT 人才和安全人才的聚合，從信息化系統的內部，不斷長出自適應、自主和自成長的安全能力。

3.2.2.69 內生安全框架

為推動內生安全的落地，奇安信推出了內生安全框架。

該框架從頂層視角出發，支撐各行業的建設模式從“局部整改外掛式”，走向“深度融合體系化”；從工程實現的角度，將安全需求分步實施，逐步建成面向未來的安全體系；內生安全框架能夠輸出實戰化、體系化、常態化的安全能力，構建出動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控的網絡安全防御體系。
內生安全框架包含了總結出了 29 個安全區域場景和 79 類安全組件。

3.2.2.70 PPDR

英文全稱為 Policy Protection Detection Response，翻譯為策略、防護、檢測和響應。主要以安全策略為核心，通過一致性檢查、流量統計、異常分析、模式匹配以及基于應
用、目標、主機、網絡的入侵檢查等方法進行安全漏洞檢測。

3.2.2.71 CARTA

全稱為 Continuous Adaptive Risk and Trust Assessment，即持續自適應風險與信任評估旨在通過動態智能分析來評估用戶行為，放棄追求完美的安全，不能要求零風險，不要求 100%
信任，尋求一種 0 和 1 之間的風險與信任的平衡。

CARTA 戰略是一個龐大的體系，其包括大數據、AI、機器學習、自動化、行為分析、威脅檢測、安全防護、安全評估等方面。

3.2.2.72 SASE

全稱為 Secure Access Service Edge，即安全訪問服務邊緣，Gartner 將其定義為一種基于實體的身份、實時上下文、企業安全/合規策略，以及在整個會話中持續評估風險/信任的服務。
實體的身份可與人員、人員組（分支辦公室）、設備、應用、服務、物聯網系統或邊緣計算場地相關聯。

3.2.2.73 SDL

全稱為 Security Development Lifecycle，翻譯為安全開發生命周期，是一個幫助開發人員構建更安全的軟件和解決安全合規要求的同時降低開發成本的軟件開發過程，最早由微軟提出。

3.2.2.74 DevSecOps

全稱為 Development Security Operations，可翻譯為安全開發與運維。

它強調在 DevOps 計劃剛啟動時就要邀請安全團隊來確保信息的安全性，制定自動安全防護計劃，并貫穿始終，實現持續 IT 防護。

3.2.2.75 代碼審計

顧名思義就是檢查源代碼中的安全缺陷，檢查程序源代碼是否存在安全隱患，或者有編碼不規范的地方，通過自動化工具或者人工審查的方式，對程序源代碼逐條進行檢查和分析，發現這些源代碼缺陷引發的安全漏洞，并提供代碼修訂措施和建議。

3.2.2.76 NTLM 驗證

NTLM(NT LAN Manager)是微軟公司開發的一種身份驗證機制，從 NT4 開始就一直使用，主要用于本地的帳號管理。

3.2.2.77 MTTD

平均檢測時間。

3.2.2.78 MTTR

平均響應時間。

3.2.2.79 CVE

全稱 Common Vulnerabilities and Exposures，由于安全機構 Mitre 維護一個國際通用的漏洞唯一編號方案，已經被安全業界廣泛接受的標準。

3.2.2.80 軟件加殼

“殼”是一段專門負責保護軟件不被非法修改或反編譯的程序。

它們一般都是先于程序運行，拿到控制權，然后完成它們保護軟件的任務。

經過加殼的軟件在跟蹤時已無法看到其真實的十六進制代碼，因此可以起到保護軟件的目的。

3.2.2.81 CNVD

國家信息安全漏洞共享平臺，由國家計算機應急響應中心 CNCERT 維護，主要負責統一收集、管理國內的漏洞信息，其發布的漏洞編號前綴也為 CNVD。

3.2.2.82 數據脫敏

數據脫敏是指對某些敏感信息通過脫敏規則進行數據的變形，實現敏感隱私數據的可靠保護，主要用于數據的共享和交易等涉及大范圍數據流動的場景。

3.2.2.83 GDPR

《通用數據保護條例》（General Data Protection Regulation，簡稱 GDPR）為歐洲聯盟的條例，前身是歐盟在 1995 年制定的《計算機數據保護法》。

3.2.2.84 CCPA

美國加利福尼亞州消費者隱私保護法案。

3.2.2.85 SRC

即 Security Response Center，中文名為安全應急響應中心，主要職責為挖掘并公開收集機構存在的漏洞和其他安全隱患。

3.2.2.86 CISO

有時也被叫做 CSO，即首席信息安全官，為機構的主要安全負責人。

3.2.2.87 IPC 管道

為了更好地控制和處理不同進程之間的通信和數據交換，系統會通過一個特殊的連接管道來調度整個進程。

3.2.2.88 SYN 包

TCP 連接的第一個包，非常小的一種數據包。SYN 攻擊包括大量此類的包，由于這些包看上去來自實際不存在的站點，因此無法有效進行處理。

3.2.2.89 IPC$

是共享“命名管道”的資源，它是為了讓進程間通信而開放的命名管道，可以通過驗證用戶名和密碼獲得相應的權限，在遠程管理計算機和查看計算機的共享資源時使用。

3.2.2.90 shell

指的是一種命令指行環境，是系統與用戶的交換方式界面。簡單來說，就是系統與用戶
“溝通”的環境。

我們平時常用到的 DOS，就是一個 shell。（Windows2000 是 cmd.exe）

3.2.2.91 ARP

地址解析協議(Address Resolution Protocol)此協議將網絡地址映像到硬件地址。

總結

以上是生活随笔為你收集整理的一、网络安全专有名词汇编详解（黑话指南）-史上最全的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。