渗透测试常用术语总结

渗透测试常⽤术语总结

题记

⼈的⼀⽣会遇到两个⼈，⼀个惊艳了时光，⼀个温柔了岁⽉。 —— 苏剧 《经年》

渗透测试常⽤专业术语

相信⼤家和我⼀样，搞不清这些专业名词的区别，所以我来整理⼀下。

1. POC、EXP、Payload与Shellcode

POC：全称 ' Proof of Concept '，中⽂ ' 概念验证 ' ，常指⼀段漏洞证明的代码。

EXP：全称 ' Exploit '，中⽂ ' 利⽤ '，指利⽤系统漏洞进⾏攻击的动作。

Payload：中⽂ ' 有效载荷 '，指成功exploit之后，真正在⽬标系统执⾏的代码或指令。

Shellcode：简单翻译 ' shell代码 '，是Payload的⼀种，由于其建⽴正向/反向shell⽽得名。

2. ⼏点注意

POC是⽤来证明漏洞存在的，EXP是⽤来利⽤漏洞的，两者通常不是⼀类，或者说，PoC通常是⽆害的，Exp通常是有害的，有

了POC，才有EXP。

Payload有很多种，它可以是Shellcode，也可以直接是⼀段系统命令。同⼀个Payload可以⽤于多个漏洞，但每个漏洞都有其⾃

⼰的EXP，也就是说不存在通⽤的EXP。

Shellcode也有很多种，包括正向的，反向的，甚⾄meterpreter。

Shellcode与Shellshcok不是⼀个，Shellshock特指14年发现的Shellshock漏洞。

3. Payload模块

在Metasploit Framework 6⼤模块中有⼀个Payload模块，在该模块下有Single、Stager、Stages这三种类型，Single是⼀个all-

in-one的Payload，不依赖其他的⽂件，所以它的体积会⽐较⼤，Stager主要⽤于当⽬标计算机的内存有限时，可以先传输⼀个

较⼩的Stager⽤于建⽴连接，Stages指利⽤Stager建⽴的连接下载后续的Payload。Stager和Stages都有多种类型，适⽤于不同

场景。

4. 总结

想象⾃⼰是⼀个特⼯，你的⽬标是监控⼀个重要的⼈，有⼀天你怀疑⽬标家⾥的窗⼦可能没有关，于是你上前推了推，结果推开

了，这是⼀个POC。之后你回去了，开始准备第⼆天的渗透计划，第⼆天你通过同样的漏洞渗透进了它家，仔细查看了所有的重

要⽂件，离开时还安装了⼀个隐蔽的录⾳笔，这⼀天你所做的就是⼀个EXP，你在他家所做的就是不同的Payload，就把录⾳笔

当作Shellcode吧！

加更：暗⽹

我是会把我遇到很晦涩或者难以理解的词语分享到这的。

暗⽹这个词是我在b站偶然看到⼀个叫经常给开发找⿇烦的⾦⼦姑娘的视频，她的解释让我理解了这个词，所以解释⼀下。暗⽹并不是

那种灰⾊交易遍布，⼈们谁也不认谁，很罪恶的地⽅，充满着⼈性的负⾯。暗⽹其实就是带密码的空间，就像我们的qq空间。⽹络世界10%

在表⾯，剩下的就是暗⽹。浏览器的搜索引擎其实就是利⽤爬⾍把各个⽹页资源整合到⼀起，他也有进不去的地⽅，就像地图软件除了⽤卫

星还有⼈⼯测绘⼈员，他们就像爬⾍⼀样，总有到达不了的暗⽹。这⾥提到tor浏览器（洋葱），这个浏览器的原理就是a如果想把消息给

b，a把消息给c，c给d，d给e。经过层层代理，导致⽆法确定⼈们的踪迹，所以慢慢的这⾥就成为了罪犯最好的集聚地。这⾥加⼀个匿名浏

览器tor的详细介绍：/liun1994/p/ ------------2020/09/19

转⼤佬笔记

转载⾃教⽗博客：/20/#title-7

⼀、攻击篇

1．攻击⼯具

⾁鸡

所谓“⾁鸡”是⼀种很形象的⽐喻，⽐喻那些可以被攻击者控制的电脑、⼿机、服务器或者其他摄像头、路由器等智能设备，⽤于发动⽹

络攻击。

例如在2016年美国东海岸断⽹事件中，⿊客组织控制了⼤量的联⽹摄像头⽤于发动⽹络攻击，这些摄像头则可被称为“⾁鸡”。

僵⼫⽹络

僵⼫⽹络 Botnet 是指采⽤⼀种或多种传播⼿段，将⼤量主机感染病毒，从⽽在控制者和被感染主机之间所形成的⼀个可⼀对多控制的

⽹络。

僵⼫⽹络是⼀个⾮常形象的⽐喻，众多的计算机在不知不觉中如同中国古⽼传说中的僵⼫群⼀样被⼈驱赶和指挥着，成为被攻击者执⾏

各类恶意活动（DDOS、垃圾邮件等）利⽤的⼀种基础设施。

⽊马

就是那些表⾯上伪装成了正常的程序，但是当这些程序运⾏时，就会获取系统的整个控制权限。

有很多⿊客就是热衷使⽤⽊马程序来控制别⼈的电脑，⽐如灰鸽⼦、Gh0st、PcShare等等。

⽹页⽊马

表⾯上伪装成普通的⽹页或是将恶意代码直接插⼊到正常的⽹页⽂件中，当有⼈访问时，⽹页⽊马就会利⽤对⽅系统或者浏览器的漏洞

⾃动将配置好的⽊马服务端植⼊到访问者的电脑上来⾃动执⾏将受影响的客户电脑变成⾁鸡或纳⼊僵⼫⽹络。

Rootkit

Rootkit是攻击者⽤来隐藏⾃⼰的⾏踪和保留root（根权限，可以理解成WINDOWS下的system或者管理员权限）访问权限的⼯具。

通常，攻击者通过远程攻击的⽅式获得root访问权限，或者是先使⽤密码猜解（破解）的⽅式获得对系统的普通访问权限，进⼊系统

后，再通过对⽅系统存在的安全漏洞获得系统的root或system权限。

然后，攻击者就会在对⽅的系统中安装Rootkit，以达到⾃⼰长久控制对⽅的⽬的，Rootkit功能上与⽊马和后门很类似，但远⽐它们要隐

蔽。

蠕⾍病毒

它是⼀类相对独⽴的恶意代码，利⽤了联⽹系统的开放性特点，通过可远程利⽤的漏洞⾃主地进⾏传播，受到控制终端会变成攻击的发

起⽅，尝试感染更多的系统。

蠕⾍病毒的主要特性有：⾃我复制能⼒、很强的传播性、潜伏性、特定的触发性、很⼤的破坏性。

震⽹病毒

⼜名Stuxnet病毒，是第⼀个专门定向攻击真实世界中基础（能源）设施的“蠕⾍”病毒，⽐如核电站，⽔坝，国家电⽹。

作为世界上⾸个⽹络“超级破坏性武器”，Stuxnet的计算机病毒已经感染了全球超过 45000个⽹络，其⽬标伊朗的铀浓缩设备遭到的攻击

最为严重。

勒索病毒

主要以邮件、程序⽊马、⽹页挂马的形式进⾏传播。该病毒性质恶劣、危害极⼤，⼀旦感染将给⽤户带来⽆法估量的损失。这种病毒利

⽤各种加密算法对⽂件进⾏加密，被感染者⼀般⽆法解密，必须拿到解密的私钥才有可能破解。

挖矿⽊马

⼀种将PC、移动设备甚⾄服务器变为矿机的⽊马，通常由挖矿团伙植⼊，⽤于挖掘⽐特币从⽽赚取利益。

攻击载荷

攻击载荷（Payload）是系统被攻陷后执⾏的多阶段恶意代码。

通常攻击载荷附加于漏洞攻击模块之上，随漏洞攻击⼀起分发，并可能通过⽹络获取更多的组件。

嗅探器（Sniffer）

就是能够捕获⽹络报⽂的设备或程序。嗅探器的正当⽤处在于分析⽹络的流量，以便找出所关⼼的⽹络中潜在的问题。

恶意软件

被设计来达到⾮授权控制计算机或窃取计算机数据等多种恶意⾏为的程序。

间谍软件

⼀种能够在⽤户不知情的情况下，在其电脑、⼿机上安装后门，具备收集⽤户信息、监听、偷拍等功能的软件。

后门

这是⼀种形象的⽐喻，⼊侵者在利⽤某些⽅法成功的控制了⽬标主机后，可以在对⽅的系统中植⼊特定的程序，或者是修改某些设置，

⽤于访问、查看或者控制这台主机。

这些改动表⾯上是很难被察觉的，就好象是⼊侵者偷偷的配了⼀把主⼈房间的钥匙，或者在不起眼处修了⼀条按到，可以⽅便⾃⾝随意

进出。

通常⼤多数⽊马程序都可以被⼊侵者⽤于创建后门（BackDoor）。

弱⼝令

指那些强度不够，容易被猜解的，类似123，abc这样的⼝令（密码）。

漏洞

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从⽽可以使攻击者能够在未授权的情况下访问或破坏系统。

奇安信集团董事长齐向东在《漏洞》⼀书中指出，软件的缺陷是漏洞的⼀个主要来源，缺陷是天⽣的，漏洞是不可避免的。

远程命令执⾏漏洞

由于系统设计实现上存在的漏洞，攻击者可能通过发送特定的请求或数据导致在受影响的系统上执⾏攻击者指定的任意命令。

0day漏洞

0day漏洞最早的破解是专门针对软件的，叫做WAREZ，后来才发展到游戏，⾳乐，影视等其他内容的。

0day中的0表⽰Zero，早期的0day表⽰在软件发⾏后的24⼩时内就出现破解版本。

在⽹络攻防的语境下，0day漏洞指那些已经被攻击者发现掌握并开始利⽤，但还没有被包括受影响软件⼚商在内的公众所知的漏洞，这

类漏洞对攻击者来说有完全的信息优势，由于没有漏洞的对应的补丁或临时解决⽅案，防守⽅不知道如何防御，攻击者可以达成最⼤可能的

威胁。

1day漏洞

指漏洞信息已公开但仍未发布补丁的漏洞。此类漏洞的危害仍然较⾼，但往往官⽅会公布部分缓解措施，如关闭部分端⼝或者服务等。

Nday漏洞

指已经发布官⽅补丁的漏洞。通常情况下，此类漏洞的防护只需更新补丁即可，但由于多种原因，导致往往存在⼤量设备漏洞补丁更新

不及时，且漏洞利⽤⽅式已经在互联⽹公开，往往此类漏洞是⿊客最常使⽤的漏洞。

例如在永恒之蓝事件中，微软事先已经发布补丁，但仍有⼤量⽤户中招。

2．攻击⽅法

挂马

就是在别⼈的⽹站⽂件⾥⾯放⼊⽹页⽊马或者是将代码潜⼊到对⽅正常的⽹页⽂件⾥，以使浏览者中马。

挖洞

指漏洞挖掘。

加壳

就是利⽤特殊的算法，将EXE可执⾏程序或者DLL动态连接库⽂件的编码进⾏改变（⽐如实现压缩、加密），以达到缩⼩⽂件体积或者

加密程序编码，甚⾄是躲过杀毒软件查杀的⽬的。

⽬前较常⽤的壳有UPX，ASPack、PePack、PECompact、UPack、免疫007、⽊马彩⾐等等。

溢出

简单的解释就是程序对输⼊数据没有执⾏有效的边界检测⽽导致错误，后果可能是造成程序崩溃或者是执⾏攻击者的命令。

缓冲区溢出

攻击者向⼀个地址区输⼊这个区间存储不下的⼤量字符。在某些情况下，这些多余的字符可以作为“执⾏代码”来运⾏，因此⾜以使攻击

者不受安全措施限制⽽获得计算机的控制权。

注⼊

Web安全头号⼤敌。攻击者把⼀些包含攻击代码当做命令或者查询语句发送给解释器，这些恶意数据可以欺骗解释器，从⽽执⾏计划外

的命令或者未授权访问数据。

注⼊攻击漏洞往往是应⽤程序缺少对输⼊进⾏安全性检查所引起的。注⼊漏洞通常能在SQL查询、LDAP查询、OS命令、程序参数等中

出现。

SQL注⼊

注⼊攻击最常见的形式，主要是指Web应⽤程序对⽤户输⼊数据的合法性没有判断或过滤不严，攻击者可以在Web应⽤程序中事先定义

好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现⾮法操作，以此来实现欺骗数据库服务器执⾏⾮授权的任意查询

或其他操作，导致数据库信息泄露或⾮授权操作数据表。

注⼊点

即可以实⾏注⼊的地⽅，通常是⼀个涉及访问数据库的应⽤链接。根据注⼊点数据库的运⾏帐号的权限的不同，你所得到的权限也不

同。

软件脱壳

顾名思义，就是利⽤相应的⼯具，把在软件“外⾯”起保护作⽤的“壳”程序去除，还⽂件本来⾯⽬，这样再修改⽂件内容或进⾏分析检测就

容易多了。

免杀

就是通过加壳、加密、修改特征码、加花指令等等技术来修改程序，使其逃过杀毒软件的查杀。

暴⼒破解

简称“爆破”。⿊客对系统中账号的每⼀个可能的密码进⾏⾼度密集的⾃动搜索，从⽽破坏安全并获得对计算机的访问权限。

洪⽔攻击

是⿊客⽐较常⽤的⼀种攻击技术，特点是实施简单，威⼒巨⼤，⼤多是⽆视防御的。

从定义上说，攻击者对⽹络资源发送过量数据时就发⽣了洪⽔攻击，这个⽹络资源可以是router，switch，host，application等。

洪⽔攻击将攻击流量⽐作成洪⽔，只要攻击流量⾜够⼤，就可以将防御⼿段打穿。

DDoS攻击便是洪⽔攻击的⼀种。

SYN攻击

利⽤操作系统TCP协调设计上的问题执⾏的拒绝服务攻击，涉及TCP建⽴连接时三次握⼿的设计。

DoS攻击

拒绝服务攻击。攻击者通过利⽤漏洞或发送⼤量的请求导致攻击对象⽆法访问⽹络或者⽹站⽆法被访问。

DDoS

分布式DOS攻击，常见的UDP、SYN、反射放⼤攻击等等，就是通过许多台⾁鸡⼀起向你发送⼀些⽹络请求信息，导致你的⽹络堵塞

⽽不能正常上⽹。

抓鸡

即设法控制电脑，将其沦为⾁鸡。

端⼝扫描

端⼝扫描是指发送⼀组端⼝扫描消息，通过它了解到从哪⾥可探寻到攻击弱点，并了解其提供的计算机⽹络服务类型，试图以此侵⼊某

台计算机。

花指令

通过加⼊不影响程序功能的多余汇编指令，使得杀毒软件不能正常的判断病毒⽂件的构造。说通俗点就是“杀毒软件是从头到脚按顺序

来识别病毒。如果我们把病毒的头和脚颠倒位置，杀毒软件就找不到病毒了”。

反弹端⼝

有⼈发现，防⽕墙对于连⼊的连接往往会进⾏⾮常严格的过滤，但是对于连出的连接却疏于防范。

于是，利⽤这⼀特性，反弹端⼝型软件的服务端(被控制端)会主动连接客户端(控制端)，就给⼈“被控制端主动连接控制端的假象，让⼈

⿇痹⼤意。

⽹络钓鱼

攻击者利⽤欺骗性的电⼦邮件或伪造的Web 站点等来进⾏⽹络诈骗活动。

诈骗者通常会将⾃⼰伪装成⽹络银⾏、在线零售商和信⽤卡公司等可信的品牌，骗取⽤户的私⼈信息或邮件账号⼝令。

受骗者往往会泄露⾃⼰的邮箱、私⼈资料，如信⽤卡号、银⾏卡账户、⾝份证号等内容。

鱼叉攻击

鱼叉攻击是将⽤鱼叉捕鱼形象的引⼊到了⽹络攻击中，主要是指可以使欺骗性电⼦邮件看起来更加可信的⽹络钓鱼攻击，具有更⾼的成

功可能性。

不同于撒⽹式的⽹络钓鱼，鱼叉攻击往往更加具备针对性，攻击者往往“见鱼⽽使叉”。

为了实现这⼀⽬标，攻击者将尝试在⽬标上收集尽可能多的信息。通常，组织内的特定个⼈存在某些安全漏洞。

钓鲸攻击

捕鲸是另⼀种进化形式的鱼叉式⽹络钓鱼。它指的是针对⾼级管理⼈员和组织内其他⾼级⼈员的⽹络钓鱼攻击。

通过使电⼦邮件内容具有个性化并专门针对相关⽬标进⾏定制的攻击。

⽔坑攻击

顾名思义，是在受害者必经之路设置了⼀个“⽔坑(陷阱)”。

最常见的做法是，⿊客分析攻击⽬标的上⽹活动规律，寻找攻击⽬标经常访问的⽹站的弱点，先将此⽹站“攻破”并植⼊攻击代码，⼀旦

攻击⽬标访问该⽹站就会“中招”。

嗅探

嗅探指的是对局域⽹中的数据包进⾏截取及分析，从中获取有效信息。

APT攻击

Advanced Persistent Threat，即⾼级可持续威胁攻击，指某组织在⽹络上对特定对象展开的持续有效的攻击活动。

这种攻击活动具有极强的隐蔽性和针对性，通常会运⽤受感染的各种介质、供应链和社会⼯程学等多种⼿段实施先进的、持久的且有效

的威胁和攻击。

C2

C2 全称为Command and Control，命令与控制，常见于APT攻击场景中。作动词解释时理解为恶意软件与攻击者进⾏交互，作名词解

释时理解为攻击者的“基础设施”。

供应链攻击

是⿊客攻击⽬标机构的合作伙伴，并以该合作伙为跳板，达到渗透⽬标⽤户的⽬的。

⼀种常见的表现形式为，⽤户对⼚商产品的信任，在⼚商产品下载安装或者更新时进⾏恶意软件植⼊进⾏攻击。

所以，在某些软件下载平台下载的时候，若遭遇捆绑软件，就得⼩⼼了！

社会⼯程学

⼀种⽆需依托任何⿊客软件，更注重研究⼈性弱点的⿊客⼿法正在兴起，这就是社会⼯程学⿊客技术。

通俗⽽⾔是指利⽤⼈的社会学弱点实施⽹络攻击的⼀整套⽅法论，其攻击⼿法往往出乎⼈意料。

世界第⼀⿊客凯⽂·⽶特尼克在《反欺骗的艺术》中曾提到，⼈为因素才是安全的软肋。很多企业、公司在信息安全上投⼊⼤量的资⾦，

最终导致数据泄露的原因，往往却是发⽣在⼈本⾝。

拿站

指得到⼀个⽹站的最⾼权限，即得到后台和管理员名字和密码。

提权

指得到你本没得到的权限，⽐如说电脑中⾮系统管理员就⽆法访问⼀些C盘的东西，⽽系统管理员就可以，通过⼀定的⼿段让普通⽤户

提升成为管理员，让其拥有管理员的权限，这就叫提权。

渗透

就是通过扫描检测你的⽹络设备及系统有没有安全漏洞，有的话就可能被⼊侵，就像⼀滴⽔透过⼀块有漏洞的⽊板，渗透成功就是系统

被⼊侵。

横移

指攻击者⼊侵后，从⽴⾜点在内部⽹络进⾏拓展，搜寻控制更多的系统。

跳板

⼀个具有辅助作⽤的机器，利⽤这个主机作为⼀个间接⼯具，来⼊侵其他主机，⼀般和⾁鸡连⽤。

⽹马

就是在⽹页中植⼊⽊马，当打开⽹页的时候就运⾏了⽊马程序。

⿊页

⿊客攻击成功后，在⽹站上留下的⿊客⼊侵成功的页⾯，⽤于炫耀攻击成果。

暗链

看不见的⽹站链接，“暗链”在⽹站中的链接做得⾮常隐蔽，短时间内不易被搜索引擎察觉。

它和友情链接有相似之处，可以有效地提⾼⽹站权重。

拖库

拖库本来是数据库领域的术语，指从数据库中导出数据。

在⽹络攻击领域，它被⽤来指⽹站遭到⼊侵后，⿊客窃取其数据库⽂件。

撞库

撞库是⿊客通过收集互联⽹已泄露的⽤户和密码信息，⽣成对应的字典表，尝试批量登陆其他⽹站后，得到⼀系列可以登录的⽤户。

很多⽤户在不同⽹站使⽤的是相同的帐号密码，因此⿊客可以通过获取⽤户在A⽹站的账户从⽽尝试登录B⽹址，这就可以理解为撞库

攻击。

暴库

⼊侵⽹站的⼀种⼿法，通过恶意代码让⽹站爆出其⼀些敏感数据来。

CC攻击

即Challenge Collapsar，名字来源于对抗国内安全⼚商绿盟科技早期的抗拒绝服务产品⿊洞，攻击者借助代理服务器⽣成指向受害主机

的涉及⼤量占⽤系统资源的合法请求，耗尽⽬标的处理资源，达到拒绝服务的⽬的。

Webshell

Webshell就是以asp、php、jsp或者cgi等⽹页⽂件形式存在的⼀种命令执⾏环境，也可以将其称做是⼀种⽹页后门，可以上传下载⽂

件，查看数据库，执⾏任意程序命令等。

跨站攻击

通常简称为XSS，是指攻击者利⽤⽹站程序对⽤户输⼊过滤不⾜，输⼊可以显⽰在页⾯上对其他⽤户造成影响的HTML代码，从⽽盗取

⽤户资料、利⽤⽤户⾝份进⾏某种动作或者对访问者进⾏病毒侵害的⼀种攻击⽅式。

中间⼈攻击

中间⼈攻击是⼀种“间接”的⼊侵攻击，这种攻击模式是通过各种技术⼿段将受⼊侵者控制的⼀台计算机虚拟放置在⽹络连接中的两台通

信计算机之间，通过拦截正常的⽹络通信数据，并进⾏数据篡改和嗅探，⽽这台计算机就称为“中间⼈”。

薅⽺⽑

指⽹赚⼀族利⽤各种⽹络⾦融产品或红包活动推⼴下线抽成赚钱，⼜泛指搜集各个银⾏等⾦融机构及各类商家的优惠信息，以此实现盈

利的⽬的。这类⾏为就被称之为薅⽺⽑。

商业电⼦邮件攻击（BEC）

也被称为“变脸诈骗”攻击，这是针对⾼层管理⼈员的攻击，攻击者通常冒充（盗⽤）决策者的邮件，来下达与资⾦、利益相关的指令；

或者攻击者依赖社会⼯程学制作电⼦邮件，说服/诱导⾼管短时间进⾏经济交易。

电信诈骗

是指通过电话、⽹络和短信⽅式，编造虚假信息，设置骗局，对受害⼈实施远程、⾮接触式诈骗，诱使受害⼈打款或转账的犯罪⾏为，

通常以冒充他⼈及仿冒、伪造各种合法外⾐和形式的⽅式达到欺骗的⽬的。

杀猪盘

⽹络流⾏词，电信诈骗的⼀种，是⼀种⽹络交友诱导股票投资、赌博等类型的诈骗⽅式，“杀猪盘”则是“从业者们”⾃⼰起的名字，是指放

长线“养猪”诈骗，养得越久，诈骗得越狠。

ARP攻击

ARP协议的基本功能就是通过⽬标设备的IP地址，查询⽬标设备的MAC地址，以保证通信的进⾏。

基于ARP协议的这⼀⼯作特性，⿊客向对⽅计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使

对⽅在回应报⽂时，由于简单的地址重复错误⽽导致不能进⾏正常的⽹络通信。

欺骗攻击

⽹络欺骗的技术主要有：HONEYPOT和分布式HONEYPOT、欺骗空间技术等。

主要⽅式有：IP欺骗、ARP欺骗、 DNS欺骗、Web欺骗、电⼦邮件欺骗、源路由欺骗（通过指定路由，以假冒⾝份与其他主机进⾏合

法通信或发送假报⽂，使受攻击主机出现错误动作）、地址欺骗（包括伪造源地址和伪造中间站点）等。

Shellcode

⼀段可被操作系统⽆需特别定位处理的指令，通常在利⽤软件漏洞后执⾏的恶意代码，shellcode为⼆进制的机器码，因为经常让攻击

者获得shell⽽得名。

物理攻击

通俗理解，即采⽤物理接触⽽⾮技术⼿段达到⽹络⼊侵的⽬的，最常见的表现形式为插U盘。

著名的震⽹病毒事件即通过插U盘的形式，感染了伊朗核设施。

3．攻击者

⿊产

⽹络⿊产，指以互联⽹为媒介，以⽹络技术为主要⼿段，为计算机信息系统安全和⽹络空间管理秩序，甚⾄国家安全、社会政治稳定带

来潜在威胁（重⼤安全隐患）的⾮法⾏为。

例如⾮法数据交易产业。

暗⽹

暗⽹是利⽤加密传输、P2P对等⽹络、多点中继混淆等，为⽤户提供匿名的互联⽹信息访问的⼀类技术⼿段，其最突出的特点就是匿名

性。

⿊帽⿊客

以⾮法⽬的进⾏⿊客攻击的⼈，通常是为了经济利益。他们进⼊安全⽹络以销毁、赎回、修改或窃取数据，或使⽹络⽆法⽤于授权⽤

户。

这个名字来源于这样⼀个历史：⽼式的⿊⽩西部电影中，恶棍很容易被电影观众识别，因为他们戴着⿊帽⼦，⽽“好⼈”则戴着⽩帽⼦。

⽩帽⿊客

是那些⽤⾃⼰的⿊客技术来进⾏合法的安全测试分析的⿊客，测试⽹络和系统的性能来判定它们能够承受⼊侵的强弱程度。

红帽⿊客

事实上最为⼈所接受的说法叫红客。

红帽⿊客以正义、道德、进步、强⼤为宗旨，以热爱祖国、坚持正义、开拓进取为精神⽀柱，红客通常会利⽤⾃⼰掌握的技术去维护国

内⽹络的安全，并对外来的进攻进⾏还击。

红队

通常指攻防演*中的攻击队伍。

蓝队

通常指攻防演*中的防守队伍。

紫队

攻防演*中新*诞⽣的⼀⽅，通常指监理⽅或者裁判⽅。

⼆、防守篇

1．软硬件

加密机

主机加密设备，加密机和主机之间使⽤TCP/IP协议通信，所以加密机对主机的类型和主机操作系统⽆任何特殊的要求。

CA证书

为实现双⽅安全通信提供了电⼦认证。

在因特⽹、公司内部⽹或外部⽹中，使⽤数字证书实现⾝份识别和电⼦信息加密。

数字证书中含有密钥对（公钥和私钥）所有者的识别信息，通过验证识别信息的真伪实现对证书持有者⾝份的认证。

SSL证书

SSL证书是数字证书的⼀种，类似于驾驶证、护照和营业执照的电⼦副本。

因为配置在服务器上，也称为SSL服务器证书。

防⽕墙

主要部署于不同⽹络或⽹络安全域之间的出⼝，通过监测、限制、更改跨越防⽕墙的数据流，尽可能地对外部屏蔽⽹络内部的信息、结构和

运⾏状况，有选择地接受外部访问。

IDS

⼊侵检测系统，⽤于在⿊客发起进攻或是发起进攻之前检测到攻击，并加以拦截。

IDS是不同于防⽕墙。防⽕墙只能屏蔽⼊侵，⽽IDS却可以在⼊侵发⽣以前，通过⼀些信息来检测到即将发⽣的攻击或是⼊侵并作出反应。

NIDS

是Network Intrusion Detection System的缩写，即⽹络⼊侵检测系统，主要⽤于检测Hacker或Cracker 。

通过⽹络进⾏的⼊侵⾏为。NIDS的运⾏⽅式有两种，⼀种是在⽬标主机上运⾏以监测其本⾝的通信信息，另⼀种是在⼀台单独的机器上运

⾏以监测所有⽹络设备的通信信息，⽐如Hub、路由器。

IPS

全称为Intrusion-Prevention System，即⼊侵防御系统，⽬的在于及时识别攻击程序或有害代码及其克隆和变种，采取预防措施，先期阻⽌

⼊侵，防患于未然。

或者⾄少使其危害性充分降低。⼊侵预防系统⼀般作为防⽕墙 和防病毒软件的补充来投⼊使⽤。

杀毒软件

也称反病毒软件或防毒软件，是⽤于消除电脑病毒、特洛伊⽊马和恶意软件等计算机威胁的⼀类软件。

反病毒引擎

通俗理解，就是⼀套判断特定程序⾏为是否为病毒程序（包括可疑的）的技术机制。

例如奇安信⾃主研发的QOWL猫头鹰反病毒引擎。

防毒墙

区别于部署在主机上的杀毒软件，防毒墙的部署⽅式与防⽕墙类似，主要部署于⽹络出⼝，⽤于对病毒进⾏扫描和拦截，因此防毒墙也被称

为反病毒⽹关。

⽼三样

通常指IDS、防⽕墙和反病毒三样历史最悠久安全产品。

告警

指⽹络安全设备对攻击⾏为产⽣的警报。

误报

也称为⽆效告警，通常指告警错误，即把合法⾏为判断成⾮法⾏为⽽产⽣了告警。

⽬前，由于攻击技术的快速进步和检测技术的限制，误报的数量⾮常⼤，使得安全⼈员不得不花费⼤量时间来处理此类告警，已经成为困扰

并拉低⽇常安全处置效率的主要原因。

漏报

通常指⽹络安全设备没有检测出⾮法⾏为⽽没有产⽣告警。⼀旦出现漏报，将⼤幅增加系统被⼊侵的风险。

NAC

全称为Network Access Control，即⽹络准⼊控制，其宗旨是防⽌病毒和蠕⾍等新兴⿊客技术对企业安全造成危害。

借助NAC，客户可以只允许合法的、值得信任的终端设备（例如PC、服务器、PDA）接⼊⽹络，⽽不允许其它设备接⼊。

漏扫

即漏洞扫描，指基于漏洞数据库，通过扫描等⼿段对指定的远程或者本地计算机系统的安全脆弱性进⾏检测，发现可利⽤漏洞的⼀种安全检

测（渗透攻击）⾏为。

UTM

即Unified Threat Management，中⽂名为统⼀威胁管理，最早由IDC于2014年提出，即将不同设备的安全能⼒（最早包括⼊侵检测、防⽕

墙和反病毒技术），集中在同⼀⽹关上，实现统⼀管理和运维。

⽹闸

⽹闸是使⽤带有多种控制功能的固态开关读写介质，连接两个独⽴主机系统的信息安全设备。

由于两个独⽴的主机系统通过⽹闸进⾏隔离，只有以数据⽂件形式进⾏的⽆协议摆渡。

堡垒机

运⽤各种技术⼿段监控和记录运维⼈员对⽹络内的服务器、⽹络设备、安全设备、数据库等设备的操作⾏为，以便集中报警、及时处理及审

计定责。

数据库审计

能够实时记录⽹络上的数据库活动，对数据库操作进⾏细粒度审计的合规性管理，对数据库遭受到的风险⾏为进⾏告警，对攻击⾏为进⾏阻

断。

它通过对⽤户访问数据库⾏为的记录、分析和汇报，⽤来帮助⽤户事后⽣成合规报告、事故追根溯源，同时加强内外部数据库⽹络⾏为记

录，提⾼数据资产安全。

DLP

数据防泄漏，通过数字资产的精准识别和策略制定，主要⽤于防⽌企业的指定数据或信息资产以违反安全策略规定的形式流出企业。

VPN

虚拟专⽤⽹，在公⽤⽹络上建⽴专⽤⽹络，进⾏加密通讯，通过对数据包的加密和数据包⽬标地址的转换实现远程访问。

SD-WAN

即软件定义⼴域⽹，这种服务⽤于连接⼴阔地理范围的企业⽹络、数据中⼼、互联⽹应⽤及云服务。

这种服务的典型特征是将⽹络控制能⼒通过软件⽅式云化。

通常情况下，SD-WAN都集成有防⽕墙、⼊侵检测或者防病毒能⼒。并且从⽬前的趋势来看，以安全为核⼼设计的SD-WAN正在崭露头⾓，

包括奇安信、Fortinet等多家安全⼚商开始涉⾜该领域，并提供了较为完备的内⽣安全设计。

路由器

是⽤来连接不同⼦⽹的中枢，它们⼯作于OSI7层模型的传输层和⽹络层。

路由器的基本功能就是将⽹络信息包传输到它们的⽬的地。⼀些路由器还有访问控制列表（ACLs），允许将不想要的信息包过滤出去。

许多路由器都可以将它们的⽇志信息注⼊到IDS系统中，并且⾃带基础的包过滤（即防⽕墙）功能。

⽹关

通常指路由器、防⽕墙、IDS、VPN等边界⽹络设备。

WAF

即Web Application Firewall，即Web应⽤防⽕墙，是通过执⾏⼀系列针对HTTP/HTTPS的安全策略来专门为Web应⽤提供保护的⼀款产

品。

SOC

即Security Operations Center，翻译为安全运⾏中⼼或者安全管理平台，通过建⽴⼀套实时的资产风险模型，协助管理员进⾏事件分析、风

险分析、预警管理和应急响应处理的集中安全管理系统。

LAS

⽇志审计系统，主要功能是提供⽇志的收集、检索和分析能⼒，可为威胁检测提供丰富的上下⽂。

NOC

即Network Operations Center，⽹络操作中⼼或⽹络运⾏中⼼，是远程⽹络通讯的管理、监视和维护中⼼，是⽹络问题解决、软件分发和修

改、路由、域名管理、性能监视的焦点。

SIEM

即Security Information and Event Management，安全信息和事件管理，负责从⼤量企业安全控件、主机操作系统、企业应⽤和企业使⽤的

其他软件收集安全⽇志数据，并进⾏分析和报告。

上⽹⾏为管理

是指帮助互联⽹⽤户控制和管理对互联⽹使⽤的设备。

其包括对⽹页访问过滤、上⽹隐私保护、⽹络应⽤控制、带宽流量管理、信息收发审计、⽤户⾏为分析等。

蜜罐（Honeypot）

是⼀个包含漏洞的系统，它摸拟⼀个或多个易受攻击的主机，给⿊客提供⼀个容易攻击的⽬标。

由于蜜罐没有其它任务需要完成，因此所有连接的尝试都应被视为是可疑的。

蜜罐的另⼀个⽤途是拖延攻击者对其真正⽬标的攻击，让攻击者在蜜罐上浪费时间。

蜜罐类产品包括蜜⽹、蜜系统、蜜账号等等。

沙箱

沙箱是⼀种⽤于安全的运⾏程序的机制。它常常⽤来执⾏那些⾮可信的程序。

⾮可信程序中的恶意代码对系统的影响将会被限制在沙箱内⽽不会影响到系统的其它部分。

沙箱逃逸

⼀种识别沙箱环境，并利⽤静默、欺骗等技术，绕过沙箱检测的现象

⽹络靶场

主要是指通过虚拟环境与真实设备相结合，模拟仿真出真实赛博⽹络空间攻防作战环境，能够⽀撑攻防演练、安全教育、⽹络空间作战能⼒

研究和⽹络武器装备验证试验平台。

2．技术与服务

加密技术

加密技术包括两个元素：算法和密钥。

算法是将普通的⽂本与⼀串数字（密钥）的结合，产⽣不可理解的密⽂的步骤，密钥是⽤来对数据进⾏编码和解码的⼀种算法。

密钥加密技术的密码体制分为对称密钥体制和⾮对称密钥体制两种。相应地，对数据加密的技术分为两类，即对称加密（私⼈密钥加密）和

⾮对称加密（公开密钥加密）。对称加密的加密密钥和解密密钥相同，⽽⾮对称加密的加密密钥和解密密钥不同，加密密钥可以公开⽽解密

密钥需要保密。

⿊名单

顾名思义，⿊名单即不好的名单，凡是在⿊名单上的软件、IP地址等，都被认为是⾮法的。

⽩名单

与⿊名单对应，⽩名单即“好⼈”的名单，凡是在⽩名单上的软件、IP等，都被认为是合法的，可以在计算机上运⾏。

内⽹

通俗的讲就是局域⽹，⽐如⽹吧、校园⽹、公司内部⽹等都属于此类。

查看IP地址，如果是在以下三个范围之内，就说明我们是处于内⽹之中的：10.0.0.0—10.255.255.255，172.16.0.0—

172.31.255.255，192.168.0.0—192.168.255.255

外⽹

直接连⼊INTERNET（互连⽹），可以与互连⽹上的任意⼀台电脑互相访问。

边界防御

以⽹络边界为核⼼的防御模型，以静态规则匹配为基础，强调把所有的安全威胁都挡在外⽹。

南北向流量

通常指数据中⼼内外部通信所产⽣的的流量。

东西向流量

通常指数据中⼼内部不同主机之间互相通信所产⽣的的流量。

规则库

⽹络安全的核⼼数据库，类似于⿊⽩名单，⽤于存储⼤量安全规则，⼀旦访问⾏为和规则库完成匹配，则被认为是⾮法⾏为。所以有⼈也将

规则库⽐喻为⽹络空间的法律。

下⼀代

⽹络安全领域经常⽤到，⽤于表⽰产品或者技术有较⼤幅度的创新，在能⼒上相对于传统⽅法有明显的进步，通常缩写为NG（Next

Gen）。

例如NGFW（下⼀代防⽕墙）、NGSOC（下⼀代安全管理平台）等。

⼤数据安全分析

区别于传统被动规则匹配的防御模式，以主动收集和分析⼤数据的⽅法，找出其中可能存在的安全威胁，因此也称数据驱动安全。

该理论最早由奇安信于2015年提出。

EPP

全称为Endpoint Protection Platform，翻译为端点保护平台，部署在终端设备上的安全防护解决⽅案,⽤于防⽌针对终端的恶意软件、恶意脚

本等安全威胁，通常与EDR进⾏联动。

EDR

全称Endpoint Detection & Respon，即端点检测与响应，通过对端点进⾏持续检测，同时通过应⽤程序对操作系统调⽤等异常⾏为分析，

检测和防护未知威胁，最终达到杀毒软件⽆法解决未知威胁的⽬的。

NDR

全称Network Detection & Respon，即⽹络检测与响应，通过对⽹络侧流量的持续检测和分析，帮助企业增强威胁响应能⼒，提⾼⽹络安

全的可见性和威胁免疫⼒。

安全可视化

指在⽹络安全领域中的呈现技术，将⽹络安全加固、检测、防御、响应等过程中的数据和结果转换成图形界⾯，并通过⼈机交互的⽅式进⾏

搜索、加⼯、汇总等操作的理论、⽅法和技术。

NTA

⽹络流量分析（NTA）的概念是Gartner于2013年⾸次提出的，位列五种检测⾼级威胁的⼿段之⼀。

它融合了传统的基于规则的检测技术，以及机器学*和其他⾼级分析技术，⽤以检测企业⽹络中的可疑⾏为，尤其是失陷后的痕迹。

MDR

全称Managed Detection & Respon，即托管检测与响应，依靠基于⽹络和主机的检测⼯具来识别恶意模式。

此外，这些⼯具通常还会从防⽕墙之内的终端收集数据，以便更全⾯地监控⽹络活动。

应急响应

通常是指⼀个组织为了应对各种意外事件的发⽣所做的准备以及在事件发⽣后所采取的措施。

XDR

通常指以检测和响应技术为核⼼的⽹络安全策略的统称，包括EDR、NDR、MDR等。

安全运营

贯穿产品研发、业务运⾏、漏洞修复、防护与检测、应急响应等⼀系列环节，实⾏系统的管理⽅法和流程，将各个环节的安全防控作⽤有机

结合，保障整个业务的安全性。

威胁情报

根据Gartner的定义，威胁情报是某种基于证据的知识，包括上下⽂、机制、标⽰、含义和能够执⾏的建议，这些知识与资产所⾯临已有的

或酝酿中的威胁或危害相关，可⽤于资产相关主体对威胁或危害的响应或处理决策提供信息⽀持。根据使⽤对象的不同，威胁情报主要分为

⼈读情报和机读情报。

TTP

主要包括三要素，战术Tactics、技术Techniques和过程Procedures，是描述⾼级威胁组织及其攻击的重要指标，作为威胁情报的⼀种重要

组成部分，TTP可为安全分析⼈员提供决策⽀撑。

IOC

中⽂名为失陷标⽰：⽤以发现内部被APT团伙、⽊马后门、僵⼫⽹络控制的失陷主机，类型上往往是域名、URL等。

⽬前⽽⾔，IOC是应⽤最为⼴泛的威胁情报，因为其效果最为直接。⼀经匹配，则意味着存在已经失陷的主机。

上下⽂

从⽂章的上下⽂引申⽽来，主要是指某项威胁指标的关联信息，⽤于实现更加精准的安全匹配和检测。

STIX

STIX是⼀种描述⽹络威胁信息的结构化语⾔，能够以标准化和结构化的⽅式获取更⼴泛的⽹络威胁信息，常⽤于威胁情报的共享与交换，⽬

前在全球范围内使⽤最为⼴泛。

STIX在定义了8中构件的1.0版本基础上，已经推出了定义了12中构件的2.0版本。

杀伤链

杀伤链最早来源于军事领域，⽤于描述进攻⼀⽅各个阶段的状态。

在⽹络安全领域，这⼀概念最早由洛克希德-马丁公司提出，英⽂名称为Kill Chain，也称作⽹络攻击⽣命周期，包括侦查追踪、武器构建、

载荷投递、漏洞利⽤、安装植⼊、命令控制、⽬标达成等七个阶段，来识别和防⽌⼊侵。

ATT&CK

可以简单理解为描述攻击者技战术的知识库。

MITRE在2013年推出了该模型，它是根据真实的观察数据来描述和分类对抗⾏为。

ATT&CK将已知攻击者⾏为转换为结构化列表，将这些已知的⾏为汇总成战术和技术，并通过⼏个矩阵以及结构化威胁信息表达式

（STIX）、指标信息的可信⾃动化交换（TAXII）来表⽰。

钻⽯模型

钻⽯模型在各个领域的应⽤都⼗分⼴泛，在⽹络安全领域，钻⽯模型⾸次建⽴了⼀种将科学原理应⽤于⼊侵分析的正式⽅法：

可衡量、可测试和可重复——提供了⼀个对攻击活动进⾏记录、(信息)合成、关联的简单、正式和全⾯的⽅法。

这种科学的⽅法和简单性可以改善分析的效率、效能和准确性。

关联分析

⼜称关联挖掘，就是在交易数据、关系数据或其他信息载体中，查找存在于项⽬集合或对象集合之间的频繁模式、关联、相关性或因果结

构。

在⽹络安全领域主要是指将不同维度、类型的安全数据进⾏关联挖掘，找出其中潜在的⼊侵⾏为。

态势感知

是⼀种基于环境的、动态、整体地洞悉安全风险的能⼒，是以安全⼤数据为基础，从全局视⾓提升对安全威胁的发现识别、理解分析、响应

处置能⼒的⼀种⽅式，最终是为了决策与⾏动，是安全能⼒的落地。

探针

也叫作⽹络安全探针或者安全探针，可以简单理解为赛博世界的摄像头，部署在⽹络拓扑的关键节点上，⽤于收集和分析流量和⽇志，发现

异常⾏为，并对可能到来的攻击发出预警。

⽹络空间测绘

⽤搜索引擎技术来提供交互，让⼈们可以⽅便的搜索到⽹络空间上的设备。

相对于现实中使⽤的地图，⽤各种测绘⽅法描述和标注地理位置，⽤主动或被动探测的⽅法，来绘制⽹络空间上设备的⽹络节点和⽹络连接

关系图，及各设备的画像。

SOAR

全称Security Orchestration, Automation and Respon，意即安全编排⾃动化与响应，主要通过剧本化、流程化的指令，对⼊侵⾏为采取的

⼀系列⾃动化或者半⾃动化响应处置动作。

UEBA

全称为Ur and Entity Behavior Analytics，即⽤户实体⾏为分析，⼀般通过⼤数据分析的⽅法，分析⽤户以及IT实体的⾏为，从⽽判断是否

存在⾮法⾏为。

内存保护

内存保护是操作系统对电脑上的内存进⾏访问权限管理的⼀个机制。内存保护的主要⽬的是防⽌某个进程去访问不是操作系统配置给它的寻

址空间。

RASP

全称为Runtime application lf-protection，翻译成应⽤运⾏时⾃我保护。

在2014年时由Gartner提出，它是⼀种新型应⽤安全保护技术，它将保护程序像疫苗⼀样注⼊到应⽤程序中，应⽤程序融为⼀体，能实时检

测和阻断安全攻击，使应⽤程序具备⾃我保护能⼒，当应⽤程序遭受到实际攻击伤害，就可以⾃动对其进⾏防御，⽽不需要进⾏⼈⼯⼲预。

包检测

对于流量包、数据包进⾏拆包、检测的⾏为。

深度包检测

Deep Packet Inspection，缩写为 DPI，⼜称完全数据包探测（complete packet inspection）或信息萃取（Information eXtraction，IX），是

⼀种计算机⽹络数据包过滤技术，⽤来检查通过检测点之数据包的数据部分（亦可能包含其标头），以搜索不匹配规范之协议、病毒、垃圾

邮件、⼊侵迹象。

全流量检测

全流量主要体现在三个“全”上，即全流量采集与保存，全⾏为分析以及全流量回溯。

通过全流量分析设备，实现⽹络全流量采集与保存、全⾏为分析与全流量回溯，并提取⽹络元数据上传到⼤数据分析平台实现更加丰富的功

能。

元数据

元数据（Metadata），⼜称中介数据、中继数据，为描述数据的数据（data about data），主要是描述数据属性（property）的信息，⽤来

⽀持如指⽰存储位置、历史数据、资源查找、⽂件记录等功能。

欺骗检测

以构造虚假⽬标来欺骗并诱捕攻击者，从⽽达到延误攻击节奏，检测和分析攻击⾏为的⽬的。

微隔离

顾名思义是细粒度更⼩的⽹络隔离技术，能够应对传统环境、虚拟化环境、混合云环境、容器环境下对于东西向流量隔离的需求，重点⽤于

阻⽌攻击者进⼊企业数据中⼼⽹络内部后的横向平移。

逆向

常见于逆向⼯程或者逆向分析，简单⽽⾔，⼀切从产品中提取原理及设计信息并应⽤于再造及改进的⾏为，都是逆向⼯程。

在⽹络安全中，更多的是调查取证、恶意软件分析等。

⽆代理安全

在终端安全或者虚拟化安全防护中，往往需要在每⼀台主机或者虚机上安装agent（代理程序）来实现，这种⽅式往往需要消耗⼤量的资

源。

⽽⽆代理安全则不⽤安装agent，可以减少⼤量的部署运维⼯作，提升管理效率。

CWPP

全称Cloud Workload Protection Platform，意为云⼯作负载保护平台，主要是指对云上应⽤和⼯作负载（包括虚拟主机和容器主机上的⼯作

负载）进⾏保护的技术，实现了⽐过去更加细粒度的防护，是现阶段云上安全的最后⼀道防线。

CSPM

云安全配置管理，能够对基础设施安全配置进⾏分析与管理。这些安全配置包括账号特权、⽹络和存储配置、以及安全配置（如加密设

置）。如果发现配置不合规，CSPM会采取⾏动进⾏修正。

CASB

全称Cloud Access Security Broker，即云端接⼊安全代理。作为部署在客户和云服务商之间的安全策略控制点，是在访问基于云的资源时企

业实施的安全策略。

防爬

意为防爬⾍，主要是指防⽌⽹络爬⾍从⾃⾝⽹站中爬取信息。⽹络爬⾍是⼀种按照⼀定的规则，⾃动地抓取⽹络信息的程序或者脚本。

安全资源池

安全资源池是多种安全产品虚拟化的集合，涵盖了服务器终端、⽹络、业务、数据等多种安全能⼒。

IAM

全称为Identity and Access Management，即⾝份与访问管理，经常也被叫做⾝份认证。

4A

即认证Authentication、授权Authorization、账号Account、审计Audit，即融合统⼀⽤户账号管理、统⼀认证管理、统⼀授权管理和统⼀安全

审计四要素后的解决⽅案将，涵盖单点登录（SSO）等安全功能。

Access Control list(ACL)

访问控制列表。

多因⼦认证

主要区别于单⼀⼝令认证的⽅式，要通过两种以上的认证机制之后，才能得到授权，使⽤计算机资源。

例如，⽤户要输⼊PIN码，插⼊银⾏卡，最后再经指纹⽐对，通过这三种认证⽅式，才能获得授权。这种认证⽅式可以降低单⼀⼝令失窃的

风险，提⾼安全性。

特权账户管理

简称PAM。由于特权账户往往拥有很⾼的权限，因此⼀旦失窃或被滥⽤，会给机构带来⾮常⼤的⽹络安全风险。所以，特权账户管理往往在

显得⼗分重要。

其主要原则有：杜绝特权凭证共享、为特权使⽤赋以个⼈责任、为⽇常管理实现最⼩权限访问模型、对这些凭证执⾏的活动实现审计功能。

零信任

零信任并不是不信任，⽽是作为⼀种新的⾝份认证和访问授权理念，不再以⽹络边界来划定可信或者不可信，⽽是默认不相信任何⼈、⽹络

以及设备，采取动态认证和授权的⽅式，把访问者所带来的的⽹络安全风险降到最低。

SDP

全称为Software Defined Perimeter，即软件定义边界，由云安全联盟基于零信任⽹络提出，是围绕某个应⽤或某⼀组应⽤创建的基于⾝份和

上下⽂的逻辑访问边界。

Security as a Service

安全即服务，通常可理解为以SaaS的⽅式，将安全能⼒交付给客户。

同态加密

同态加密是⼀类具有特殊⾃然属性的加密⽅法，此概念是Rivest等⼈在20世纪70年代⾸先提出的，与⼀般加密算法相⽐，同态加密除了能实

现基本的加密操作之外，还能实现密⽂间的多种计算功能。

量⼦计算

是⼀种遵循量⼦⼒学规律调控量⼦信息单元进⾏计算的新型计算模式，⽬前已经逐渐应⽤于加密和通信传输。

可信计算

是⼀项由可信计算组（可信计算集群，前称为TCPA）推动和开发的技术。

可信计算是在计算和通信系统中⼴泛使⽤基于硬件安全模块⽀持下的可信计算平台，以提⾼系统整体的安全性。

拟态防御

核⼼实现是⼀种基于⽹络空间内⽣安全机理的动态异构冗余构造（Dynamic Heterogeneous Redundancy，DHR)，为应对⽹络空间中基于

未知漏洞、后门或病毒⽊马等的未知威胁，提供具有普适创新意义的防御理论和⽅法。

区块链

英⽂名为blockchain，它是⼀个共享数据库，存储于其中的数据或信息，具有“不可伪造”、“全程留痕”、“可以追溯”、“公开透明”、“集体维

护”等特征。

远程浏览器

鉴于浏览器往往成为⿊客攻击的⼊⼝，因此将浏览器部署在远程的⼀个“浏览器服务器池”中。

这样⼀来，这些浏览器所在的服务器跟⽤户所在环境中的终端和⽹络是隔离的，从⽽使得客户所在⽹络的暴露⾯⼤⼤降低。

这种服务也类似于虚拟桌⾯、云⼿机等产品。

云⼿机

云⼿机采⽤全新的VMI（Virtual Mobile Infrastructure虚拟移动设施，与PC云桌⾯类似）技术，为员⼯提供⼀个独⽴的移动设备安全虚拟⼿

机，业务应⽤和数据仅在服务端运⾏和存储，个⼈终端上仅做加密流媒体呈现和触控，从⽽有效保障企业数据的安全性。

风控

也称⼤数据风控，是指利⽤⼤数据分析的⽅法判断业务可能存在的安全风险，⽬前该技术主要⽤于⾦融信贷领域，防⽌坏账的发⽣。

渗透测试

为了证明⽹络防御按照预期计划正常运⾏⽽提供的⼀种机制，通常会邀请专业公司的攻击团队，按照⼀定的规则攻击既定⽬标，从⽽找出其

中存在的漏洞或者其他安全隐患，并出具测试报告和整改建议。

其⽬的在于不断提升系统的安全性。

安全众测

借助众多⽩帽⼦的⼒量，针对⽬标系统在规定时间内进⾏漏洞悬赏测试。

您在收到有效的漏洞后，按漏洞风险等级给予⽩帽⼦⼀定的奖励。通常情况下是按漏洞付费，性价⽐较⾼。

同时，不同⽩帽⼦的技能研究⽅向可能不同，在进⾏测试的时候更为全⾯。

内⽣安全

由奇安信集团董事长齐向东在2019北京⽹络安全⼤会上⾸次提出，指的是不断从信息化系统内⽣长出的安全能⼒，能伴随业务的增长⽽持续

提升，持续保证业务安全。

内⽣安全有三个特性，即依靠信息化系统与安全系统的聚合、业务数据与安全数据的聚合以及IT⼈才和安全⼈才的聚合，从信息化系统的内

部，不断长出⾃适应、⾃主和⾃成长的安全能⼒。

内⽣安全框架

为推动内⽣安全的落地，奇安信推出了内⽣安全框架。

该框架从顶层视⾓出发，⽀撑各⾏业的建设模式从“局部整改外挂式”，⾛向“深度融合体系化”；从⼯程实现的⾓度，将安全需求分步实施，逐

步建成⾯向未来的安全体系；内⽣安全框架能够输出实战化、体系化、常态化的安全能⼒，构建出动态防御、主动防御、纵深防御、精准防

护、整体防控、联防联控的⽹络安全防御体系。

内⽣安全框架包含了总结出了29个安全区域场景和 79类安全组件。

PPDR

英⽂全称为Policy Protection Detection Respon，翻译为策略、防护、检测和响应。

主要以安全策略为核⼼，通过⼀致性检查、流量统计、异常分析、模式匹配以及基于应⽤、⽬标、主机、⽹络的⼊侵检查等⽅法进⾏安全漏

洞检测。

CARTA

全称为Continuous Adaptive Risk and Trust Asssment，即持续⾃适应风险与信任评估旨在通过动态智能分析来评估⽤户⾏为，放弃追求

完美的安全，不能要求零风险，不要求100%信任，寻求⼀种0和1之间的风险与信任的平衡。

CARTA战略是⼀个庞⼤的体系，其包括⼤数据、AI、机器学*、⾃动化、⾏为分析、威胁检测、安全防护、安全评估等⽅⾯。

SASE

全称为Secure Access Service Edge，即安全访问服务边缘，Gartner将其定义为⼀种基于实体的⾝份、实时上下⽂、企业安全/合规策略，

以及在整个会话中持续评估风险/信任的服务。

实体的⾝份可与⼈员、⼈员组（分⽀办公室）、设备、应⽤、服务、物联⽹系统或边缘计算场地相关联。

SDL

全称为Security Development Lifecycle，翻译为安全开发⽣命周期，是⼀个帮助开发⼈员构建更安全的软件和解决安全合规要求的同时降低

开发成本的软件开发过程，最早由微软提出。

DevSecOps

全称为Development Security Operations，可翻译为安全开发与运维。

它强调在DevOps计划刚启动时就要邀请安全团队来确保信息的安全性，制定⾃动安全防护计划，并贯穿始终，实现持续 IT 防护。

代码审计

顾名思义就是检查源代码中的安全缺陷，检查程序源代码是否存在安全隐患，或者有编码不规范的地⽅，通过⾃动化⼯具或者⼈⼯审查的⽅

式，对程序源代码逐条进⾏检查和分析，发现这些源代码缺陷引发的安全漏洞，并提供代码修订措施和建议。

NTLM验证

NTLM(NT LAN Manager)是微软公司开发的⼀种⾝份验证机制，从NT4开始就⼀直使⽤，主要⽤于本地的帐号管理。

MTTD

平均检测时间。

MTTR

平均响应时间。

CVE

全称Common Vulnerabilities and Exposures，由于安全机构Mitre维护⼀个国际通⽤的漏洞唯⼀编号⽅案，已经被安全业界⼴泛接受的标

准。

软件加壳

“壳”是⼀段专门负责保护软件不被⾮法修改或反编译的程序。

它们⼀般都是先于程序运⾏，拿到控制权，然后完成它们保护软件的任务。

经过加壳的软件在跟踪时已⽆法看到其真实的⼗六进制代码，因此可以起到保护软件的⽬的。

CNVD

国家信息安全漏洞共享平台，由国家计算机应急响应中⼼CNCERT维护，主要负责统⼀收集、管理国内的漏洞信息，其发布的漏洞编号前

缀也为CNVD。

数据脱敏

数据脱敏是指对某些敏感信息通过脱敏规则进⾏数据的变形，实现敏感隐私数据的可靠保护，主要⽤于数据的共享和交易等涉及⼤范围数据

流动的场景。

GDPR

《通⽤数据保护条例》（General Data Protection Regulation，简称GDPR）为欧洲联盟的条例，前⾝是欧盟在1995年制定的《计算机数据

保护法》。

CCPA

美国加利福尼亚州消费者隐私保护法案。

SRC

即Security Respon Center，中⽂名为安全应急响应中⼼，主要职责为挖掘并公开收集机构存在的漏洞和其他安全隐患。

CISO

有时也被叫做CSO，即⾸席信息安全官，为机构的主要安全负责⼈。

IPC管道

为了更好地控制和处理不同进程之间的通信和数据交换，系统会通过⼀个特殊的连接管道来调度整个进程。

SYN包

TCP连接的第⼀个包，⾮常⼩的⼀种数据包。SYN攻击包括⼤量此类的包，由于这些包看上去来⾃实际不存在的站点，因此⽆法有效进⾏处

理。

IPC$

是共享“命名管道”的资源，它是为了让进程间通信⽽开放的命名管道，可以通过验证⽤户名和密码获得相应的权限，在远程管理计算机和查

看计算机的共享资源时使⽤。

shell

指的是⼀种命令指⾏环境，是系统与⽤户的交换⽅式界⾯。简单来说，就是系统与⽤户“沟通”的环境。

我们平时常⽤到的DOS，就是⼀个shell。（Windows2000是）

ARP

地址解析协议(Address Resolution Protocol)此协议将⽹络地址映射到硬件地址。