安全相关术语

常见网络信息安全术语分类

该分类参考软考《信息安全工程师教程》(第2版)中的分类方式,将术语分为以下5类:

1.基础技术类

2.风险评估技术类

3.防护技术类

4.检测技术类

5.响应/恢复技术类

网络流量采集

  • 对于光纤链路,可以使用分光器来获得一份数据的拷贝;
  • 对于电缆线路,则需要一个叫TAP流量复制器的设备来完成数据的复制。

ref: https://blog.csdn.net/badseeds2000/article/details/105257993/

其它术语

常见于售前、产品中的一些概念和术语。

MDZ

1.定义

英文全名“Demilitarized Zone”,中文含义是“隔离区”,也称为“非军事区”。在安全领域的具体含义是“内外网防火墙之间的区域”。

2.作用

DMZ区是一个缓冲区,在DMZ区存放着一些公共服务器,比如Web、E-mail等放DMZ区等。

用户要从外网访问到的服务,理论上都可以放到DMZ区。

内网可以单向访问DMZ区、外网也可以单向访问DMZ区。

ref: https://www.jianshu.com/p/8580587c3201

溯源

指在法律允许的范围内精准采集攻击者的设备指纹、社交信息、位置信息,分析并形成攻击者的画像,在攻击者使用浏览器访问仿真溯源蜜罐时,对攻击者进行追踪溯源,打击网络犯罪,保护资产安全

Cyber Range

网络靶场,了解更多信息可搜关键词 美国国家网络靶场NCR(National Cyber Range)

PKI

Public Key Infrastructure,公钥基础设施,是一个包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。

UTM

Unified Threat Management, 统一威胁管理

SIEM

Security Information Event Management,安全信息与事件管理

SOC

Security Operations Center,安全运营中心

SRC

Security Response Center,安全应急响应中心

RASP

Runtime application self-protection,运行时应用自我保护

SDL

Security Development Lifecycle,安全开发生命周期

DLP

Data Leakage Prevention,数据泄露防护

数据防泄漏(DLP)产品做为APT攻击的最后一道防线可以有效防止用户数据资产的泄漏,但是纯粹的DLP解决方案存在敏感信息不易定义的问题,引起较高的误报率和较低的检出率,只能够被动的对数据进行监控和保护,无法做到主动防御。而且DLP对一般人员效果显著,但是对于别有用心的人员防护能力略显不足。

UEBA

User And Entity Behavior Analytics,用户实体行为分析

UEBA更多的是关注人异常行为,行为主体通常是企业内部的员工。

UEBA技术基于海量数据对内部用户的异常行为或内部威胁进行预测,直接以“人”的视角给出判定,抓住“坏人”、主动出击,在数据泄漏之前进行阻止,并为安全分析人员提供可靠的依据。

UEBA和DLP联动,可以提高检测的效率和精确度,减少误报。

UEBA的强项是主动防御,如:对别有人用心的人进行防御。

如果UEBA能与DLP技术相结合,则能实现更精准的异常行为定位。

SOAR

Security Orchestration, Automation and Response,安全编排自动化响应。

TOA

TCP Option Address,TCP 协议下,为了将客户端 IP 传给服务器,会将客户端的 IP,port 在转发时放入了自定义的 tcp option 字段。

TOA模块经常用于辅助溯源,部分Linux内核原生不支持的,需要自行安装。

更多信息看这里

AST

在计算机科学中,抽象语法树(Abstract Syntax Tree,AST),或简称语法树(Syntax tree),是源代码语法结构的一种抽象表示。它以树状的形式表现编程语言的语法结构,树上的每个节点都表示源代码中的一种结构。

IR

IR在编译领域,是Intermediate Representation (中间表示) 的缩写。

Passive DNS

被动DNS,与DNS查询的方式相反,被动DNS属于反向获取或查询DNS数据信息。详见这里

IDS

IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。

一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。

IPS

入侵防御系统(IPS: Intrusion Prevention System)是电脑网络安全设施,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter, Application Gateway)的解释。

入侵防御系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

IDS和IPS的区别

IDS(入侵检测系统)旁路部署
IPS(入侵防御系统)串行部署

IDS只是存在于网络之外起到报警的作用,而不在你的网络前面起到防御的作用。
IPS是位于防火墙和网络的设备之间的设备。如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。

ref: https://zhuanlan.zhihu.com/p/96942352

IDPS

Intrusion Detection and Prevention Systems,入侵检测与防御系统

安全域

安全域存在的原因和目的是将一组安全等级相同的划入同一个安全域,最小权限开放对其他安全域的NACL(网络访问控制策略),使得安全域内这组暴露的风险最小化,在发生攻击或蠕虫等侵害时能将威胁最大化地隔离,减小域外事件对域内系统的影响,也是纵深防御架构最重要的单位体

DMZ

全称Demilitarized Zone,中文为“非军事区”,或称Perimeter network,即“边界网络”、周边网络或“对外网络”,为一种网络架构的布置方案。

常用的架设方案是在不信任的外部网络可信任的内部网络外,创建一个面向外部网络的物理或逻辑子网,该子网能设置用于对外部网络的服务器主机。

DMZ区的特点

  1. 提供服务给外界访问
  2. 路由器不包含任何机密资料

网络空间测绘

网络空间测绘是2016年出现的一个概念,主要指用一些技术方法,来探测全球互联网空间上的节点分布情况和网络关系索引,构建全球互联网图谱的一种方法。

拓展阅读:https://www.anquanke.com/post/id/231011