欢迎各位彦祖与热巴畅游本人专栏与博客

你的三连是我最大的动力

以下图片仅代表专栏特色 [点击箭头指向的专栏名即可闪现]

专栏跑道一

➡️网络空间安全——全栈前沿技术持续深入学习

专栏跑道二

➡️ 24 Network Security -LJS

专栏跑道三

➡️ MYSQL REDIS Advance operation

专栏跑道四

➡️HCIP；H3C-SE;CCIP——LJS[华为、华三、思科高级网络]

专栏跑道五

➡️RHCE-LJS[Linux高端骚操作实战篇]

专栏跑道六

➡️数据结构与算法[考研+实际工作应用+C程序设计]

专栏跑道七

➡️RHCSA-LJS[Linux初级及进阶骚技能]

上节回顾

编辑

151. 黑名单

• 顾名思义，黑名单即不好的名单，凡是在黑名单上的软件、IP 地址等，都被认
  为是非法的。

152. 白名单

• 与黑名单对应，白名单即“好人”的名单，凡是在白名单上的软件、IP 等，都
  被认为是合法的，可以在计算机上运行。

153. 边界防御

• 以网络边界为核心的防御模型，以静态规则匹配为基础，强调把所有的安全威胁
  都挡在外网。

154. 南北向流量

• 通常指数据中心内外部通信所产生的的流量。

155. 东西向流量

• 通常指数据中心内部不同主机之间互相通信所产生的的流量。

156. 规则库

• 网络安全的核心数据库，类似于黑白名单，用于存储大量安全规则，一旦访问行
  为和规则库完成匹配，则被认为是非法行为。
• 所以有人也将规则库比喻为网络空间的法律。

157. 下一代

• 网络安全领域经常用到，用于表示产品或者技术有较大幅度的创新，在能力上相
• 对于传统方法有明显的进步，通常缩写为 NG（Next Gen）。
• 例如 NGFW（下一代防火墙）、NGSOC（下一代安全管理平台）等。

158. 大数据安全分析

• 区别于传统被动规则匹配的防御模式，以主动收集和分析大数据的方法，找出其
  中可能存在的安全威胁，因此也称数据驱动安全。

159. EPP

• 全称为 Endpoint Protection Platform，翻译为端点保护平台，部署在终端设备上的
  安全防护解决方案,用于防止针对终端的恶意软件、恶意脚本等安全威胁，通常
  与 EDR 进行联动。

160. EDR

• 全称 Endpoint Detection & Response，即端点检测与响应，通过对端点进行持续
  检测，同时通过应用程序对操作系统调用等异常行为分析，检测和防护未知威胁，
  最终达到杀毒软件无法解决未知威胁的目的。

编辑

161. NDR

• 全称 Network Detection & Response，即网络检测与响应，通过对网络侧流量的持
  续检测和分析，帮助企业增强威胁响应能力，提高网络安全的可见性和威胁免疫
  力。

162. 安全可视化

• 指在网络安全领域中的呈现技术，将网络安全加固、检测、防御、响应等过程中
  的数据和结果转换成图形界面，并通过人机交互的方式进行搜索、加工、汇总等
  操作的理论、方法和技术。

163. NTA

• 网络流量分析（NTA）的概念是 Gartner 于 2013 年首次提出的，位列五种检测高
  级威胁的手段之一。
• 它融合了传统的基于规则的检测技术，以及机器学习和其他高级分析技术，用以
  检测企业网络中的可疑行为，尤其是失陷后的痕迹。

164. MDR

• 全称 Managed Detection & Response，即托管检测与响应，依靠基于网络和主机
  的检测工具来识别恶意模式。
• 此外，这些工具通常还会从防火墙之内的终端收集数据，以便更全面地监控网络
  活动。

165. 应急响应

• 通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后
  所采取的措施。

166. XDR

• 通常指以检测和响应技术为核心的网络安全策略的统称，包括 EDR、NDR、MDR
  等。

167. 安全运营

• 贯穿产品研发、业务运行、漏洞修复、防护与检测、应急响应等一系列环节，实
  行系统的管理方法和流程，将各个环节的安全防控作用有机结合，保障整个业务
  的安全性。

168. 威胁情报

• 根据 Gartner 的定义，威胁情报是某种基于证据的知识，包括上下文、机制、标
  示、含义和能够执行的建议，这些知识与资产所面临已有的或酝酿中的威胁或危
  害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。
• 根据使用对象的不同，威胁情报主要分为人读情报和机读情报。

169. TTP

• 主要包括三要素，战术 Tactics、技术 Techniques 和过程 Procedures，是描述高级
  威胁组织及其攻击的重要指标，作为威胁情报的一种重要组成部分，TTP 可为安
  全分析人员提供决策支撑。

170. IOC

• 中文名为失陷标示：用以发现内部被 APT 团伙、木马后门、僵尸网络控制的失
  陷主机，类型上往往是域名、URL 等。
  
• 目前而言，IOC 是应用最为广泛的威胁情报，因为其效果最为直接。一经匹配，
  则意味着存在已经失陷的主机。
  

编辑

171. 上下文

• 从文章的上下文引申而来，主要是指某项威胁指标的关联信息，用于实现更加精
  准的安全匹配和检测。

172. STIX

• STIX 是一种描述网络威胁信息的结构化语言，能够以标准化和结构化的方式获
  取更广泛的网络威胁信息，常用于威胁情报的共享与交换，目前在全球范围内使
  用最为广泛。
• STIX 在定义了 8 中构件的 1.0 版本基础上，已经推出了定义了 12 中构件的 2.0
  版本。

173. 杀伤链

• 杀伤链最早来源于军事领域，用于描述进攻一方各个阶段的状态。
• 在网络安全领域，这一概念最早由洛克希德-马丁公司提出，英文名称为 Kill
  Chain，也称作网络攻击生命周期：
• 包括侦查追踪、武器构建、载荷投递、漏洞利用、安装植入、命令控制、目标达成等七个阶段，来识别和防止入侵。

174. ATT&CK

• 可以简单理解为描述攻击者技战术的知识库。MITRE 在 2013 年推出了该模型，它是根据真实的观察数据来描述和分类对抗行为。
• ATT&CK 将已知攻击者行为转换为结构化列表，将这些已知的行为汇总成
  战术和技术，并通过几个矩阵以及结构化威胁信息表达式（STIX）、指标信息
  的可信自动化交换（TAXII）来表示。

175. 钻石模型

• 钻石模型在各个领域的应用都十分广泛，在网络安全领域，钻石模型首次建立了
  一种将科学原理应用于入侵分析的正式方法：
  可衡量、可测试和可重复——提供了一个对攻击活动进行记录、(信息)合成、关联的简单、正式和全面的方法。
• 这种科学的方法和简单性可以改善分析的效率、效能和准确性。

176. 关联分析

• 又称关联挖掘，就是在交易数据、关系数据或其他信息载体中，查找存在于项目
  集合或对象集合之间的频繁模式、关联、相关性或因果结构。
• 在网络安全领域主要是指将不同维度、类型的安全数据进行关联挖掘，找出其中
  潜在的入侵行为。

177. 态势感知

• 是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础
• 从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，
  最终是为了决策与行动，是安全能力的落地。

178. 探针

• 也叫作网络安全探针或者安全探针，可以简单理解为赛博世界的摄像头，部署在
  网络拓扑的关键节点上
• 用于收集和分析流量和日志，发现异常行为，并对可能到来的攻击发出预警。

179. 网络空间测绘

• 用搜索引擎技术来提供交互，让人们可以方便的搜索到网络空间上的设备。
• 相对于现实中使用的地图，用各种测绘方法描述和标注地理位置，用主动或被动
  探测的方法，来绘制网络空间上设备的网络节点和网络连接关系图，及各设备的
  画像。

180. SOAR

• 全称 Security Orchestration, Automation and Response，意即安全编排自动化与响
  应，主要通过剧本化、流程化的指令，对入侵行为采取的一系列自动化或者半自
  动化响应处置动作。