當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

[免费专栏] 车联网基础理论之车联网安全常见术语科普

發布時間：2023/12/20 编程问答 27 豆豆

生活随笔收集整理的這篇文章主要介紹了 [免费专栏] 车联网基础理论之车联网安全常见术语科普小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

也許每個人出生的時候都以為這世界都是為他一個人而存在的，當他發現自己錯的時候，他便開始長大

少走了彎路，也就錯過了風景，無論如何，感謝經歷

基礎理論專欄長期更新，本篇最新內容請前往：

[車聯網安全自學篇] 車聯網基礎理論之車聯網安全常見術語科普

0x01 車端

?????車聯網（IoV，Internet of Vehicle）是移動互聯網和物聯網相融合的技術，它囊括了所有通過后裝或者原廠配置無線通信模塊而具有無線網絡連接能力的新老車型，它涉及的技術有通信、環保、節能及安全等。

?????CAN（Controller Area Network）是控制器局域網的英文縮寫，CAN的誕生只是為了實現更大范圍的協同功能和全局控制。

?????高速CAN總線（High Speed CAN，CAN-C）：CAN-C的標準是ISO11898-2，速率是 125bit/s 到 1Mbit/s，因此這個速率可以滿足驅動系統的實時性數據傳輸要求。CAN-C經常被用于連接以下子系統：

· 發動機控制單元

· 變速器控制單元

· 車身穩定控制

· 儀表系統

?????低速CAN總線（Low Speed CAN，CAN-B）：CAN-B的標準是ISO11898-3，速率是 5～125kbit/s，對汽車舒適系統和車身控制系統（如天窗、車門等）的一些應用來說這個速率是足夠的，CAN-B應用的例子如下：

· 空調系統（AC）

· 座椅調節

· 電動車窗

· 天窗控制

· 后視鏡調節

· 燈光系統

· 導航系統控制

網絡拓撲：網絡拓撲結構是指用傳輸媒體（例如雙絞線、光纖、無線鏈路等）互連各種設備的物理布局，就是用什么方式把網絡中的計算機等設備連接起來。拓撲圖給出網絡服務器、工作站的網絡配置和相互間的連接，它的結構主要有星形結構、環形結構、總線結構、分布式結構、樹形結構、網狀結構等
總線（BUS）：總線是計算機各種功能部件之間傳送信息的公共通信干線，它是由導線組成的傳輸線束。
網絡協議（Network Protocols）：網絡協議是為計算機網絡中進行數據交換而建立的規則、標準或約定的集合。
網關（Gateway）：又稱網間連接器、協議轉換器。網關在網絡層以上實現網絡互連，是最復雜的網絡互連設備，僅用于兩個高層協議不同的網絡互連。網關既可以用于廣域網互連，也可以用于局域網互連。網關是一種充當轉換重任的計算機系統或設備，使用在不同的通信協議、數據格式、語言，甚至體系結構完全不同的兩種系統之間，網關是一個翻譯器。與網橋只是簡單地傳達信息不同，網關對收到的信息要重新打包，以適應目的系統的需求。
V2V：車與車通信
V2R（Vehicle to Road）：車與路通信
V2H（Vehicle to Human）：車與人通信
V2S（Vehicle to Sensor）：車與傳感器通信
V2I（Vehicle to Infrastructure）：車與基礎設施如道路、服務器等通信
V2P（Vehicle to Pedestrian）：汽車與行人通信
V2X（Vehicle to X）：表示車與X通信，X可以是車（Vehicle）、路（Road）或者其他相關基礎設施
UDS（Unified Diagnostic Services）：統一診斷服務

碰撞預警

?????汽車發生碰撞的幾種類型都可以在發生碰撞之前通過V2V通信避免，例如當前車要變化車道時，后面車輛的駕駛員除了前車的轉彎燈信號外可能還會收到前車通過V2V通信發出的轉向警告信號。在這種情況下，如果后面車輛的駕駛員沒有注意到前車的轉向燈或者前車駕駛員忘記打開轉向燈，后面車輛的駕駛員同樣可以得到聲音或者指示燈的提示。另一方面，如果要變道的車輛的盲點位置（位于車輛側后方后視鏡看不到的地方）有車而駕駛員沒有看到，那么在駕駛員試圖轉向變道時也會收到提醒。

1.0 左傳輔助

?????左轉輔助（LTA，Left Turn Assist）：LTA在車輛左轉彎且可能發生碰撞時會提醒駕駛員。

1.1 緊急剎車提示

?????緊急剎車提示（Emergency Electronic Brake Light）：當前方的某一輛配備了V2X功能的汽車急剎時，后車會收到提示，這在大霧、大雨天氣或者前面有車輛阻擋視線時非常有用。如果沒有急剎提示，當后車駕駛員注意到前車的急剎時可能已經來不及減速了。

?????闖紅燈警告（Red Light Violation Warning）：這個功能會在車輛駛向交通信號燈時根據車輛速度等信息判斷是否可能闖紅燈，進而提醒駕駛員。

1.2 過彎速度警告

?????過彎速度警告（Curve Speed Warning）：若汽車以當前速度通過前方彎曲的道路可能發生危險，那么這個功能就會提醒駕駛員減速。

1.3 施工路段提醒

?????施工路段提醒（Reduced Speed Zone Warning）：這個功能會提醒駕駛員減速、變道或者準備停車。

1.4 實時天氣信息提醒

?????實時天氣信息提醒：這個功能會通過 V2I 下載實時天氣信息和位置，必要時向駕駛員發出告警。

在線診斷系統（OBD）：指車輛提供的自診斷和故障報告功能，車主或維修人員可以通過OBD協議獲取汽車的各個子系統的工作狀態對汽車進行診斷。
OBD 五種協議：SAE J1850 PWM、SAE J1850 VPW、ISO 9141-2、ISO 14230 KWP2000和ISO 15765 CAN（最常用的）

1.5 汽車總線協議介紹

?????汽車內網采用了多種協議，例如FlexRay、MOST、CAN、LIN等，這些協議的速率和成本不同，因此有各自的應用場景，如圖6-1所示。例如，MOST常用于多媒體系統中高速傳輸數據，FlexRay用于實時性要求較高的X-By-Wire，CAN常用于連接控制器，LIN則用于門窗開關等。

ISO-TP：雖然CAN協議標準里規定了數據最長為8個字節，但是有標準的基于CAN的上層協議用于發送大于8個字節的數據，比如ISO-TP或者ISO15765-2，根據這個標準可以通過CAN總線發送任意長度的數據。ISO15765-2協議定義車載診斷系統網絡層要求，基于CAN數據鏈路層（由ISO11898標準定義）運行。雖說它最初的設計是用在診斷系統上的，但它同樣適用于其他需要網絡層協議的CAN通信系統上。
CANopen

CANopen 是一種架構在控制局域網絡上的高層通信協議，CANopen將11位消息ID分為4位功能碼和7位節點ID。7位元的節點ID共有128種不同的組合，其中ID0不使用，因此一個CANopen網絡上最多允許127臺設備。CAN消息在CAN2.0B規格中允許29位的ID，因此若配合CAN2.0B使用，CANopen網絡上可以超過127臺設備，不過在實際運用中，大多數CANopen網絡上的設備數量均低于此數值。

COB-ID：CANopen將CAN消息的11位ID稱為通信對象ID
心跳協議（Heartbeat Protocol）：用來監控網絡中的節點及確認其正常工作。
UDS：統一診斷服務

1.6 CAN 逆向分析工具

1．VehicleSpy

?????VehicleSpy是美國英特佩斯控制系統有限公司的產品，是一款集成了診斷、節點/ECU仿真、數據獲取、自動測試和車內通信網絡監控等功能的工具，支持標準的CAN數據庫（即．dbc 文件），與配套的接口適配器硬件結合還可以支持 CAN 以外的其他協議，如FlexRay、LIN、汽車以太網等。

?????它支持的硬件有很多，分析CAN協議使用ValueCAN就可以。能同時查看、篩選、分類、定制和記錄多種總線網絡的信號和消息。它的自動消息高亮顯示能準確清晰地指示車輛總線上正在變化的數據，這在對CAN進行逆向分析時非常方便。消息編輯界面能讓用戶方便地設定汽車網絡通信的發送或接收消息和信號。VehicleSpy還有非常強大的圖形化數據分析功能，包括復合Y軸、復合X軸、數據文件重疊、圖表、復制到剪貼板、多種指針儀表等

?????VehicleSpy還支持腳本編程，功能非常強大，具體可以查看其用戶手冊。更多關于VehicleSpy的資料可以參考：intrepidcs．comhttp://www．hongkeqiche．com/index．php/bussoftware/vehicle-spy3compare/

2．BusMaster

?????BusMaster是一款開源的免費軟件，支持多家廠商的硬件，例如Kavaser、Vector等廠家的硬件。圖6-13所示為BusMaster支持的硬件。

?????BusMaster支持CAN數據的重放、記錄、圖形化顯示、模擬，以及加載CAN數據庫（但不是標準的DBC文件而是后綴名為．dbf的文件）等，功能非常強大。由于它是免費的，所以非常適合入門學習。Kavaser Leaf Light與BusMaster一起使用非常穩定

3．SocketCAN

?????SocketCAN是大眾公司向Linux內核貢獻的CAN驅動及協議棧實現，支持虛擬CAN設備、內置CAN芯片、USB或者串口CAN接口設備。

?????傳統的Linux CAN驅動程序采用的是字符設備模型，通常情況下只支持單個進程發送或者接收CAN數據。SocketCAN采用的是網絡設備模型

4．CANToolz

?????CANToolz又叫YACHT（Yet Another Car Hacking Tool），是一個分析CAN和設備的框架。該工具基于不同的模塊組裝在一起，可以被安全研究人員和汽車業/OEM的安全測試人員用來進行黑盒分析等，可以使用 CANToolz 發現電子控制單元（ECU）、中間人攻擊測試、模糊測試、暴力破解、掃描或R＆D測試和驗證。

1.7 LIN 總線

LIN：支持單線雙向通信，采用廉價的由RC振蕩器驅動的單片機，但在時間和軟件上卻要付出代價，每條報文必須經過一個自動確定波特率的過程。
位錯誤：正在發送的節點應該對希望發送的數據與總線上實際出現的數據進行比較，控制器必須等待足夠時間以確保總線對發出的數據做出反應，然后才可以測試這一數據。假定總線響應信號的最小邊沿變化速率為1V/μs，最大總線電壓為18V，那么發送器應等待18μs后才可進行測試。

1.8 MOST總線

MOST：媒體導向系統傳輸（MOST，Media Oriented Systems Transport）是一種用于汽車的高速多媒體網絡技術，可以用于汽車及其他領域。串行MOST總線采用環形拓撲，同步數據傳輸機制，采用光纖傳輸音頻、視頻等

1.9 FlexRay 高速總線

FlexRay：FlexRay是高速總線，在汽車上主要用于開環或閉環控制系統，主要特點是可靠性高、容錯性好、實時性好。主要用于對可靠性和實時性要求比較高的應用場景，如電控轉向、電控剎車、電控驅動等系統、電控油門，以及其他主動安全系統。這些系統可能沒有機械備用系統，也就是說，如果電子系統故障將無法補救，所以對可靠性要求較高，并且X-By-Wire是一種趨勢
FlexRay節點由主控制器（Host）、通信控制器（Communication Controller）和總線驅動器組成，每個節點還可能包括總線保護器（BUS Guardian）用于監控總線驅動器。

0x02 云端

2.1 POC、EXP、Payload與Shellcode

POC：全稱 ' Proof of Concept '，中文 ' 概念驗證 ' ，常指一段漏洞證明的代碼。EXP：全稱 ' Exploit '，中文 ' 利用 '，指利用系統漏洞進行攻擊的動作。Payload：中文 ' 有效載荷 '，指成功exploit之后，真正在目標系統執行的代碼或指令。Shellcode：簡單翻譯 ' shell代碼 '，是Payload的一種，由于其建立正向/反向shell而得名。名。

2.1.1 注意事項

POC是用來證明漏洞存在的，EXP是用來利用漏洞的，兩者通常不是一類，或者說，PoC通常是無害的，Exp通常是有害的，有了POC，才有EXP。Payload有很多種，它可以是Shellcode，也可以直接是一段系統命令。同一個Payload可以用于多個漏洞，但每個漏洞都有其自己的EXP，也就是說不存在通用的EXP。Shellcode也有很多種，包括正向的，反向的，甚至meterpreter。Shellcode與Shellshcok不是一個，Shellshock特指14年發現的Shellshock漏洞。

2.1.2 Payload模塊

在Metasploit Framework 6大模塊中有一個Payload模塊，在該模塊下有Single、Stager、Stages這三種類型，Single是一個all-in-one的Payload，不依賴其他的文件，所以它的體積會比較大，Stager主要用于當目標計算機的內存有限時，可以先傳輸一個較小的Stager用于建立連接，Stages指利用Stager建立的連接下載后續的Payload。Stager和Stages都有多種類型，適用于不同場景。

2.2 暗xx

網上自己去搜索吧（很好理解的）暗x是利用加密傳輸、P2P對等網絡、多點中繼混淆等，為用戶提供匿ming的互聯網信息訪問的一類技術手段，其最突出的特點就是匿m性。

2.3 肉肌

所謂“肉肌”是一種很形象的比喻，比喻那些可以被攻擊者控制的電腦、手機、服務器或者其他攝像頭、路由器等智能設備，用于發動網絡攻擊。例如在2016年美國東海岸斷網事件中，黑客組織控制了大量的聯網攝像頭用于發動網絡攻擊，這些攝像頭則可被稱為“肉肌”。

2.4 僵尸網絡

僵尸網絡 Botnet 是指采用一種或多種傳播手段，將大量主機感染病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。僵尸網絡是一個非常形象的比喻，眾多的計算機在不知不覺中如同中國古老傳說中的僵尸群一樣被人驅趕和指揮著，成為被攻擊者執行各類惡意活動（DDOS、垃圾郵件等）利用的一種基礎設施。

2.5 木馬

就是那些表面上偽裝成了正常的程序，但是當這些程序運行時，就會獲取系統的整個控制權限。有很多黑客就是熱衷使用木馬程序來控制別人的電腦，比如灰鴿子、Gh0st、PcShare等等。

2.6 網頁木馬

表面上偽裝成普通的網頁或是將惡意代碼直接插入到正常的網頁文件中，當有人訪問時，網頁木馬就會利用對方系統或者瀏覽器的漏洞自動將配置好的木馬服務端植入到訪問者的電腦上來自動執行將受影響的客戶電腦變成肉雞或納入僵尸網絡。

2.7 Rootkit

Rootkit是攻擊者用來隱藏自己的行蹤和保留root（根權限，可以理解成WINDOWS下的system或者管理員權限）訪問權限的工具。通常，攻擊者通過遠程攻擊的方式獲得root訪問權限，或者是先使用密碼猜解（破解）的方式獲得對系統的普通訪問權限，進入系統后，再通過對方系統存在的安全漏洞獲得系統的root或system權限。然后，攻擊者就會在對方的系統中安裝Rootkit，以達到自己長久控制對方的目的，Rootkit功能上與木馬和后門很類似，但遠比它們要隱蔽。

2.8 蠕蟲病毒

它是一類相對獨立的惡意代碼，利用了聯網系統的開放性特點，通過可遠程利用的漏洞自主地進行傳播，受到控制終端會變成攻擊的發起方，嘗試感染更多的系統。蠕蟲病毒的主要特性有：自我復制能力、很強的傳播性、潛伏性、特定的觸發性、很大的破壞性。

2.9 震網病毒

又名Stuxnet病毒，是第一個專門定向攻擊真實世界中基礎（能源）設施的“蠕蟲”病毒，比如核電站，水壩，國家電網。作為世界上首個網絡“超級破壞性武器”，Stuxnet的計算機病毒已經感染了全球超過 45000個網絡，其目標伊朗的鈾濃縮設備遭到的攻擊最為嚴重。

2.10 勒索病毒

主要以郵件、程序木馬、網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大，一旦感染將給用戶帶來無法估量的損失。這種病毒利用各種加密算法對文件進行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。

2.11 挖礦木馬

一種將PC、移動設備甚至服務器變為礦機的木馬，通常由挖礦團伙植入，用于挖掘比特幣從而賺取利益。

2.12 攻擊載荷

攻擊載荷（Payload）是系統被攻陷后執行的多階段惡意代碼。通常攻擊載荷附加于漏洞攻擊模塊之上，隨漏洞攻擊一起分發，并可能通過網絡獲取更多的組件。

2.13 嗅探器（Sniffer）

就是能夠捕獲網絡報文的設備或程序。嗅探器的正當用處在于分析網絡的流量，以便找出所關心的網絡中潛在的問題。

2.14 惡意軟件

被設計來達到非授權控制計算機或竊取計算機數據等多種惡意行為的程序。

2.15 間諜軟件

一種能夠在用戶不知情的情況下，在其電腦、手機上安裝后門，具備收集用戶信息、監聽、偷拍等功能的軟件。

2.16 后門

這是一種形象的比喻，入侵者在利用某些方法成功的控制了目標主機后，可以在對方的系統中植入特定的程序，或者是修改某些設置，用于訪問、查看或者控制這臺主機。這些改動表面上是很難被察覺的，就好象是入侵者偷偷的配了一把主人房間的鑰匙，或者在不起眼處修了一條按到，可以方便自身隨意進出。通常大多數木馬程序都可以被入侵者用于創建后門（BackDoor）。

2.17 弱口令

指那些強度不夠，容易被猜解的，類似123，abc這樣的口令（密碼）。

2.18 漏洞

漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。奇安信集團董事長齊向東在《漏洞》一書中指出，軟件的缺陷是漏洞的一個主要來源，缺陷是天生的，漏洞是不可避免的。

2.19 遠程命令執行漏洞

由于系統設計實現上存在的漏洞，攻擊者可能通過發送特定的請求或數據導致在受影響的系統上執行攻擊者指定的任意命令。

2.20 0day漏洞

0day漏洞最早的破解是專門針對軟件的，叫做WAREZ，后來才發展到游戲，音樂，影視等其他內容的。0day中的0表示Zero，早期的0day表示在軟件發行后的24小時內就出現破解版本。在網絡攻防的語境下，0day漏洞指那些已經被攻擊者發現掌握并開始利用，但還沒有被包括受影響軟件廠商在內的公眾所知的漏洞，這類漏洞對攻擊者來說有完全的信息優勢，由于沒有漏洞的對應的補丁或臨時解決方案，防守方不知道如何防御，攻擊者可以達成最大可能的威脅。

2.21 1day漏洞

指漏洞信息已公開但仍未發布補丁的漏洞。此類漏洞的危害仍然較高，但往往官方會公布部分緩解措施，如關閉部分端口或者服務等。

2.22 Nday漏洞

指已經發布官方補丁的漏洞。通常情況下，此類漏洞的防護只需更新補丁即可，但由于多種原因，導致往往存在大量設備漏洞補丁更新不及時，且漏洞利用方式已經在互聯網公開，往往此類漏洞是黑客最常使用的漏洞。例如，在永恒之藍事件中，微軟事先已經發布補丁，但仍有大量用戶中招。

2.23 掛馬

就是在別人的網站文件里面放入網頁木馬或者是將代碼潛入到對方正常的網頁文件里，以使瀏覽者中馬。

2.24 挖洞

指漏洞挖掘。

2.25 加殼

就是利用特殊的算法，將EXE可執行程序或者DLL動態連接庫文件的編碼進行改變（比如實現壓縮、加密），以達到縮小文件體積或者加密程序編碼，甚至是躲過殺毒軟件查殺的目的。目前較常用的殼有UPX，ASPack、PePack、PECompact、UPack、免疫007、木馬彩衣等等。

2.26 溢出

簡單的解釋就是程序對輸入數據沒有執行有效的邊界檢測而導致錯誤，后果可能是造成程序崩潰或者是執行攻擊者的命令。

2.27 緩沖區溢出

攻擊者向一個地址區輸入這個區間存儲不下的大量字符。在某些情況下，這些多余的字符可以作為“執行代碼”來運行，因此足以使攻擊者不受安全措施限制而獲得計算機的控制權。

2.28 注入

Web安全頭號大敵。攻擊者把一些包含攻擊代碼當做命令或者查詢語句發送給解釋器，這些惡意數據可以欺騙解釋器，從而執行計劃外的命令或者未授權訪問數據。注入攻擊漏洞往往是應用程序缺少對輸入進行安全性檢查所引起的。注入漏洞通常能在SQL查詢、LDAP查詢、OS命令、程序參數等中出現。

2.28.1 SQL注入

注入攻擊最常見的形式，主要是指Web應用程序對用戶輸入數據的合法性沒有判斷或過濾不嚴，攻擊者可以在Web應用程序中事先定義好的查詢語句的結尾上添加額外的SQL語句，在管理員不知情的情況下實現非法操作，以此來實現欺騙數據庫服務器執行非授權的任意查詢或其他操作，導致數據庫信息泄露或非授權操作數據表。

2.28.2注入點

即可以實行注入的地方，通常是一個涉及訪問數據庫的應用鏈接。根據注入點數據庫的運行帳號的權限的不同，你所得到的權限也不同。

2.29 軟件脫殼

顧名思義，就是利用相應的工具，把在軟件“外面”起保護作用的“殼”程序去除，還文件本來面目，這樣再修改文件內容或進行分析檢測就容易多了。

2.30 免殺

就是通過加殼、加密、修改特征碼、加花指令等等技術來修改程序，使其逃過殺毒軟件的查殺。

2.31 暴力破解

簡稱“爆破”。黑客對系統中賬號的每一個可能的密碼進行高度密集的自動搜索，從而破壞安全并獲得對計算機的訪問權限。

2.32 洪水攻擊

是黑客比較常用的一種攻擊技術，特點是實施簡單，威力巨大，大多是無視防御的。從定義上說，攻擊者對網絡資源發送過量數據時就發生了洪水攻擊，這個網絡資源可以是router，switch，host，application等。洪水攻擊將攻擊流量比作成洪水，只要攻擊流量足夠大，就可以將防御手段打穿。DDoS攻擊便是洪水攻擊的一種。

2.33 SYN攻擊

利用操作系統TCP協調設計上的問題執行的拒絕服務攻擊，涉及TCP建立連接時三次握手的設計。

2.34 DoS攻擊

拒絕服務攻擊。攻擊者通過利用漏洞或發送大量的請求導致攻擊對象無法訪問網絡或者網站無法被訪問。

2.35 DDoS

分布式DOS攻擊，常見的UDP、SYN、反射放大攻擊等等，就是通過許多臺肉雞一起向你發送一些網絡請求信息，導致你的網絡堵塞而不能正常上網。

2.1.36 抓雞

即設法控制電腦，將其淪為肉雞。

2.37 端口掃描

端口掃描是指發送一組端口掃描消息，通過它了解到從哪里可探尋到攻擊弱點，并了解其提供的計算機網絡服務類型，試圖以此侵入某臺計算機。

2.38 花指令

通過加入不影響程序功能的多余匯編指令，使得殺毒軟件不能正常的判斷病毒文件的構造。說通俗點就是“殺毒軟件是從頭到腳按順序來識別病毒。如果我們把病毒的頭和腳顛倒位置，殺毒軟件就找不到病毒了”。

2.39 反彈端口

有人發現，防火墻對于連入的連接往往會進行非常嚴格的過濾，但是對于連出的連接卻疏于防范。于是，利用這一特性，反彈端口型軟件的服務端(被控制端)會主動連接客戶端(控制端)，就給人“被控制端主動連接控制端的假象，讓人麻痹大意。

2.40 網絡釣魚

攻擊者利用欺騙性的電子郵件或偽造的Web 站點等來進行網絡詐騙活動。詐騙者通常會將自己偽裝成網絡銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息或郵件賬號口令。受騙者往往會泄露自己的郵箱、私人資料，如信用卡號、銀行卡賬戶、身份證號等內容。

2.41 魚叉攻擊

魚叉攻擊是將用魚叉捕魚形象的引入到了網絡攻擊中，主要是指可以使欺騙性電子郵件看起來更加可信的網絡釣魚攻擊，具有更高的成功可能性。不同于撒網式的網絡釣魚，魚叉攻擊往往更加具備針對性，攻擊者往往“見魚而使叉”。為了實現這一目標，攻擊者將嘗試在目標上收集盡可能多的信息。通常，組織內的特定個人存在某些安全漏洞。

2.42 釣鯨攻擊

捕鯨是另一種進化形式的魚叉式網絡釣魚。它指的是針對高級管理人員和組織內其他高級人員的網絡釣魚攻擊。通過使電子郵件內容具有個性化并專門針對相關目標進行定制的攻擊。

2.43 水坑攻擊

顧名思義，是在受害者必經之路設置了一個“水坑(陷阱)”。最常見的做法是，黑客分析攻擊目標的上網活動規律，尋找攻擊目標經常訪問的網站的弱點，先將此網站“攻破”并植入攻擊代碼，一旦攻擊目標訪問該網站就會“中招”。

2.44 嗅探

嗅探指的是對局域網中的數據包進行截取及分析，從中獲取有效信息。

2.45 APT攻擊

Advanced Persistent Threat，即高級可持續威脅攻擊，指某組織在網絡上對特定對象展開的持續有效的攻擊活動。這種攻擊活動具有極強的隱蔽性和針對性，通常會運用受感染的各種介質、供應鏈和社會工程學等多種手段實施先進的、持久的且有效的威脅和攻擊。

2.46 C2

C2 全稱為Command and Control，命令與控制，常見于APT攻擊場景中。作動詞解釋時理解為惡意軟件與攻擊者進行交互，作名詞解釋時理解為攻擊者的“基礎設施”。

2.47 供應鏈攻擊

是黑客攻擊目標機構的合作伙伴，并以該合作伙為跳板，達到滲透目標用戶的目的。一種常見的表現形式為，用戶對廠商產品的信任，在廠商產品下載安裝或者更新時進行惡意軟件植入進行攻擊。所以，在某些軟件下載平臺下載的時候，若遭遇捆綁軟件，就得小心了！

2.48 社會工程學

一種無需依托任何黑客軟件，更注重研究人性弱點的黑客手法正在興起，這就是社會工程學黑客技術。通俗而言是指利用人的社會學弱點實施網絡攻擊的一整套方法論，其攻擊手法往往出乎人意料。世界第一黑客凱文·米特尼克在《反欺騙的藝術》中曾提到，人為因素才是安全的軟肋。很多企業、公司在信息安全上投入大量的資金，最終導致數據泄露的原因，往往卻是發生在人本身。

2.49 拿站

指得到一個網站的最高權限，即得到后臺和管理員名字和密碼。

2.50 提權

指得到你本沒得到的權限，比如說電腦中非系統管理員就無法訪問一些C盤的東西，而系統管理員就可以，通過一定的手段讓普通用戶提升成為管理員，讓其擁有管理員的權限，這就叫提權。

2.51 滲透

就是通過掃描檢測你的網絡設備及系統有沒有安全漏洞，有的話就可能被入侵，就像一滴水透過一塊有漏洞的木板，滲透成功就是系統被入侵。

2.52 橫移

指攻擊者入侵后，從立足點在內部網絡進行拓展，搜尋控制更多的系統。

2.53 跳板

一個具有輔助作用的機器，利用這個主機作為一個間接工具，來入侵其他主機，一般和肉雞連用。

2.54 網馬

就是在網頁中植入木馬，當打開網頁的時候就運行了木馬程序。

2.55 黑頁

黑客攻擊成功后，在網站上留下的黑客入侵成功的頁面，用于炫耀攻擊成果。

2.56 暗鏈

看不見的網站鏈接，“暗鏈”在網站中的鏈接做得非常隱蔽，短時間內不易被搜索引擎察覺。它和友情鏈接有相似之處，可以有效地提高網站權重。

2.57 拖庫

拖庫本來是數據庫領域的術語，指從數據庫中導出數據。在網絡攻擊領域，它被用來指網站遭到入侵后，黑客竊取其數據庫文件。

2.58 撞庫

撞庫是黑客通過收集互聯網已泄露的用戶和密碼信息，生成對應的字典表，嘗試批量登陸其他網站后，得到一系列可以登錄的用戶。很多用戶在不同網站使用的是相同的帳號密碼，因此黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網址，這就可以理解為撞庫攻擊。

2.59 暴庫

入侵網站的一種手法，通過惡意代碼讓網站爆出其一些敏感數據來。

2.60 CC攻擊

即Challenge Collapsar，名字來源于對抗國內安全廠商綠盟科技早期的抗拒絕服務產品黑洞，攻擊者借助代理服務器生成指向受害主機的涉及大量占用系統資源的合法請求，耗盡目標的處理資源，達到拒絕服務的目的。

2.61 Webshell

Webshell就是以asp、php、jsp或者cgi等網頁文件形式存在的一種命令執行環境，也可以將其稱做是一種網頁后門，可以上傳下載文件，查看數據庫，執行任意程序命令等。

2.62 跨站攻擊

通常簡稱為XSS，是指攻擊者利用網站程序對用戶輸入過濾不足，輸入可以顯示在頁面上對其他用戶造成影響的HTML代碼，從而盜取用戶資料、利用用戶身份進行某種動作或者對訪問者進行病毒侵害的一種攻擊方式。

2.63 中間人攻擊

中間人攻擊是一種“間接”的入侵攻擊，這種攻擊模式是通過各種技術手段將受入侵者控制的一臺計算機虛擬放置在網絡連接中的兩臺通信計算機之間，通過攔截正常的網絡通信數據，并進行數據篡改和嗅探，而這臺計算機就稱為“中間人”。

2.64 薅羊毛

指網賺一族利用各種網絡金融產品或紅包活動推廣下線抽成賺錢，又泛指搜集各個銀行等金融機構及各類商家的優惠信息，以此實現盈利的目的。這類行為就被稱之為薅羊毛。

2.65 商業電子郵件攻擊（BEC）

也被稱為“變臉詐騙”攻擊，這是針對高層管理人員的攻擊，攻擊者通常冒充（盜用）決策者的郵件，來下達與資金、利益相關的指令；或者攻擊者依賴社會工程學制作電子郵件，說服/誘導高管短時間進行經濟交易。

2.66 電信詐騙

是指通過電話、網絡和短信方式，編造虛假信息，設置騙局，對受害人實施遠程、非接觸式詐騙，誘使受害人打款或轉賬的犯罪行為，通常以冒充他人及仿冒、偽造各種合法外衣和形式的方式達到欺騙的目的。

2.67 殺豬盤

網絡流行詞，電信詐騙的一種，是一種網絡交友誘導股票投資、賭博等類型的詐騙方式，“殺豬盤”則是“從業者們”自己起的名字，是指放長線“養豬”詐騙，養得越久，詐騙得越狠。

2.68 ARP攻擊

ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的進行。基于ARP協議的這一工作特性，黑客向對方計算機不斷發送有欺詐性質的ARP數據包，數據包內包含有與當前設備重復的Mac地址，使對方在回應報文時，由于簡單的地址重復錯誤而導致不能進行正常的網絡通信。

2.69 欺騙攻擊

網絡欺騙的技術主要有：HONEYPOT和分布式HONEYPOT、欺騙空間技術等。主要方式有：IP欺騙、ARP欺騙、 DNS欺騙、Web欺騙、電子郵件欺騙、源路由欺騙（通過指定路由，以假冒身份與其他主機進行合法通信或發送假報文，使受攻擊主機出現錯誤動作）、地址欺騙（包括偽造源地址和偽造中間站點）等。

2.70 Shellcode

一段可被操作系統無需特別定位處理的指令，通常在利用軟件漏洞后執行的惡意代碼，shellcode為二進制的機器碼，因為經常讓攻擊者獲得shell而得名。

2.71 物理攻擊

通俗理解，即采用物理接觸而非技術手段達到網絡入侵的目的，最常見的表現形式為插U盤。著名的震網病毒事件即通過插U盤的形式，感染了伊朗核設施。

2.72 黑產

網絡黑產，指以互聯網為媒介，以網絡技術為主要手段，為計算機信息系統安全和網絡空間管理秩序，甚至國家安全、社會政治穩定帶來潛在威脅（重大安全隱患）的非法行為。例如非法數據交易產業。

2.73 黑帽黑客

以非法目的進行黑客攻擊的人，通常是為了經濟利益。他們進入安全網絡以銷毀、贖回、修改或竊取數據，或使網絡無法用于授權用戶。這個名字來源于這樣一個歷史：老式的黑白西部電影中，惡棍很容易被電影觀眾識別，因為他們戴著黑帽子，而“好人”則戴著白帽子。

2.74 白帽黑客

是那些用自己的黑客技術來進行合法的安全測試分析的黑客，測試網絡和系統的性能來判定它們能夠承受入侵的強弱程度。

2.75 紅帽黑客

事實上最為人所接受的說法叫紅客。紅帽黑客以正義、道德、進步、強大為宗旨，以熱愛祖國、堅持正義、開拓進取為精神支柱，紅客通常會利用自己掌握的技術去維護國內網絡的安全，并對外來的進攻進行還擊。

2.76 紅隊

通常指攻防演*中的攻擊隊伍。

2.77 藍隊

通常指攻防演*中的防守隊伍。

2.78 紫隊

攻防演*中新*誕生的一方，通常指監理方或者裁判方。

2.79 加密機

主機加密設備，加密機和主機之間使用TCP/IP協議通信，所以加密機對主機的類型和主機操作系統無任何特殊的要求。

2.80 CA證書

為實現雙方安全通信提供了電子認證。在因特網、公司內部網或外部網中，使用數字證書實現身份識別和電子信息加密。數字證書中含有密鑰對（公鑰和私鑰）所有者的識別信息，通過驗證識別信息的真偽實現對證書持有者身份的認證。

2.81 SSL證書

SSL證書是數字證書的一種，類似于駕駛證、護照和營業執照的電子副本。因為配置在服務器上，也稱為SSL服務器證書。

2.82 防火墻

主要部署于不同網絡或網絡安全域之間的出口，通過監測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，有選擇地接受外部訪問。

2.83 IDS

入侵檢測系統，用于在黑客發起進攻或是發起進攻之前檢測到攻擊，并加以攔截。IDS是不同于防火墻。防火墻只能屏蔽入侵，而IDS卻可以在入侵發生以前，通過一些信息來檢測到即將發生的攻擊或是入侵并作出反應。

2.84 NIDS

是Network Intrusion Detection System的縮寫，即網絡入侵檢測系統，主要用于檢測Hacker或Cracker 。通過網絡進行的入侵行為。NIDS的運行方式有兩種，一種是在目標主機上運行以監測其本身的通信信息，另一種是在一臺單獨的機器上運行以監測所有網絡設備的通信信息，比如Hub、路由器。

2.85 IPS

全稱為Intrusion-Prevention System，即入侵防御系統，目的在于及時識別攻擊程序或有害代碼及其克隆和變種，采取預防措施，先期阻止入侵，防患于未然。或者至少使其危害性充分降低。入侵預防系統一般作為防火墻和防病毒軟件的補充來投入使用。

2.86 殺毒軟件

也稱反病毒軟件或防毒軟件，是用于消除電腦病毒、特洛伊木馬和惡意軟件等計算機威脅的一類軟件。

2.87 反病毒引擎

通俗理解，就是一套判斷特定程序行為是否為病毒程序（包括可疑的）的技術機制。例如，奇安信自主研發的QOWL貓頭鷹反病毒引擎。

2.88 防毒墻

區別于部署在主機上的殺毒軟件，防毒墻的部署方式與防火墻類似，主要部署于網絡出口，用于對病毒進行掃描和攔截，因此防毒墻也被稱為反病毒網關。

2.89 老三樣

通常指IDS、防火墻和反病毒三樣歷史最悠久安全產品。

2.90 告警

指網絡安全設備對攻擊行為產生的警報。

2.91 誤報

也稱為無效告警，通常指告警錯誤，即把合法行為判斷成非法行為而產生了告警。目前，由于攻擊技術的快速進步和檢測技術的限制，誤報的數量非常大，使得安全人員不得不花費大量時間來處理此類告警，已經成為困擾并拉低日常安全處置效率的主要原因。

2.92 漏報

通常指網絡安全設備沒有檢測出非法行為而沒有產生告警。一旦出現漏報，將大幅增加系統被入侵的風險。

2.93 NAC

全稱為Network Access Control，即網絡準入控制，其宗旨是防止病毒和蠕蟲等新興黑客技術對企業安全造成危害。借助NAC，客戶可以只允許合法的、值得信任的終端設備（例如PC、服務器、PDA）接入網絡，而不允許其它設備接入。

2.94 漏掃

即漏洞掃描，指基于漏洞數據庫，通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測，發現可利用漏洞的一種安全檢測（滲透攻擊）行為。

2.95 UTM

即Unified Threat Management，中文名為統一威脅管理，最早由IDC于2014年提出，即將不同設備的安全能力（最早包括入侵檢測、防火墻和反病毒技術），集中在同一網關上，實現統一管理和運維。

2.96 網閘

網閘是使用帶有多種控制功能的固態開關讀寫介質，連接兩個獨立主機系統的信息安全設備。由于兩個獨立的主機系統通過網閘進行隔離，只有以數據文件形式進行的無協議擺渡。

2.97 堡壘機

運用各種技術手段監控和記錄運維人員對網絡內的服務器、網絡設備、安全設備、數據庫等設備的操作行為，以便集中報警、及時處理及審計定責。

2.98 數據庫審計

能夠實時記錄網絡上的數據庫活動，對數據庫操作進行細粒度審計的合規性管理，對數據庫遭受到的風險行為進行告警，對攻擊行為進行阻斷。它通過對用戶訪問數據庫行為的記錄、分析和匯報，用來幫助用戶事后生成合規報告、事故追根溯源，同時加強內外部數據庫網絡行為記錄，提高數據資產安全。

2.99 DLP

數據防泄漏，通過數字資產的精準識別和策略制定，主要用于防止企業的指定數據或信息資產以違反安全策略規定的形式流出企業。

2.100 VPN

虛擬專用網，在公用網絡上建立專用網絡，進行加密通訊，通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。

2.101 SD-WAN

即軟件定義廣域網，這種服務用于連接廣闊地理范圍的企業網絡、數據中心、互聯網應用及云服務。這種服務的典型特征是將網絡控制能力通過軟件方式云化。通常情況下，SD-WAN都集成有防火墻、入侵檢測或者防病毒能力。并且從目前的趨勢來看，以安全為核心設計的SD-WAN正在嶄露頭角，包括奇安信、Fortinet等多家安全廠商開始涉足該領域，并提供了較為完備的內生安全設計。

2.102 路由器

是用來連接不同子網的中樞，它們工作于OSI7層模型的傳輸層和網絡層。路由器的基本功能就是將網絡信息包傳輸到它們的目的地。一些路由器還有訪問控制列表（ACLs），允許將不想要的信息包過濾出去。許多路由器都可以將它們的日志信息注入到IDS系統中，并且自帶基礎的包過濾（即防火墻）功能。

2.103網關

通常指路由器、防火墻、IDS、VPN等邊界網絡設備。

2.104 WAF

即Web Application Firewall，即Web應用防火墻，是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。

2.105 SOC

即Security Operations Center，翻譯為安全運行中心或者安全管理平臺，通過建立一套實時的資產風險模型，協助管理員進行事件分析、風險分析、預警管理和應急響應處理的集中安全管理系統。

2.106 LAS

日志審計系統，主要功能是提供日志的收集、檢索和分析能力，可為威脅檢測提供豐富的上下文。

2.107 NOC

即Network Operations Center，網絡操作中心或網絡運行中心，是遠程網絡通訊的管理、監視和維護中心，是網絡問題解決、軟件分發和修改、路由、域名管理、性能監視的焦點。

2.108 SIEM

即Security Information and Event Management，安全信息和事件管理，負責從大量企業安全控件、主機操作系統、企業應用和企業使用的其他軟件收集安全日志數據，并進行分析和報告。

2.109 上網行為管理

是指幫助互聯網用戶控制和管理對互聯網使用的設備。其包括對網頁訪問過濾、上網隱私保護、網絡應用控制、帶寬流量管理、信息收發審計、用戶行為分析等。

2.110 蜜罐（Honeypot）

是一個包含漏洞的系統，它摸擬一個或多個易受攻擊的主機，給黑客提供一個容易攻擊的目標。由于蜜罐沒有其它任務需要完成，因此所有連接的嘗試都應被視為是可疑的。

蜜罐的另一個用途是拖延攻擊者對其真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。

蜜罐類產品包括蜜網、蜜系統、蜜賬號等等。

2.111 沙箱

沙箱是一種用于安全的運行程序的機制。它常常用來執行那些非可信的程序。非可信程序中的惡意代碼對系統的影響將會被限制在沙箱內而不會影響到系統的其它部分。

2.112 沙箱逃逸

一種識別沙箱環境，并利用靜默、欺騙等技術，繞過沙箱檢測的現象

2.113 網絡靶場

主要是指通過虛擬環境與真實設備相結合，模擬仿真出真實賽博網絡空間攻防作戰環境，能夠支撐攻防演練、安全教育、網絡空間作戰能力研究和網絡武器裝備驗證試驗平臺。

2.114 加密技術

加密技術包括兩個元素：算法和密鑰。算法是將普通的文本與一串數字（密鑰）的結合，產生不可理解的密文的步驟，密鑰是用來對數據進行編碼和解碼的一種算法。密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。相應地，對數據加密的技術分為兩類，即對稱加密（私人密鑰加密）和非對稱加密（公開密鑰加密）。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。

2.115 黑名單

顧名思義，黑名單即不好的名單，凡是在黑名單上的軟件、IP地址等，都被認為是非法的。

2.116 白名單

與黑名單對應，白名單即“好人”的名單，凡是在白名單上的軟件、IP等，都被認為是合法的，可以在計算機上運行。

2.117 內網

通俗的講就是局域網，比如網吧、校園網、公司內部網等都屬于此類。查看IP地址，如果是在以下三個范圍之內，就說明我們是處于內網之中的：10.0.0.0—10.255.255.255，172.16.0.0—172.31.255.255，192.168.0.0—192.168.255.255

2.118 外網

直接連入INTERNET（互連網），可以與互連網上的任意一臺電腦互相訪問。

2.119 邊界防御

以網絡邊界為核心的防御模型，以靜態規則匹配為基礎，強調把所有的安全威脅都擋在外網。

2.120 南北向流量

通常指數據中心內外部通信所產生的的流量。

2.121 東西向流量

通常指數據中心內部不同主機之間互相通信所產生的的流量。

2.122 規則庫

網絡安全的核心數據庫，類似于黑白名單，用于存儲大量安全規則，一旦訪問行為和規則庫完成匹配，則被認為是非法行為。所以有人也將規則庫比喻為網絡空間的法律。

2.123 下一代

網絡安全領域經常用到，用于表示產品或者技術有較大幅度的創新，在能力上相對于傳統方法有明顯的進步，通常縮寫為NG（Next Gen）。

例如NGFW（下一代防火墻）、NGSOC（下一代安全管理平臺）等。

2.124 大數據安全分析

區別于傳統被動規則匹配的防御模式，以主動收集和分析大數據的方法，找出其中可能存在的安全威脅，因此也稱數據驅動安全。該理論最早由奇安信于2015年提出。

2.125 EPP

全稱為Endpoint Protection Platform，翻譯為端點保護平臺，部署在終端設備上的安全防護解決方案,用于防止針對終端的惡意軟件、惡意腳本等安全威脅，通常與EDR進行聯動。

2.126 EDR

全稱Endpoint Detection & Response，即端點檢測與響應，通過對端點進行持續檢測，同時通過應用程序對操作系統調用等異常行為分析，檢測和防護未知威脅，最終達到殺毒軟件無法解決未知威脅的目的。

2.127 NDR

全稱Network Detection & Response，即網絡檢測與響應，通過對網絡側流量的持續檢測和分析，幫助企業增強威脅響應能力，提高網絡安全的可見性和威脅免疫力。

2.128 安全可視化

指在網絡安全領域中的呈現技術，將網絡安全加固、檢測、防御、響應等過程中的數據和結果轉換成圖形界面，并通過人機交互的方式進行搜索、加工、匯總等操作的理論、方法和技術。

2.129 NTA

網絡流量分析（NTA）的概念是Gartner于2013年首次提出的，位列五種檢測高級威脅的手段之一。它融合了傳統的基于規則的檢測技術，以及機器學*和其他高級分析技術，用以檢測企業網絡中的可疑行為，尤其是失陷后的痕跡。

2.130 MDR

全稱Managed Detection & Response，即托管檢測與響應，依靠基于網絡和主機的檢測工具來識別惡意模式。此外，這些工具通常還會從防火墻之內的終端收集數據，以便更全面地監控網絡活動。

2.131 應急響應

通常是指一個組織為了應對各種意外事件的發生所做的準備以及在事件發生后所采取的措施。

2.132 XDR

通常指以檢測和響應技術為核心的網絡安全策略的統稱，包括EDR、NDR、MDR等。

2.133 安全運營

貫穿產品研發、業務運行、漏洞修復、防護與檢測、應急響應等一系列環節，實行系統的管理方法和流程，將各個環節的安全防控作用有機結合，保障整個業務的安全性。

2.134 威脅情報

根據Gartner的定義，威脅情報是某種基于證據的知識，包括上下文、機制、標示、含義和能夠執行的建議，這些知識與資產所面臨已有的或醞釀中的威脅或危害相關，可用于資產相關主體對威脅或危害的響應或處理決策提供信息支持。根據使用對象的不同，威脅情報主要分為人讀情報和機讀情報。

2.135 TTP

主要包括三要素，戰術Tactics、技術Techniques和過程Procedures，是描述高級威脅組織及其攻擊的重要指標，作為威脅情報的一種重要組成部分，TTP可為安全分析人員提供決策支撐。

2.136 IOC

中文名為失陷標示：用以發現內部被APT團伙、木馬后門、僵尸網絡控制的失陷主機，類型上往往是域名、URL等。目前而言，IOC是應用最為廣泛的威脅情報，因為其效果最為直接。一經匹配，則意味著存在已經失陷的主機。

2.137 上下文

從文章的上下文引申而來，主要是指某項威脅指標的關聯信息，用于實現更加精準的安全匹配和檢測。

2.138 STIX

STIX是一種描述網絡威脅信息的結構化語言，能夠以標準化和結構化的方式獲取更廣泛的網絡威脅信息，常用于威脅情報的共享與交換，目前在全球范圍內使用最為廣泛。STIX在定義了8中構件的1.0版本基礎上，已經推出了定義了12中構件的2.0版本。

2.139 殺傷鏈

殺傷鏈最早來源于軍事領域，用于描述進攻一方各個階段的狀態。在網絡安全領域，這一概念最早由洛克希德-馬丁公司提出，英文名稱為Kill Chain，也稱作網絡攻擊生命周期，包括偵查追蹤、武器構建、載荷投遞、漏洞利用、安裝植入、命令控制、目標達成等七個階段，來識別和防止入侵。

2.140 ATT&CK

可以簡單理解為描述攻擊者技戰術的知識庫。MITRE在2013年推出了該模型，它是根據真實的觀察數據來描述和分類對抗行為。ATT&CK將已知攻擊者行為轉換為結構化列表，將這些已知的行為匯總成戰術和技術，并通過幾個矩陣以及結構化威脅信息表達式（STIX）、指標信息的可信自動化交換（TAXII）來表示。

2.141 鉆石模型

鉆石模型在各個領域的應用都十分廣泛，在網絡安全領域，鉆石模型首次建立了一種將科學原理應用于入侵分析的正式方法：可衡量、可測試和可重復——提供了一個對攻擊活動進行記錄、(信息)合成、關聯的簡單、正式和全面的方法。這種科學的方法和簡單性可以改善分析的效率、效能和準確性。

2.142 關聯分析

又稱關聯挖掘，就是在交易數據、關系數據或其他信息載體中，查找存在于項目集合或對象集合之間的頻繁模式、關聯、相關性或因果結構。在網絡安全領域主要是指將不同維度、類型的安全數據進行關聯挖掘，找出其中潛在的入侵行為。

2.143 態勢感知

是一種基于環境的、動態、整體地洞悉安全風險的能力，是以安全大數據為基礎，從全局視角提升對安全威脅的發現識別、理解分析、響應處置能力的一種方式，最終是為了決策與行動，是安全能力的落地。

2.144 探針

也叫作網絡安全探針或者安全探針，可以簡單理解為賽博世界的攝像頭，部署在網絡拓撲的關鍵節點上，用于收集和分析流量和日志，發現異常行為，并對可能到來的攻擊發出預警。

2.145 網絡空間測繪

用搜索引擎技術來提供交互，讓人們可以方便的搜索到網絡空間上的設備。相對于現實中使用的地圖，用各種測繪方法描述和標注地理位置，用主動或被動探測的方法，來繪制網絡空間上設備的網絡節點和網絡連接關系圖，及各設備的畫像。

2.146 SOAR

全稱Security Orchestration, Automation and Response，意即安全編排自動化與響應，主要通過劇本化、流程化的指令，對入侵行為采取的一系列自動化或者半自動化響應處置動作。

2.147 UEBA

全稱為User and Entity Behavior Analytics，即用戶實體行為分析，一般通過大數據分析的方法，分析用戶以及IT實體的行為，從而判斷是否存在非法行為。

2.148 內存保護

內存保護是操作系統對電腦上的內存進行訪問權限管理的一個機制。內存保護的主要目的是防止某個進程去訪問不是操作系統配置給它的尋址空間。

2.149 RASP

全稱為Runtime application self-protection，翻譯成應用運行時自我保護。在2014年時由Gartner提出，它是一種新型應用安全保護技術，它將保護程序像疫苗一樣注入到應用程序中，應用程序融為一體，能實時檢測和阻斷安全攻擊，使應用程序具備自我保護能力，當應用程序遭受到實際攻擊傷害，就可以自動對其進行防御，而不需要進行人工干預。

2.150 包檢測

對于流量包、數據包進行拆包、檢測的行為。

2.151 深度包檢測

Deep Packet Inspection，縮寫為 DPI，又稱完全數據包探測（complete packet inspection）或信息萃取（Information eXtraction，IX），是一種計算機網絡數據包過濾技術，用來檢查通過檢測點之數據包的數據部分（亦可能包含其標頭），以搜索不匹配規范之協議、病毒、垃圾郵件、入侵跡象。

2.152 全流量檢測

全流量主要體現在三個“全”上，即全流量采集與保存，全行為分析以及全流量回溯。通過全流量分析設備，實現網絡全流量采集與保存、全行為分析與全流量回溯，并提取網絡元數據上傳到大數據分析平臺實現更加豐富的功能。

2.153元數據

元數據（Metadata），又稱中介數據、中繼數據，為描述數據的數據（data about data），主要是描述數據屬性（property）的信息，用來支持如指示存儲位置、歷史數據、資源查找、文件記錄等功能。

2.154 欺騙檢測

以構造虛假目標來欺騙并誘捕攻擊者，從而達到延誤攻擊節奏，檢測和分析攻擊行為的目的。

2.155 微隔離

顧名思義是細粒度更小的網絡隔離技術，能夠應對傳統環境、虛擬化環境、混合云環境、容器環境下對于東西向流量隔離的需求，重點用于阻止攻擊者進入企業數據中心網絡內部后的橫向平移。

2.156 逆向

常見于逆向工程或者逆向分析，簡單而言，一切從產品中提取原理及設計信息并應用于再造及改進的行為，都是逆向工程。在網絡安全中，更多的是調查取證、惡意軟件分析等。

2.157 無代理安全

在終端安全或者虛擬化安全防護中，往往需要在每一臺主機或者虛機上安裝agent（代理程序）來實現，這種方式往往需要消耗大量的資源。而無代理安全則不用安裝agent，可以減少大量的部署運維工作，提升管理效率。

2.158 CWPP

全稱Cloud Workload Protection Platform，意為云工作負載保護平臺，主要是指對云上應用和工作負載（包括虛擬主機和容器主機上的工作負載）進行保護的技術，實現了比過去更加細粒度的防護，是現階段云上安全的最后一道防線。

2.159 CSPM

云安全配置管理，能夠對基礎設施安全配置進行分析與管理。這些安全配置包括賬號特權、網絡和存儲配置、以及安全配置（如加密設置）。如果發現配置不合規，CSPM會采取行動進行修正。

2.160 CASB

全稱Cloud Access Security Broker，即云端接入安全代理。作為部署在客戶和云服務商之間的安全策略控制點，是在訪問基于云的資源時企業實施的安全策略。

2.161 防爬

意為防爬蟲，主要是指防止網絡爬蟲從自身網站中爬取信息。網絡爬蟲是一種按照一定的規則，自動地抓取網絡信息的程序或者腳本。

2.162 安全資源池

安全資源池是多種安全產品虛擬化的集合，涵蓋了服務器終端、網絡、業務、數據等多種安全能力。

2.163 IAM

全稱為Identity and Access Management，即身份與訪問管理，經常也被叫做身份認證。

2.164 4A

即認證Authentication、授權Authorization、賬號Account、審計Audit，即融合統一用戶賬號管理、統一認證管理、統一授權管理和統一安全審計四要素后的解決方案將，涵蓋單點登錄（SSO）等安全功能。

2.165 Access Control list(ACL)

訪問控制列表。

2.166 多因子認證

主要區別于單一口令認證的方式，要通過兩種以上的認證機制之后，才能得到授權，使用計算機資源。例如，用戶要輸入PIN碼，插入銀行卡，最后再經指紋比對，通過這三種認證方式，才能獲得授權。這種認證方式可以降低單一口令失竊的風險，提高安全性。

2.167 特權賬戶管理

簡稱PAM。由于特權賬戶往往擁有很高的權限，因此一旦失竊或被濫用，會給機構帶來非常大的網絡安全風險。所以，特權賬戶管理往往在顯得十分重要。其主要原則有：杜絕特權憑證共享、為特權使用賦以個人責任、為日常管理實現最小權限訪問模型、對這些憑證執行的活動實現審計功能。

2.168 零信任

零信任并不是不信任，而是作為一種新的身份認證和訪問授權理念，不再以網絡邊界來劃定可信或者不可信，而是默認不相信任何人、網絡以及設備，采取動態認證和授權的方式，把訪問者所帶來的的網絡安全風險降到最低。

2.169 SDP

全稱為Software Defined Perimeter，即軟件定義邊界，由云安全聯盟基于零信任網絡提出，是圍繞某個應用或某一組應用創建的基于身份和上下文的邏輯訪問邊界。

2.170 Security as a Service

安全即服務，通常可理解為以SaaS的方式，將安全能力交付給客戶。

2.171 同態加密

同態加密是一類具有特殊自然屬性的加密方法，此概念是Rivest等人在20世紀70年代首先提出的，與一般加密算法相比，同態加密除了能實現基本的加密操作之外，還能實現密文間的多種計算功能。

2.172 量子計算

是一種遵循量子力學規律調控量子信息單元進行計算的新型計算模式，目前已經逐漸應用于加密和通信傳輸。

2.173 可信計算

是一項由可信計算組（可信計算集群，前稱為TCPA）推動和開發的技術。可信計算是在計算和通信系統中廣泛使用基于硬件安全模塊支持下的可信計算平臺，以提高系統整體的安全性。

2.174 擬態防御

核心實現是一種基于網絡空間內生安全機理的動態異構冗余構造（Dynamic Heterogeneous Redundancy，DHR)，為應對網絡空間中基于未知漏洞、后門或病毒木馬等的未知威脅，提供具有普適創新意義的防御理論和方法。

2.175 區塊鏈

英文名為blockchain，它是一個共享數據庫，存儲于其中的數據或信息，具有“不可偽造”、“全程留痕”、“可以追溯”、“公開透明”、“集體維護”等特征。

2.176 遠程瀏覽器

鑒于瀏覽器往往成為黑客攻擊的入口，因此將瀏覽器部署在遠程的一個“瀏覽器服務器池”中。這樣一來，這些瀏覽器所在的服務器跟用戶所在環境中的終端和網絡是隔離的，從而使得客戶所在網絡的暴露面大大降低。這種服務也類似于虛擬桌面、云手機等產品。

2.177 云手機

云手機采用全新的VMI（Virtual Mobile Infrastructure虛擬移動設施，與PC云桌面類似）技術，為員工提供一個獨立的移動設備安全虛擬手機，業務應用和數據僅在服務端運行和存儲，個人終端上僅做加密流媒體呈現和觸控，從而有效保障企業數據的安全性。

2.178 風控

也稱大數據風控，是指利用大數據分析的方法判斷業務可能存在的安全風險，目前該技術主要用于金融信貸領域，防止壞賬的發生。

2.179 滲透測試

為了證明網絡防御按照預期計劃正常運行而提供的一種機制，通常會邀請專業公司的攻擊團隊，按照一定的規則攻擊既定目標，從而找出其中存在的漏洞或者其他安全隱患，并出具測試報告和整改建議。

其目的在于不斷提升系統的安全性。

2.180 安全眾測

借助眾多白帽子的力量，針對目標系統在規定時間內進行漏洞懸賞測試。您在收到有效的漏洞后，按漏洞風險等級給予白帽子一定的獎勵。通常情況下是按漏洞付費，性價比較高。同時，不同白帽子的技能研究方向可能不同，在進行測試的時候更為全面。

2.181 內生安全

由奇安信集團董事長齊向東在2019北京網絡安全大會上首次提出，指的是不斷從信息化系統內生長出的安全能力，能伴隨業務的增長而持續提升，持續保證業務安全。內生安全有三個特性，即依靠信息化系統與安全系統的聚合、業務數據與安全數據的聚合以及IT人才和安全人才的聚合，從信息化系統的內部，不斷長出自適應、自主和自成長的安全能力。

2.182 內生安全框架

為推動內生安全的落地，奇安信推出了內生安全框架。該框架從頂層視角出發，支撐各行業的建設模式從“局部整改外掛式”，走向“深度融合體系化”；從工程實現的角度，將安全需求分步實施，逐步建成面向未來的安全體系；內生安全框架能夠輸出實戰化、體系化、常態化的安全能力，構建出動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控的網絡安全防御體系。內生安全框架包含了總結出了29個安全區域場景和 79類安全組件。

2.183 PPDR

英文全稱為Policy Protection Detection Response，翻譯為策略、防護、檢測和響應。主要以安全策略為核心，通過一致性檢查、流量統計、異常分析、模式匹配以及基于應用、目標、主機、網絡的入侵檢查等方法進行安全漏洞檢測。

2.184 CARTA

全稱為Continuous Adaptive Risk and Trust Assessment，即持續自適應風險與信任評估旨在通過動態智能分析來評估用戶行為，放棄追求完美的安全，不能要求零風險，不要求100%信任，尋求一種0和1之間的風險與信任的平衡。CARTA戰略是一個龐大的體系，其包括大數據、AI、機器學*、自動化、行為分析、威脅檢測、安全防護、安全評估等方面。

2.185 SASE

全稱為Secure Access Service Edge，即安全訪問服務邊緣，Gartner將其定義為一種基于實體的身份、實時上下文、企業安全/合規策略，以及在整個會話中持續評估風險/信任的服務。實體的身份可與人員、人員組（分支辦公室）、設備、應用、服務、物聯網系統或邊緣計算場地相關聯。

2.186 SDL

全稱為Security Development Lifecycle，翻譯為安全開發生命周期，是一個幫助開發人員構建更安全的軟件和解決安全合規要求的同時降低開發成本的軟件開發過程，最早由微軟提出。

2.187 DevSecOps

全稱為Development Security Operations，可翻譯為安全開發與運維。它強調在DevOps計劃剛啟動時就要邀請安全團隊來確保信息的安全性，制定自動安全防護計劃，并貫穿始終，實現持續 IT 防護。

2.188 代碼審計

顧名思義就是檢查源代碼中的安全缺陷，檢查程序源代碼是否存在安全隱患，或者有編碼不規范的地方，通過自動化工具或者人工審查的方式，對程序源代碼逐條進行檢查和分析，發現這些源代碼缺陷引發的安全漏洞，并提供代碼修訂措施和建議。

2.189 NTLM驗證

NTLM(NT LAN Manager)是微軟公司開發的一種身份驗證機制，從NT4開始就一直使用，主要用于本地的帳號管理。

2.190 MTTD

平均檢測時間。

2.191 MTTR

平均響應時間。

2.192 CVE

全稱Common Vulnerabilities and Exposures，由于安全機構Mitre維護一個國際通用的漏洞唯一編號方案，已經被安全業界廣泛接受的標準。

2.193 軟件加殼

“殼”是一段專門負責保護軟件不被非法修改或反編譯的程序。它們一般都是先于程序運行，拿到控制權，然后完成它們保護軟件的任務。經過加殼的軟件在跟蹤時已無法看到其真實的十六進制代碼，因此可以起到保護軟件的目的。

2.194 CNVD

國家信息安全漏洞共享平臺，由國家計算機應急響應中心CNCERT維護，主要負責統一收集、管理國內的漏洞信息，其發布的漏洞編號前綴也為CNVD。

2.195 數據脫敏

數據脫敏是指對某些敏感信息通過脫敏規則進行數據的變形，實現敏感隱私數據的可靠保護，主要用于數據的共享和交易等涉及大范圍數據流動的場景。

2.196 GDPR

《通用數據保護條例》（General Data Protection Regulation，簡稱GDPR）為歐洲聯盟的條例，前身是歐盟在1995年制定的《計算機數據保護法》。

2.197 CCPA

美國加利福尼亞州消費者隱私保護法案。

2.198 SRC

即Security Response Center，中文名為安全應急響應中心，主要職責為挖掘并公開收集機構存在的漏洞和其他安全隱患。

2.199 CISO

有時也被叫做CSO，即首席信息安全官，為機構的主要安全負責人。

2.120 IPC管道

為了更好地控制和處理不同進程之間的通信和數據交換，系統會通過一個特殊的連接管道來調度整個進程。

2.121 SYN包

TCP連接的第一個包，非常小的一種數據包。SYN攻擊包括大量此類的包，由于這些包看上去來自實際不存在的站點，因此無法有效進行處理。

2.122 IPC$

是共享“命名管道”的資源，它是為了讓進程間通信而開放的命名管道，可以通過驗證用戶名和密碼獲得相應的權限，在遠程管理計算機和查看計算機的共享資源時使用。

2.123 shell

指的是一種命令指行環境，是系統與用戶的交換方式界面。簡單來說，就是系統與用戶“溝通”的環境。我們平時常用到的DOS，就是一個shell。（Windows2000是cmd.exe）

2.124 ARP

地址解析協議(Address Resolution Protocol)此協議將網絡地址映射到硬件地址。

參考鏈接：
https://www.cnblogs.com/wenyoudo/p/14284916.html
以及《智能汽車安全攻防大揭秘》里面的常見名詞的解釋
還有一些其它地方的來源，有遺漏鏈接私聊一下我，我添加上去

你以為你有很多路可以選擇，其實你只有一條路可以走

總結

以上是生活随笔為你收集整理的[免费专栏] 车联网基础理论之车联网安全常见术语科普的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。