热门问题
时间线
聊天
视角
入侵指标
主机或网络被入侵后可以被取证的痕迹 来自维基百科,自由的百科全书
Remove ads
在计算机取证领域,入侵指标(英语:Indicator of compromise,直译:“失陷迹象”)是指在计算机网络或操作系统中被发现能高度把握表明系统已被攻破而不再可信的迹象。[1]
指标类型
常见的入侵指标包括病毒特征码、可疑IP地址、恶意软件文件的校验和以及与被僵尸网络指挥控制的服务器相关的恶意URL或域名。通过事件响应或取证分析识别出的入侵指标,将来可以被利用于入侵检测系统和防病毒软件提前发现攻击。
自动化与共享
一些旨在实现入侵指标自动化处理和共享的标准和举措:
网络安全领域内部经常交换已知指标,通常使用交通灯协议(TLP)来指导其信息共享方式。[4]还有其他框架和标准亦可用于支持安全信息共享。[5][6][7][8][9][10]
参阅
参考
Wikiwand - on
Seamless Wikipedia browsing. On steroids.
Remove ads