入侵指标

在计算机取证领域，入侵指标（英语：Indicator of compromise，直译：“失陷迹象”）是指在计算机网络或操作系统中被发现能高度把握表明系统已被攻破而不再可信的迹象。^[1]

指标类型

常见的入侵指标包括病毒特征码、可疑IP地址、恶意软件文件的校验和以及与被僵尸网络指挥控制的服务器相关的恶意URL或域名。通过事件响应或取证分析识别出的入侵指标，将来可以被利用于入侵检测系统和防病毒软件提前发现攻击。

自动化与共享

一些旨在实现入侵指标自动化处理和共享的标准和举措：

• 事件对象描述交换格式（IODEF（英语：IODEF）），事件信息的描述和交换方式标准化。^[2]
• 结构化威胁信息表达式（STIX（英语：STIX）），用于表示网络威胁信息。^[3]

网络安全领域内部经常交换已知指标，通常使用交通灯协议（TLP）来指导其信息共享方式。^[4]还有其他框架和标准亦可用于支持安全信息共享。^{[5][6][7][8][9][10]}

参阅

• AlienVault（英语：AlienVault）
• 曼迪安特
• 恶意软件
• 恶意软件信息共享平台（英语：Malware Information Sharing Platform）（MISP）