热门问题
时间线
聊天
视角

入侵指标

主机或网络被入侵后可以被取证的痕迹 来自维基百科,自由的百科全书

Remove ads

计算机取证领域,入侵指标(英语:Indicator of compromise直译:“失陷迹象”)是指在计算机网络操作系统中被发现能高度把握表明系统已被攻破而不再可信的迹象。[1]

指标类型

常见的入侵指标包括病毒特征码、可疑IP地址恶意软件文件的校验和以及与被僵尸网络指挥控制的服务器相关的恶意URL域名。通过事件响应或取证分析识别出的入侵指标,将来可以被利用于入侵检测系统防病毒软件提前发现攻击。

自动化与共享

一些旨在实现入侵指标自动化处理和共享的标准和举措:

  • 事件对象描述交换格式(IODEF英语IODEF),事件信息的描述和交换方式标准化。[2]
  • 结构化威胁信息表达式(STIX英语STIX),用于表示网络威胁信息。[3]

网络安全领域内部经常交换已知指标,通常使用交通灯协议(TLP)来指导其信息共享方式。[4]还有其他框架和标准亦可用于支持安全信息共享。[5][6][7][8][9][10]

参阅

参考

Loading related searches...

Wikiwand - on

Seamless Wikipedia browsing. On steroids.

Remove ads