热门问题
时间线
聊天
视角

入侵指標

主机或网络被入侵后可以被取证的痕迹 来自维基百科,自由的百科全书

Remove ads

計算機取證領域,入侵指標(英語:Indicator of compromise直譯:「失陷跡象」)是指在計算機網絡操作系統中被發現能高度把握表明系統已被攻破而不再可信的跡象。[1]

指標類型

常見的入侵指標包括病毒特徵碼、可疑IP地址惡意軟件文件的校驗和以及與被殭屍網絡指揮控制的服務器相關的惡意URL域名。通過事件響應或取證分析識別出的入侵指標,將來可以被利用於入侵檢測系統防病毒軟件提前發現攻擊。

自動化與共享

一些旨在實現入侵指標自動化處理和共享的標準和舉措:

  • 事件對象描述交換格式(IODEF英語IODEF),事件信息的描述和交換方式標準化。[2]
  • 結構化威脅信息表達式(STIX英語STIX),用於表示網絡威脅信息。[3]

網絡安全領域內部經常交換已知指標,通常使用交通燈協議(TLP)來指導其信息共享方式。[4]還有其他框架和標準亦可用於支持安全信息共享。[5][6][7][8][9][10]

參閱

參考

Loading related searches...

Wikiwand - on

Seamless Wikipedia browsing. On steroids.

Remove ads