入侵指標

在計算機取證領域，入侵指標（英語：Indicator of compromise，直譯：「失陷跡象」）是指在計算機網絡或操作系統中被發現能高度把握表明系統已被攻破而不再可信的跡象。^[1]

指標類型

常見的入侵指標包括病毒特徵碼、可疑IP地址、惡意軟件文件的校驗和以及與被殭屍網絡指揮控制的服務器相關的惡意URL或域名。通過事件響應或取證分析識別出的入侵指標，將來可以被利用於入侵檢測系統和防病毒軟件提前發現攻擊。

自動化與共享

一些旨在實現入侵指標自動化處理和共享的標準和舉措：

• 事件對象描述交換格式（IODEF（英語：IODEF）），事件信息的描述和交換方式標準化。^[2]
• 結構化威脅信息表達式（STIX（英語：STIX）），用於表示網絡威脅信息。^[3]

網絡安全領域內部經常交換已知指標，通常使用交通燈協議（TLP）來指導其信息共享方式。^[4]還有其他框架和標準亦可用於支持安全信息共享。^{[5][6][7][8][9][10]}

參閱

• AlienVault（英語：AlienVault）
• 曼迪安特
• 惡意軟件
• 惡意軟件信息共享平台（英語：Malware Information Sharing Platform）（MISP）