入侵指標

在電腦取證領域，入侵指標（英語：Indicator of compromise，直譯：「失陷跡象」）是指在電腦網路或作業系統中被發現能高度把握表明系統已被攻破而不再可信的跡象。^[1]

指標類型

常見的入侵指標包括病毒特徵碼、可疑IP位址、惡意軟體檔案的校驗和以及與被殭屍網路指揮控制的伺服器相關的惡意URL或域名。通過事件回應或取證分析辨識出的入侵指標，將來可以被利用於入侵檢測系統和防病毒軟體提前發現攻擊。

自動化與共享

一些旨在實現入侵指標自動化處理和共享的標準和舉措：

• 事件對象描述交換格式（IODEF（英語：IODEF）），事件資訊的描述和交換方式標準化。^[2]
• 結構化威脅資訊表達式（STIX（英語：STIX）），用於表示網路威脅資訊。^[3]

網路安全領域內部經常交換已知指標，通常使用交通燈協定（TLP）來指導其資訊共享方式。^[4]還有其他框架和標準亦可用於支援安全資訊共享。^{[5][6][7][8][9][10]}

參閱

• AlienVault（英語：AlienVault）
• 曼迪安特
• 惡意軟體
• 惡意軟體資訊共享平台（英語：Malware Information Sharing Platform）（MISP）