信息安全术语全解析:从APT到零日漏洞的技术详解

本文全面解析信息安全领域的核心术语,涵盖APT攻击、渗透测试、漏洞评估、加密协议等关键技术概念,帮助读者构建完整的信息安全知识体系。

信息安全术语表 - v2版

原作者:Bob Covello, CISSP / 经BHIS授权修改
注意:本文档中引用的技术和工具可能已过时,不适用于当前环境。但本文仍可作为学习机会,并可能集成到现代工具和技术中。

数值条目

1337

参见 L33tSpeak

42

数字42常在黑客社区和各种技术出版物中被引用,作为对作家道格拉斯·亚当斯的幽默致敬。以下是其起源的简短描述:
在道格拉斯·亚当斯的《银河系漫游指南》中,数字42是"生命、宇宙和一切终极问题的答案",由一台名为"深思"的巨型超级计算机经过750万年计算得出。不幸的是,没有人知道问题是什么。因此,为了计算终极问题,建造了一台由有机组件构成、大小如小行星的特殊计算机,命名为"地球"。

A

高级持续性威胁 (APT)

APT缩写首次在2013年Mandiant公司(现FireEye)的报告(“APT1: Exposing One of China’s Cyber Espionage Units”)中普及,该报告概述了一组政府资助黑客的习惯,这些黑客以特定目标针对特定组织。这些攻击的复杂性、战略方向和高破坏性特征被命名为"高级持续性威胁"。

广告软件 (Adware)

免费提供但包含广告的软件

APT

参见 高级持续性威胁

权限蔓延 (Authorization creep)

当员工变更工作职能时保留先前工作职责所需的不必要权限。这可能导致员工对数据拥有不适当的访问权限

B

黑盒测试 (Black Box Test)

在几乎不了解目标组成、内部结构或保护措施的情况下进行的测试

蓝队 (Blue Team)

红队-蓝队演习得名于其军事起源。理念很简单:一组安全专业人员(红队)攻击某个目标,另一组(蓝队)进行防御。最初,这些演习被军方用于测试部队战备状态,也用于测试敏感站点(如核设施和能源部国家实验室与技术中心)的物理安全。

僵尸网络 (Botnet)

“机器人网络"的缩写。这是由受感染计算机组成的网络,由通过远程控制台控制计算机活动的人员管理

C

C&C

参见 命令与控制

C2

参见 命令与控制

CFAA

参见 计算机欺诈与滥用法案

克隆钓鱼 (Clone Phishing)

一种钓鱼攻击类型,攻击者获取合法且先前发送的包含附件或链接的电子邮件的内容和收件人地址,用于创建几乎相同或克隆的电子邮件。电子邮件中的附件或链接被替换为恶意版本,然后从伪造的电子邮件地址发送,声称是原始邮件的重发或更新版本。此技术可用于从先前受感染的机器进行横向移动,通过利用双方接收原始邮件所推断的连接的社会信任,在另一台机器上获得立足点。另见:钓鱼、鱼叉式钓鱼、鲸钓攻击和水坑攻击

命令与控制 (Command and Control)

命令与控制(C&C,也称为C2)是从受感染设备流向僵尸网络控制器的流量

通用漏洞披露 (CVE)

公开已知信息安全漏洞和暴露的参考方法。该系统由MITRE公司维护,资金来自多个政府机构。CVE标识符(社区也称为"CVE名称”、“CVE编号”、“CVE条目”、“CVE-ID"和"CVE”)是公开已知网络安全漏洞的唯一通用标识符。(网站:https://cve.mitre.org/)

通用漏洞评分系统 (CVSS)

评估计算机系统安全漏洞严重性的开放行业标准。在NIST的监管下,它试图建立衡量一个漏洞相对于其他漏洞需要多少关注的指标,以便优先进行修复工作。分数基于一系列称为度量的专家评估测量。分数范围从0到10。基础分数在7.0-10.0范围内的漏洞为高危,4.0-6.9范围内为中危,0-3.9为低危。(网站:https://www.first.org/cvss)

计算机欺诈与滥用法案 (CFAA)

国会于1986年颁布,作为现有计算机欺诈法律(18 U.S.C. § 1030)的修正案,该法律包含在1984年《综合犯罪控制法》中。它旨在澄清和扩大先前版本18 U.S.C. § 1030的范围。除了澄清原始第1030节中的若干规定外,CFAA还将额外的计算机相关行为定为犯罪。规定涉及恶意代码分发和拒绝服务攻击。国会还在CFAA中包含了将密码和类似物品的交易定为犯罪的条款。该法案已被多次修订。

从网站发送并存储在用户Web浏览器中的小块数据,当用户浏览该网站时使用。每次用户加载网站时,浏览器将cookie发送回服务器以通知网站用户先前的活动。Cookie被设计为网站记住状态信息(如购物车中的物品)或记录用户浏览活动的可靠机制。

隐蔽信道 (Covert Channel)

一种计算机安全攻击类型,创建在计算机安全策略不允许通信的进程之间传输信息对象的能力

跨站脚本 (XSS)

从无关攻击站点加载受攻击的第三方Web应用程序的行为,以在目标域的安全上下文中执行攻击者准备的JavaScript片段

水晶盒测试 (Crystal Box Test)

包含灰盒测试元素(见下文),并提供可用文档甚至源代码

跨站请求伪造 (CSRF或XSRF)

一种网站恶意利用类型,未经授权的命令从网站信任的用户传输。与利用用户对特定站点信任的跨站脚本(XSS)不同,CSRF利用站点对用户浏览器的信任。跨站请求伪造通常通过cookie和会话劫持实现

CVE

参见 通用漏洞披露

CVSS

参见 通用漏洞评分系统

D

DAC

在计算机安全中,自主访问控制(DAC)是一种访问控制类型,用户对其拥有和执行的所有程序具有完全控制权,并确定其他用户对这些文件和程序的权限。由于DAC需要将权限分配给需要访问的人员,因此DAC通常被描述为"需要知道"的访问模型

DDoS攻击

参见 分布式拒绝服务攻击

拒绝服务攻击 (Denial of Service Attack)

任何有意、无意、恶意或无害导致数据服务中断或减少的行动

DFIR

参见 数字取证与事件响应

DGA

参见 域名生成算法

数字取证与事件响应 (DFIR)

数字取证是在法庭上揭示和解释电子数据的过程。该过程的目标是在通过收集、识别和验证数字信息以重建过去事件的目的下进行结构化调查时,以最原始的形式保存任何证据。事件响应是为紧急事件(如自然灾害或业务运营中断)做准备和反应的行为

分布式拒绝服务攻击 (DDoS)

使用多台机器创建流量流,减慢或停止目标网络上的数据服务

域名系统 (DNS)

计算机名称到IP地址解析的集中资源。这是将"友好名称"(如google.com)转换为计算机用于定位相关站点的IP地址的系统

域名生成算法 (Domain Generating Algorithm)

域名生成算法是自动创建具有晦涩名称的虚幻域的数学函数。这些恶意域主要用于勒索软件支付,并迅速关闭以逃避执法

DNS放大攻击 (DNS Amplification attack)

一种分布式拒绝服务攻击,一组计算机(僵尸网络)发出看似来自单个服务器(攻击目标)的DNS请求。请求包含伪造的IP源地址,因此所有DNS回复都定向到该源地址,导致流量洪水,从而在目标机器上造成拒绝服务

DoS攻击

参见 拒绝服务攻击

投放器 (Dropper)

这是一种将受感染程序或其他恶意代码安装(“投放”)到目标机器上的程序

E

道德黑客 (Ethical Hacking)

道德黑客是识别公司安全基础设施潜在威胁然后尝试利用的过程,但需获得公司许可。道德黑客试图绕过系统安全并找到他人可能利用的弱点。对公司的好处是道德黑客是模拟犯罪分子。目标是让道德黑客在真正的坏人之前发现安全漏洞。道德黑客了解如何尊重隐私、哪些行为合法哪些非法,以及如何在不实际损害公司基础设施安全的情况下执行工作

邪恶双胞胎 (Evil Twin)

参见 恶意接入点

F

模糊测试 (Fuzzing Test)

一种软件测试技术,通常是自动化或半自动化的,涉及向计算机程序的输入提供无效、意外或随机数据

G

灰盒测试 (Grey box test)

在讨论组成、内部结构、保护措施和关注领域的最小信息的情况下进行的测试

H

哈希 (Hash)

可用于将任意大小的数字数据映射到固定大小数字数据的过程。哈希函数返回的值称为哈希值、哈希码、哈希和或简称哈希。哈希函数允许轻松验证某些输入数据是否与存储的哈希值匹配,但难以构造任何哈希到相同值的数据或找到任何两个哈希到相同值的唯一数据片段。许多密码检查系统使用此原理。另见:传递哈希

Heartbleed漏洞

Heartbleed漏洞是流行的OpenSSL加密软件库中的一个严重漏洞。此弱点允许窃取在正常情况下受SSL/TLS加密保护的信息,该加密用于保护互联网。SSL/TLS为Web、电子邮件、即时消息(IM)和一些虚拟专用网络(VPN)等应用程序提供互联网上的通信安全和隐私。更多信息可在http://heartbleed.com/找到

基于主机的入侵检测系统 (HIDS)

安装在终端上监控针对该终端的异常活动的软件。(对比"基于网络的入侵检测系统")

狩猎团队演习 (Hunt Team Exercise)

渗透测试人员使用的一种方法,用于检查攻击者是否在目标网络内部。渗透测试人员"狩猎"入侵者存在的证据

I

IDS

参见 基于主机的入侵检测系统(HIDS)和基于网络的入侵检测系统

IEC

参见 国际电工委员会

事件响应 (Incident Response)

任何与准备和响应安全事件相关的活动。通常,是用于准备、响应、记录和保存安全事件的方法性方法。SANS研究所讲师使用首字母缩写"PICERL"作为该方法的助记符:准备、识别、遏制、根除、恢复、经验教训。另见:事件响应团队

事件响应团队 (Incident Response Team)

该团队通常由事件发生前指定的特定成员组成,尽管在某些情况下团队可能是自愿者的临时小组。事件响应团队在公司和公共服务组织中都很常见

输入验证 (Input Validation)

一种确保通过用户输入提供的单个字符与一个或多个已知原始数据类型的预期字符一致的方法;如编程语言或数据存储和检索机制中所定义

国际电工委员会 (IEC)

一个非营利、非政府的国际标准组织,负责编写和发布所有电气、电子和相关技术(统称为"电工技术")的国际标准

国际标准化组织 (ISO)

世界上最大的自愿性国际标准制定者。它旨在通过提供国家间的通用标准来促进世界贸易

知识产权 (Intellectual Property)

指心智创造的法律术语。知识产权示例包括音乐、文学和其他艺术作品;发现和发明;以及词语、短语、符号和设计。根据知识产权法律,知识产权所有者被授予某些专有权。一些常见的知识产权(IPR)类型是版权、专利和工业设计权;以及保护商标、商业外观和在某些司法管辖区保护商业秘密的权利。知识产权本身是一种财产形式,称为无形财产

互联网协议地址 (Internet Protocol Address)

分配给互联网上通信的每台计算机的唯一编号。此IP地址用于从连接到互联网的数百万其他计算机中识别您的特定计算机

IP地址

参见 互联网协议地址

IP

参见 知识产权或互联网协议地址

ISO

参见 国际标准化组织

ISO/IEC JTC1

国际标准化组织(ISO)和国际电工委员会(IEC)的联合技术委员会。其目的是开发、维护和推广信息技术(IT)和信息与通信技术(ICT)领域的标准

J

Javascript

由Netscape开发并通过Oracle Corporation商标的脚本语言,在浏览器内执行操作。虽然Javascript可以增强"浏览体验",但在浏览器中的自动执行使其成为两种非常常见漏洞的完美载体:跨站脚本(XSS)和跨站请求伪造(XSRF)

L

横向移动 (Lateral Movement)

攻击者系统地连接到网络上的设备以接近预期目标的网络移动

L33tSpeak

Leet(或"1337"),也称为eleet或leetspeak,是许多语言的替代字母表,主要用于互联网。它使用各种ASCII字符组合来替换拉丁字母。例如,leet单词的拼写包括1337和l33t;eleet可能拼写为31337或3l33t。
术语leet源自单词elite。Leet字母表是一种特殊的符号书写形式。Leet也可能被视为替代密码,尽管不同的在线社区存在许多方言或语言变体。术语leet也用作形容词来描述强大的能力或成就,特别是在在线游戏领域及其原始用途——计算机黑客中

M

Mac

Apple Macintosh®计算机和/或Apple Macintosh®操作系统(称为"Mac OS®")的缩写

MAC

在计算机安全中,强制访问控制(MAC)是一种只有管理员管理访问控制的访问控制类型。管理员定义使用和访问策略,用户无法修改或更改,策略将指示谁有权访问哪些程序和文件。MAC最常用于优先考虑保密性的系统

MAC地址

媒体访问控制地址(MAC地址)是分配给网络接口的48位唯一标识符,用于物理网络段上的通信。典型的MAC地址遵循编号约定F0-1F-AF-02-20-60。前3个数字对标识唯一的制造商标识符(本例中为Dell)。接下来的3个数字对是唯一的,因为同一网络上的两个网卡不应共享相同的MAC地址,否则会出现通信问题。
MAC标识符列表可在以下位置找到:http://www.adminsub.net/mac-address-finder

在通信程序之间传递的令牌或短数据包,其中数据通常对接收程序没有意义。内容是不透明的(意味着数据结构没有明确定义),通常直到接收者将cookie数据传回发送者或可能稍后的另一个程序时才被解释。Cookie通常像票证一样使用——用于标识特定事件或事务

恶意软件 (Malware)

以故意危害系统或从系统窃取数据为目的编写的软件。该词来自恶意(Malicious)和软件(Software)的组合。(对比广告软件、间谍软件)

中间人攻击 (Man-In-The-Middle, MitM)

一种攻击,其中设备用作直通设备以在流量发送到预期目的地之前捕获所有流量。中间人攻击可用于窃取通过未加密连接传输的登录凭据和其他敏感信息

MitM

参见 中间人攻击

N

国家标准与技术研究院 (NIST)

测量标准实验室,也称为国家计量院(NMI),是美国商务部的一个非监管机构。该机构的官方使命是"通过以增强经济安全和提高我们生活质量的方式推进测量科学、标准和技术,促进美国创新和工业竞争力"。
NIST在计算机安全领域的文档是著名的"800-xx"系列)1988年之前称为国家标准局(NBS)。(网站:http://www.nist.gov/index.html)

基于网络的入侵检测系统 (Network-based Intrusion Detection System)

监控整个网络流量以警告异常行为的设备或应用程序。(对比基于主机的入侵检测系统)

昵称 (Nicknames)

近年来,新漏洞被赋予了昵称,如Heartbleed和POODLE。这在某些安全圈中并未普遍受到好评,因为它最小化了漏洞的严重性,而没有让公众理解问题的严重性

NIST

参见 国家标准与技术研究院

O

开放Web应用程序安全项目 (OWASP)

开放Web应用程序安全项目(OWASP)是一个致力于Web应用程序安全的在线社区。OWASP社区包括来自世界各地的公司、教育组织和个人。该社区致力于创建免费提供的文章、方法、文档、工具和技术。(网站:https://www.owasp.org/index.php/Main_Page)

OWASP

参见 开放Web应用程序安全项目

P

传递哈希 (Pass the Hash)

一种允许攻击者使用用户密码的基础哈希向远程服务器或服务进行身份验证的技术,而不是像通常情况那样需要相关的明文密码

渗透测试 (Penetration Test)

渗透测试(也称为Pen Test)是对计算机系统的攻击,目的是发现安全弱点,可能获得对其功能和的访问权限。渗透测试遵循正式结构,由定义的阶段组成。(对比漏洞评估)

个人可识别信息 (PII)

可单独或与其他信息一起用于识别、联系或定位单个人,或在上下文中识别个人的信息。PII是一个法律概念,不是技术概念。由于现代重新识别算法的多功能性和强大功能,缺少PII数据并不意味着剩余数据不识别个人。虽然某些属性可能单独唯一标识,但任何属性都可以与其他属性组合标识。这些属性被称为准标识符或伪标识符

钓鱼 (Phishing)

非法尝试获取敏感信息(如用户名、密码和信用卡详细信息,有时间接获取金钱),通常出于恶意原因,通过在电子通信中伪装成可信实体。该词是新造词,作为fishing的同音词创建,因为使用假诱饵试图捕获受害者的相似性。另见

PICERL

参见 事件响应

枢轴测试 (Pivot Test)

枢轴是一种通过危害驻留在附近网络上的机器来获得对安全网络访问的方法。在典型场景中,网络A对所有机器可访问,但网络B仅由少数受信任机器访问,且网络B无法从互联网访问。通过危害网络A并获得对有权访问网络B的受信任机器的访问权限,可以通过受危害的机器利用(或枢转)连接到安全网络

POODLE攻击

POODLE是Padding Oracle On Downgraded Legacy Encryption的首字母缩写。它是一种针对SSLv3中CBC模式密码的攻击。该漏洞允许活动的MitM攻击者解密通过SSLv3连接传输的内容。虽然安全连接主要使用TLS(SSL的继任者),但大多数用户容易受到攻击,因为如果协商TLS会话出现问题,Web浏览器和服务器将降级到SSLv3

端口 (Port)

理解端口的简单方法是想象您的IP地址是一个有线电视盒,端口是该有线电视盒上的不同频道。有线电视公司知道如何根据与该盒关联的唯一序列号(IP地址)将有线电视发送到您的有线电视盒,然后您在不同的频道(端口)上接收单个节目

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次