应急响应术语

卷卷原创2025年7月26日大约 15 分钟

IoA

攻击指标 (IoA) 是攻击者可能企图破坏系统的预警信号。它将各种数据片段（包括未知属性、IoC 和上下文信息，例如组织风险和情报）构建成潜在威胁的动态实时态势图。IoA 并非为了识别特定的恶意工具，而是通过关注所有攻击者为破坏系统而必须采取的步骤（例如侦察、初始访问、执行）来识别攻击者的战略意图。IoA 对于检测新的、复杂的网络攻击形式（例如无恶意软件入侵和零日攻击）至关重要。

IoC

入侵指标 (IoC) 指的是在网络或设备上发现的数据物件，可作为系统疑遭入侵的证据：例如，不属于系统目录的文件或可疑 IP 地址。IoC 是“确凿证据”，即已遭受损害的事后指标。网络安全专业人员利用 IoC 来调查事件造成的影响，并训练他们的工具和技术，以更好地检测和隔离日后可能出现的威胁。

维度	IOA (攻击指标)	IOC (失陷指标)
定义	表明正在进行的攻击行为模式或意图，关注攻击者的战术、技术和流程（TTP）。主动防御：实时拦截攻击行为，在入侵成功前阻断威胁	表明系统已被入侵的证据，即攻击成功后遗留的痕迹。事后响应：匹配已知威胁特征，用于取证、修复与威胁情报共享
示例	多次访问一个文件、管理员或特权用户账户出现可疑活动、通过很少使用的端口传输数据、网站上出现非典型的人为行为、多次登录尝试失败、站内主机与恶名国家/IP/域名/黑名单进行通信	异常 DNS 查找、可疑文件、应用程序和进程、属于僵尸网络或恶意软件命令和控制（C&C 或 C2）服务器的 IP 地址和域名、已知恶意软件的攻击签名或文件哈希值、异常大小的 HTML 响应、对配置文件、寄存器或设备设置的未经授权修改/访问
时效性	攻击发生前/进行中的预警	攻击成功后的证据追溯
检测能力	可识别未知威胁（新型攻击手法）	仅检测已知威胁（依赖预存特征）
数据来源	实时行为分析（流量、日志、进程）	历史安全事件库、威胁情报
差异	“为什么攻击” → 动态捕捉攻击意图，依赖上下文分析，防患未然	“如何攻击” → 依赖预定义特征库（如威胁情报），静态追溯入侵证据，事后止损
典型运用	1.内部主机通过非常用端口与境外IP通信 → 潜在攻击侦察行为 2.员工账户在非工作时间频繁访问敏感文件 → 数据窃取意图	1.检测到勒索软件文件哈希（如.locky后缀文件） → 确认系统感染 2.流量日志中出现僵尸网络C&C服务器通信 → 追溯入侵路径

MISP

MISP（Malware Information Sharing Platform，恶意软件信息共享平台）是一个开源的威胁情报共享平台/开源软件解决方案，专为网络安全社区设计，用于收集、存储、分发和共享网络安全指标（如恶意软件特征、攻击模式、漏洞信息等），支持事件响应团队、安全分析师和恶意软件研究人员高效协作。其核心目标是推动安全社区内外的结构化信息共享，提升威胁检测与响应能力。

功能

1. 威胁情报管理

IOC（入侵指标）数据库：高效存储技术与非技术信息，包括恶意软件样本、攻击者情报、事件上下文等。
灵活数据模型：支持复杂对象（如攻击活动、关联事件）的链接与表达，适配多种威胁场景。

2. 自动化分析与关联

关联引擎：自动发现指标间关系（例如通过模糊哈希匹配、CIDR块分析），识别恶意软件家族或攻击活动。
智能分类：集成分类法（如MITRE ATT&CK、恶意软件分类）和标签系统（命名空间-谓词-值的三元组），便于标准化标记。

3. 协同共享机制

多级分发：支持组织间同步事件与属性，可定制共享策略（如基于信任组、属性级权限）。
委托共享：允许匿名或伪匿名发布情报，保护数据源隐私。
实时同步：通过ZMQ/Kafka发布订阅通道推送更新，实现动态情报流转。

4. 集成与扩展

多格式支持：
- 导入：OpenIOC、STIX 1.x/2.x、ThreatConnect CSV等。
- 导出：生成IDS规则（Suricata/Snort）、STIX、JSON、RPZ策略等。
API与模块化：
- RESTful API 和 PyMISP 库支持自定义集成。
- 插件系统（如misp-modules）扩展功能（如自动化威胁抓取）。

5. 安全与合规

端到端加密：通过GnuPG/SMIME加密通知与数据。
访问控制：基于角色的权限管理（RBAC）及审计日志。

特性

类别	说明
技术架构	基于Python/Django开发，依赖PHP环境与MySQL数据库。
可视化	图形化事件关系图、仪表盘（集成Gridstack.js ）提升分析效率。
生态兼容	深度支持STIX标准，可对接SIEM、IDS（如Suricata）、日志分析工具。
社区驱动	持续更新版本（如v2.5.x优化同步过滤与性能），活跃开发者生态。

NTA

定义

在网络安全领域，NTA（Network Traffic Analysis，网络流量分析） 是一种通过监控、解析和分析网络流量数据来识别威胁和异常行为的技术。NTA 是 基于网络流量行为建模的威胁检测技术，通过机器学习、高级分析和规则匹配，持续分析原始流量（包括南北向和东西向流量），构建正常网络行为基线，实时识别偏离基线的可疑活动

技术定位：
- 区别于传统入侵检测系统（IDS）依赖特征库匹配，NTA 侧重于行为异常分析，更擅长检测未知威胁（如0day攻击、内部渗透）
- 2017年被Gartner列为“11大顶尖信息安全技术”，定位为高级威胁狩猎的核心工具

核心功能

1. 全流量监控与数据采集

覆盖范围：监控关键网络节点（如网关、核心交换机），采集原始数据包、NetFlow记录、元数据等
部署灵活性：支持物理设备、虚拟探针或云原生部署，适应混合网络环境

2. 智能威胁检测

行为基线建模：利用机器学习构建正常流量模型（如访问频率、协议分布），自动标记异常行为（如突发加密流量、异常端口扫描）
多维度分析：
- 深度包检测（DPI） ：解析HTTP/DNS等协议内容，识别恶意载荷
- 流量关联分析：结合时间、IP关系链，发现APT攻击的横向移动痕迹

3. 安全事件响应与溯源

攻击证据链构建：记录异常会话的完整流量（如恶意文件传输路径），支持取证调查
自动化响应：联动防火墙、SIEM系统自动阻断恶意IP或生成防护规则

4. 网络性能与合规管理

带宽优化：识别非业务流量（如视频流、P2P下载），优化带宽分配
合规审计：生成流量分布报告，满足等保2.0中对“异常行为监测”的要求

特性与优势

类别	说明
检测能力	高效发现加密隧道攻击、内部横向渗透等传统工具盲区威胁
部署价值	降低运维成本：单台设备可替代多台IDS探针，减少告警噪音
技术演进	向NDR（网络威胁检测与响应）升级，集成自动化响应与威胁狩猎能力

技术	NTA优势
传统IDS	不依赖特征库，可检测未知威胁；误报率更低
SIEM	提供原始流量上下文，弥补SIEM日志分析的盲区

应用场景

高级威胁狩猎: 检测潜伏数月的高级持续性威胁（APT），如命令控制（C&C）通信的隐蔽心跳包
勒索软件防御: 识别勒索软件加密前的横向扫描行为，早于文件加密触发告警
云安全监控: 分析云内虚拟机东西向流量，防止容器逃逸或未授权访问

SOC

定义

SOC （安全运营中心） 是组织内集中监控、分析、响应和管理安全事件的专职团队或部门，通过人、流程、技术的结合，实现全天候安全防御。其核心目标是保障IT环境与信息资产免受威胁侵害

核心功能

实时监控与检测
- 监控网络流量、系统日志和终端行为，识别异常活动
- 集成SIEM工具进行安全事件关联分析，提升威胁发现效率
事件响应与处置
- 制定响应计划（如隔离受感染主机、阻断恶意IP），缩短事件处理时间（MTTR）
- 协调内部团队（IT、法务）与外部机构（CERT联盟）协同处置
漏洞管理与合规
- 定期扫描系统漏洞，评估风险等级并优先修复高风险项
- 生成合规报告（如GDPR、HIPAA），满足审计要求
威胁情报整合
- 对接MISP等平台获取IOC（入侵指标），优化检测规则

关键特性

类别	说明
组织架构	包含分析师、工程师、经理等角色，实行24/7轮班制
技术依赖	以SIEM为核心，集成IDS/IPS、漏洞扫描器、SOAR等工具
流程标准化	遵循NIST或ISO 27001框架，建立事件分级、响应SLA等流程
成本模型	运营成本高（人员、工具），大型企业多自建，中小企业倾向托管服务（MSS）

SIEM

定义

SIEM （安全信息与事件管理） 是集中收集、关联分析多源安全日志的**软件系统**，通过统一平台实现威胁检测与合规管理，是SOC的技术支撑核心

核心功能

日志聚合与标准化: 从防火墙、服务器、应用等收集日志，统一格式存储（支持Syslog、API等）
实时关联分析: 使用规则引擎（如MITRE ATT&CK）关联事件（例如多次登录失败+异常文件访问=内部威胁）
自动化告警与响应: 触发实时告警，并联动SOAR自动阻断攻击（如封禁恶意IP）
合规与报告: 生成预定义报表（如PCI DSS合规报告），支持历史日志回溯取证

关键特性

类别	说明
架构模式	支持集中式（单数据仓库）或分布式（边缘分析）部署
分析能力	集成UEBA（用户行为分析）、机器学习模型，识别零日攻击
集成扩展	兼容云环境（如Azure Sentinel）、支持STIX/TAXII威胁情报导入
演进趋势	下一代SIEM融合SOAR、AI威胁狩猎，降低误报率

MTTR

定义： （Mean Time To Repair，平均修复时间） 系统从故障发生到完全恢复运行所需的平均耗时
功能：
- 量化系统可维护性，反映故障修复效率；
- 是计算系统可用性（Availability = MTTF / (MTTF + MTTR)）的关键参数
应用场景：
- 运维管理：优化维修流程（如备件调度、人员响应），缩短停机损失
- SLA制定：作为服务可用性承诺的量化指标（如云服务承诺MTTR ≤ 30分钟）

MTTD

定义： （Mean Time To Detect，平均故障检测时间） 从故障发生到被监控系统或人员识别出的平均耗时
功能：
- 评估监控系统的灵敏度和告警机制有效性
- 缩短MTTD可降低故障影响范围
应用场景：
- 安全应急响应：攻击入侵后，快速检测威胁（如日志异常分析）

MTTDor

定义： （Mean Time To Detect or Respond，平均检测或响应时间） 涵盖故障/威胁的发现（MTTD）及初步响应（如遏制措施启动）的总时间
应用场景：
- 网络安全事件处理：从告警产生到安全团队介入的时效性考核（如MTTA + MTTI ≤ 20分钟）

YARA

定义：开源的恶意软件模式匹配语言，通过文本或二进制特征（如字符串、正则表达式）识别恶意文件
功能：
- 创建自定义威胁特征库，实现精准样本检测
- 支持联动沙箱、EDR等工具自动化分析
应用场景：
- 威胁狩猎：扫描内存/磁盘中的APT攻击痕迹（如特定代码片段）
- 安全研究：分类恶意软件家族（如Emotet、Ryuk勒索软件）

APT

定义： （Advanced Persistent Threat，高级持续性威胁） 由国家或组织支持的、长期潜伏的定向攻击，以窃密或破坏为目标
特征：
- 高级性：使用0day漏洞、定制化恶意软件
- 持续性：渗透后维持访问权限（如后门驻留数月）
应用场景：
- 防御体系构建：采用威胁情报+行为分析（如UEBA）检测潜伏攻击
- 取证调查：追踪攻击链（如SolarWinds供应链攻击）

Splunk

功能定义

Splunk 是一个 机器数据（Machine Data）分析平台，专为收集、索引、搜索、监控和分析各类 IT 系统生成的日志与事件数据而设计。其核心价值在于将海量异构数据（如服务器日志、网络流量、应用程序报错等）转化为可操作的洞察

1. 数据采集与索引

多源接入：支持从日志文件、API、数据库、网络流等任意来源实时/批量采集数据
智能解析：自动提取时间戳、事件类型，并构建高效压缩索引（默认存储于 main 索引）

2. 搜索与分析

SPL 搜索语言：通过类 SQL 语法实现复杂查询（如 sourcetype="hsl-prod-crawl" facebook OR twitter）
关联分析：跨数据源关联事件（基于时间、交易、子搜索等），识别异常模式

3. 可视化与监控

交互式仪表盘：自定义图表（饼图、热力图等），实时展示关键指标
智能告警：设定阈值触发邮件/API 通知（如异常登录检测）

4. 扩展与集成

应用生态：提供数百个官方/社区应用（如网络安全、IT 运维工具包）
API 支持：通过 Python/Java 等语言开发定制化模块

技术特性

特性	说明
分布式架构	支持水平扩展（MapReduce 模型），每日可处理 PB 级数据
安全合规	集成 LDAP/AD 认证，提供角色权限控制（RBAC）及数据加密
实时处理	从数据摄入到索引检索延迟低至秒级，支持流式分析
轻量级转发器	通过 Splunk Forwarder 安全收集远端数据，资源占用低